Endpoint Detection and Response: che cos'è

EDR: significato e definizione

EDR (Endpoint Detection and Response) fa riferimento a una categoria di strumenti che monitorano continuamente le informazioni relative alle minacce presenti in workstation e altri endpoint. EDR ha l'obiettivo di identificare le violazioni della sicurezza in tempo reale e sviluppare una reazione rapida alle potenziali minacce. Endpoint Detection and Response, a volte noto anche come ETDR (Endpoint Threat Detection and Response), descrive le capacità di tutta una serie di strumenti, i cui dettagli variano a seconda della specifica implementazione.

Il termine è stato coniato per la prima volta da Gartner nel 2013 per classificare quella che allora era considerata una nuova categoria di software di sicurezza informatica.

Come funziona EDR?

EDR si concentra sugli endpoint, ovvero qualsiasi sistema informatico su una rete, come workstation o server degli utenti finali. Le soluzioni di sicurezza EDR offrono visibilità in tempo reale, rilevamento e reazione proattivi. Al raggiungimento di questo obiettivo contribuiscono vari metodi, tra cui:

Raccolta di dati dagli endpoint:

I dati vengono generati a livello di endpoint, comprese le comunicazioni, l'esecuzione dei processi e gli accessi utente. Questi dati vengono anonimizzati.

Invio dei dati alla piattaforma EDR:

I dati anonimizzati vengono inviati da tutti gli endpoint a una posizione centrale, generalmente una piattaforma EDR basata sul cloud. Può anche funzionare in loco o come cloud ibrido, a seconda delle esigenze specifiche.

Analisi dei dati:

La soluzione utilizza l'apprendimento automatico per analizzare i dati ed eseguire l'analisi comportamentale. I risultati contribuiscono a definire una linea di base della normale attività, in modo da identificare le anomalie che indicano attività sospette. Alcune soluzioni EDR includono threat intelligence per offrire informazioni contestuali sulla base di esempi reali di attacchi informatici. La tecnologia confronta questi esempi con l'attività di rete ed endpoint per rilevare gli attacchi.

Segnalazione e reazione alle attività sospette:

La soluzione segnala le attività sospette e invia avvisi ai team di sicurezza e alle parti interessate. Avvia inoltre reazioni automatiche in base a trigger predeterminati. Un esempio è l'isolamento temporaneo di un endpoint per impedire la diffusione di malware nella rete. 

Conservazione dei dati per uso futuro:

Le soluzioni EDR conservano i dati per supportare le indagini future e la ricerca proattiva delle minacce. Analisti e strumenti si basano su questi dati per indagare su attacchi prolungati esistenti o attacchi precedentemente non rilevati.

L'uso di EDR è in crescita. Questo è dovuto in parte all'aumento del numero di endpoint collegati alle reti, e in parte alla natura sempre più sofisticata degli attacchi informatici che si concentrano spesso sugli endpoint in quanto bersagli più facili attraverso cui infiltrarsi in una rete.

Cosa cercare in una soluzione EDR

Le capacità EDR variano da fornitore a fornitore, quindi prima di selezionare una soluzione EDR è importante esaminare le capacità dei sistemi proposti e valutare in che modo possono integrarsi con le capacità di sicurezza globali già a disposizione. La soluzione EDR ideale offre il massimo livello di protezione richiedendo il minimo impegno e investimento, aggiungendo valore al team di sicurezza senza gravare eccessivamente sulle risorse. Ecco qualche attributo a cui fare attenzione:

Visibilità sugli endpoint:

La visibilità su tutti gli endpoint consente di visualizzare le potenziali minacce in tempo reale in modo da fermarle immediatamente.

Database delle minacce:

Una soluzione EDR efficace richiede una notevole raccolta di dati dagli endpoint, che andranno successivamente integrati con informazioni contestuali per individuare tramite l'analisi gli indicatori dell'attacco.

Protezione comportamentale:

EDR prevede approcci comportamentali che mirano a individuare gli indicatori di attacco (IOA) e l'invio di avvisi alle parti interessate in merito ad attività sospette prima che si verifichi una violazione.

Informazioni e intelligence:

Le soluzioni EDR che integrano threat intelligence possono fornire informazioni contestuali, ad esempio in merito al sospetto aggressore o altri dettagli sull'attacco.

Reazione rapida:

Una soluzione EDR in grado di facilitare una reazione rapida agli incidenti può prevenire un attacco prima che diventi una violazione, consentendo così il normale svolgimento delle operazioni aziendali.

Soluzione basata sul cloud:

Una soluzione EDR basata sul cloud non genera alcun impatto sugli endpoint e consente di proseguire le attività di ricerca, analisi e indagine in modo accurato e in tempo reale.

I dettagli specifici e le capacità di un sistema EDR possono variare a seconda dell'implementazione. Un'implementazione EDR può comportare:

• Uno strumento creato appositamente;
• Un piccolo componente di uno strumento di monitoraggio della sicurezza a più ampio raggio; oppure
• Un mix di strumenti combinati tra loro.

Poiché i metodi utilizzati dagli autori degli attacchi si evolvono continuamente, i tradizionali sistemi di protezione potrebbero non essere all'altezza. Gli esperti di sicurezza informatica considerano EDR una forma di protezione avanzata dalle minacce.

Perché EDR è essenziale per le aziende

La maggior parte delle organizzazioni è esposta a una grande varietà di attacchi informatici. Questi vanno da attacchi semplici e occasionali, come l'invio di un allegato e-mail con ransomware noto, ad attacchi più avanzati in cui gli autori delle minacce possono tentare di nascondere exploit o metodi di attacco noti ricorrendo a tecniche di elusione come l'esecuzione di malware nella memoria.

Per questo motivo, la sicurezza degli endpoint è un aspetto essenziale della strategia di sicurezza informatica di un'organizzazione. Sebbene le difese basate sulla rete siano efficaci nel bloccare un'elevata percentuale di attacchi informatici, qualcuno può sfuggire e altri, come il malware veicolato da supporti rimovibili, possono aggirare completamente queste difese. Una soluzione di difesa basata su endpoint consente alle organizzazioni di potenziare i livelli di sicurezza e aumentare le possibilità di identificare e rispondere alle minacce.

Con l'aumento del lavoro a distanza in tutto il mondo, disporre di una solida protezione degli endpoint è diventato sempre più importante. I dipendenti che lavorano da casa potrebbero non essere protetti dalle minacce informatiche nella stessa misura di quelli in ufficio, e potrebbero utilizzare dispositivi personali privi dei più recenti aggiornamenti e patch di sicurezza. I dipendenti che lavorano a distanza potrebbero essere meno attenti alla propria sicurezza informatica rispetto a quando lavorano in ufficio.

In questo contesto, organizzazioni e dipendenti risultano esposti a ulteriori rischi di cybersicurezza. Una robusta sicurezza degli endpoint è fondamentale per proteggere i dipendenti dalle minacce e impedire ai criminali di utilizzare i computer di chi lavora da remoto per attaccare la rete dell'organizzazione.

Rimediare a una violazione può essere un processo difficile e costoso e questo è forse il motivo principale per cui è necessaria una soluzione EDR. Senza una soluzione EDR, alle organizzazioni possono servire intere settimane per capire come procedere, e spesso la loro unica soluzione è ripensare il parco macchine, un'operazione molto laboriosa che riduce la produttività e genera perdite finanziarie.

EDR e anti-virus a confronto

EDR non è un software anti-virus, sebbene possa disporre di funzionalità anti-virus o utilizzare i dati di un prodotto anti-virus. Un software anti-virus garantisce protezione contro le minacce informatiche note, mentre un programma EDR identifica i nuovi exploit nel momento in cui si verificano ed è in grado di rilevare attività sospette da parte di un utente malintenzionato durante un incidente. In ogni caso, il software EDR fa parte dell'ultima generazione di prodotti per la sicurezza informatica.

Best practice EDR

Le best practice da tenere in considerazione quando si implementa una soluzione EDR nella propria organizzazione sono diverse:

Non sottovalutare gli utenti

Gli utenti rappresentano uno dei maggiori rischi per qualsiasi sistema, poiché possono causare danni sia volontariamente che accidentalmente. Educando gli utenti in merito alle minacce informatiche e ai comportamenti rischiosi si aumenterà la loro consapevolezza rispetto alla sicurezza e si ridurranno al minimo le responsabilità associate a tattiche come il phishing o l'ingegneria sociale. Una formazione regolare o il ricorso a scenari di simulazione delle minacce aumenteranno la consapevolezza degli utenti sui problemi di cybersicurezza e accelereranno i tempi di risposta in caso di incidente.

Alcuni utenti potrebbero trovare metodi alternativi qualora la soluzione EDR proposta risultasse troppo invasiva per l'esperienza utente. Per migliorare l'esperienza potrebbero ad esempio disabilitare la funzionalità di difesa. Tuttavia, una soluzione troppo flessibile alle richieste degli utenti potrebbe essere facilmente manipolabile da parte di aggressori. Un valido aiuto può essere la massima trasparenza nei confronti dell'utente finale, assicurandosi che comprenda perché vengono implementate le soluzioni. Laddove siano richieste interazioni con l'utente, le comunicazioni devono essere chiare e dirette. Il sistema non dovrebbe rivelare informazioni di sistema non necessarie, come dati personali o architetture IP.

Ricorri all'integrazione con altri strumenti

Le soluzioni EDR sono progettate per proteggere gli endpoint ma non forniscono una copertura di sicurezza completa per tutte le risorse digitali dell'organizzazione. EDR dovrebbe essere uno degli aspetti della strategia generale di sicurezza delle informazioni, insieme ad altri strumenti come anti-virus, gestione patch, firewall, criptaggio e protezione DNS.

Usa la segmentazione della rete

Seppure a volte ricorrano all'isolamento degli endpoint durante la reazione alle minacce, le soluzioni EDR non sostituiscono la segmentazione della rete. Ad esempio:

• Una rete segmentata consente di limitare gli endpoint a servizi e repository di dati specifici. Questo può ridurre significativamente il rischio di perdita di dati e il livello di danni risultante da un attacco andato a buon fine.
• I percorsi ESP (Ethernet Switch Path) possono offrire un'ulteriore protezione di rete. Gli ESP consentono di nascondere la struttura della rete, ostacolando i movimenti degli aggressori tra i vari segmenti della rete.

Adotta misure preventive

Anziché fare affidamento esclusivamente sulle reazioni attive alle minacce, combinale con misure preventive. Garantendo l'applicazione di aggiornamenti e patch nei sistemi, con protocolli completi ed elenchi di dipendenze, si ridurrà il numero di minacce da cui proteggersi.

Controlla regolarmente i sistemi per verificare che gli strumenti e i protocolli siano sempre configurati e applicati in modo appropriato. Testa le funzionalità dei sistemi e degli strumenti eseguendo costantemente attività di modellazione delle minacce e penetration testing.

La tua organizzazione dovrebbe disporre di un piano completo di reazione agli incidenti in cui viene specificato chi risponderà in caso di attacco, e come. Un piano consente di accelerare i tempi di reazione agli incidenti e offre una struttura adatta ad analizzare tutti i dati raccolti dopo l'evento.

Utilizza le risorse disponibili

Se adoperi strumenti di terze parti, utilizza tutte le risorse educative offerte dal fornitore EDR. Molti fornitori offrono corsi di formazione o webinar per mantenere i clienti aggiornati sulle ultime funzionalità e best practice. Alcune aziende offrono brevi corsi su vari argomenti di sicurezza a costi ridotti o addirittura gratuitamente.

È possibile trovare strumenti e risorse utili attingendo alle risorse della community e a sistemi (Information Sharing and Analysis Organization). Alcune note risorse i cui siti Web contengono dati e approfondimenti utili sulla sicurezza informatica sono il National Vulnerability Database (NVD) e l'Open Web Application Security Project (OWASP).

EDR e XDR a confronto

I tradizionali strumenti EDR si concentrano solo sui dati degli endpoint, offrendo visibilità sulle minacce sospette. Le soluzioni EDR si evolvono parallelamente alle sfide che devono affrontare i team di sicurezza, come il sovraccarico di eventi, il limitato orientamento degli strumenti, la mancanza di integrazione, la carenza di competenze e tempo.

XDR, o Extended Detection and Response, è un approccio più recente rispetto a Endpoint Detection and Response. La "X" sta per "Extended" (esteso) e rappresenta qualsiasi fonte di dati, come rete, cloud, dati di terze parti ed endpoint, riconoscendo i limiti dell'analisi delle minacce in silos isolati. I sistemi XDR utilizzano una combinazione di analisi, euristica e automazione per generare informazioni dettagliate da queste fonti, migliorando la sicurezza rispetto agli strumenti di sicurezza in silos. Il risultato sono indagini semplificate nelle operazioni di sicurezza, con tempi ridotti per l'individuazione, le indagini e le reazioni alle minacce.

Prodotti correlati:

• Kaspersky Endpoint Detection and Response Expert
• Kaspersky Endpoint Detection and Response Optimum
• Kaspersky Endpoint Security for Business

Articoli successivi:

• Cos'è la protezione degli endpoint?
• Come il concetto di zero trust sta plasmando la cybersicurezza su larga scala
• Che cos'è il furto di dati e come prevenirlo
• Come proteggere la privacy online quando usi i dispositivi sia per lavoro che per motivi personali