Cos'è la Endpoint Detection and Response (rilevamento e risposta su endpoint)?

• Glossario IAM
• Cos'è la Endpoint Detection and Response (rilevamento e risposta su endpoint)?

Endpoint Detection and Response (EDR), noto anche come Endpoint Threat Detection and Response (ETDR), è un termine generico per indicare una soluzione software che monitora costantemente i dispositivi endpoint, tra cui computer e laptop degli utenti finali, server, dispositivi mobili e dispositivi dell'Internet of Things (IoT), per raccogliere e analizzare i dati sulle minacce e avvisare i team di sicurezza circa le violazioni in tempo reale.

Come funziona un Endpoint Detection and Response (EDR)?

Poiché EDR è un termine molto ampio, le caratteristiche e le funzionalità specifiche delle singole soluzioni EDR variano notevolmente tra i vari fornitori e persino tra le varie implementazioni. In generale, gli strumenti di rilevamento e risposta degli endpoint rientrano in una delle tre categorie seguenti:

1. Una piattaforma EDR dedicata
2. Una raccolta di strumenti più piccoli che, utilizzati insieme, eseguono il rilevamento e la risposta degli endpoint.
3. Una funzione EDR integrata in un altro prodotto di sicurezza, come un software antivirus di nuova generazione. Alcuni fornitori di Security Information and Event Management (SIEM) offrono l'EDR come parte dei loro pacchetti.

Le soluzioni EDR funzionano aggregando la telemetria dei dispositivi endpoint, compresi i registri, i dettagli dei file, i processi in esecuzione, i monitoraggi delle prestazioni e i dati di configurazione, e analizzandoli per rilevare potenziali modelli di minaccia.

I sistemi EDR più semplici sono solo strumenti di allarme. Raccolgono, analizzano e visualizzano i dati in modo che il personale umano possa visualizzarli e intervenire. I dati vengono salvati in un database centrale e di solito possono essere inseriti in una soluzione SIEM.

I sistemi EDR più avanzati includono funzioni quali:

• Meccanismi di risposta automatica in grado di intraprendere determinate azioni correttive in caso di rilevamento di una minaccia, come la disconnessione dell'utente finale, l'arresto dei processi compromessi o la disabilitazione totale del dispositivo di endpoint.
• Strumenti di risposta alle minacce che aiutano il personale addetto alla sicurezza a capire cosa sta succedendo, quali dispositivi e sistemi sono stati colpiti, come fermare l'attacco e come prevenire attacchi futuri.
• Funzioni di apprendimento automatico e di analisi con AI che utilizzano l'analisi comportamentale per contestualizzare l'attività del dispositivo e identificare le minacce nuove ed emergenti, comprese quelle che non rientrano nelle regole preconfigurate dell'EDR. Ciò può includere la mappatura dei comportamenti anomali nel framework gratuito MITRE ATT&CK per aiutare a rilevare i modelli.
• Strumenti forensi che aiutano il personale addetto alla sicurezza a stabilire le tempistiche, a identificare i sistemi interessati e a raccogliere prove durante la risposta agli incidenti e l'analisi post-violazione. Il personale addetto alla sicurezza può anche utilizzare gli strumenti forensi EDR per cercare in modo dinamico altre minacce non rilevate nell'ambiente dei dati.

L'importanza dell'EDR

I sistemi EDR sono sempre più diffusi a causa dell'esplosione dei dispositivi endpoint connessi alle reti aziendali, tra cui computer e laptop, ma anche telefoni e dispositivi IoT. I malintenzionati vedono questi dispositivi come "bersagli morbidi" con cui possono violare le reti, e stanno utilizzando metodi e malware sempre più sofisticati per attaccarli.

Gli strumenti di rilevamento e risposta degli endpoint vengono talvolta confusi con le soluzioni antivirus. Molti sistemi EDR vengono forniti in bundle con il software antivirus o sfruttano i dati del database di una soluzione antivirus.

Tuttavia, il software antivirus protegge i dispositivi endpoint solo dai tipi di malware conosciuti ed elencati nel database del prodotto. Al contrario, l'EDR utilizza analisi intelligenti per rilevare minacce nuove ed emergenti, comprese quelle che il software antivirus non è in grado di rilevare, come il malware senza file, gli attacchi che sfruttano credenziali rubate, le minacce persistenti avanzate (Advanced Persistent Threats, APT) e il malware così nuovo da non essere ancora catalogato in alcun database antivirus.

Le soluzioni antivirus forniscono agli utenti solo informazioni di base, ovvero quante minacce il software ha bloccato e di che tipo in un determinato periodo di tempo. I sistemi EDR registrano ulteriori dati contestuali di grande valore sugli attacchi, come le informazioni sul malintenzionato dietro alla minaccia, e svelano tendenze storiche che le organizzazioni possono utilizzare per potenziare la loro strategia di sicurezza.

Come le aziende utilizzano l'EDR

Oltre a rilevare le minacce che altrimenti sfuggirebbero alle soluzioni antivirus e ad altri strumenti di sicurezza, i sistemi EDR accelerano la risposta agli incidenti, forniscono assistenza nelle iniziative di mitigazione, forniscono ai team di sicurezza una visibilità completa sul comportamento degli endpoint nell'ambiente dei dati e consentono la ricerca dinamica delle minacce.

Il fatto che il personale addetto alla sicurezza svolga un ruolo attivo nella sicurezza degli endpoint è fondamentale per la buona riuscita dell'implementazione dell'EDR. Oltre a seguire gli avvisi EDR, le organizzazioni devono avere una solida strategia di gestione delle patch per mantenere aggiornati i dispositivi endpoint. Gli aggiornamenti del software includono spesso importanti patch di sicurezza, e trascurare di applicarle tempestivamente può compromettere gravemente la sicurezza degli endpoint.

Le configurazioni errate del cloud sono un altro problema comune che può ridurre la sicurezza degli endpoint. La visibilità che le soluzioni EDR forniscono sulle configurazioni degli endpoint aiuta i team IT e di sicurezza a prevenire impostazioni cloud errate e, allo stesso modo, un ambiente cloud correttamente manutentato migliora la sicurezza degli endpoint.