Harish Agastya, Vice President of Enterprise Solutions di Bitdefender, ci spiega l’evoluzione e i numerosi vantaggi dell’Endpoint Detection and Response.
Secondo Gartner, l’EDR sta vivendo una fase di grande crescita – i ricavi dell’EDR sono più che raddoppiati nel 2016, raggiungendo i 500 milioni di dollari. Oltretutto si prevede una crescita annuale di almeno il 50% da qui al 2020: al momento sono stati installati solo 40 milioni di endpoint EDR, rispetto ai 711 milioni di dispositivi desktop, laptop e non solo che si stima possano utilizzare il software.
Bene, ma come è possibile implementare un EDR in modo efficace, specialmente quando le società hanno già una miriade di strumenti di gestione a disposizione e i team IT devono destreggiarsi tra un eccessivo carico di lavoro e risorse limitate?
L’ultimo punto percentuale – Tutti abbiamo letto i titoli. Violazioni ai danni di grandi aziende. La sottrazione di dati riservati di società e clienti. Attacchi altamente sofisticati, a volte persino sponsorizzati da nazioni – la crème de la crème dei malware. Insieme rappresentano quello che Bitdefender definisce come l’ultimo punto percentuale di attacchi, ossia quelle minacce che la gran parte dei prodotti tradizionali per sicurezza degli endpoint non sono stati in grado di fermare. La maggior parte delle aziende adotta una prevenzione basata su firma o soluzioni di grandi produttori di antivirus, che continuano a rivelarsi inefficaci. Sono stati creati molti altri prodotti complementari basati su endpoint – machine learning regolabile, anti-exploit – per colmare queste lacune nella prevenzione, ma gli attacchi più sofisticati riescono comunque a eludere queste difese.
L’affermarsi dell’EDR – Ora è emersa una nuova tecnologia – Endpoint Detection and Response o EDR – basata su una premessa essenzialmente diversa: non è possibile prevenire il 100% delle minacce. L’EDR si concentra sul rilevamento precoce e la riduzione al minimo del tempo di permanenza delle infezioni e del conseguente danno. Si tratta di un approccio del tutto nuovo, ma prima di abbandonarci a facili entusiasmi, dobbiamo chiarire come può funzionare nel mondo reale.
L’EDR nel mondo reale – L’EDR è in grado di rimpiazzare tutte le precedenti soluzioni di protezione degli endpoint? Certamente no. Sarebbe come usare delle truppe di élite per combattere i crimini comuni: non sarebbe solo costoso, ma impedirebbe anche di concentrarsi sulle reali minacce da affrontare. Perché non implementare un EDR sull’antivirus di una grande azienda, accanto a uno strumento anti-exploit e agli altri svariati agenti che abbiamo sui nostri endpoint? Alcune delle società che hanno provato a farlo hanno avuto successo, specialmente quando si trattava di organizzazioni che avevano già a disposizione dei SOC con risorse adeguate. Ma questo approccio non si è rivelato utile per tutti. Gestire più agenti aggiunge complessità alla gestione e poiché gli EDR sono spesso rumorosi, un team IT che sia già sovraccarico e sottodimensionato si vedrebbe costretto a prendere decisioni scarsamente informate sulla prevenzione degli incidenti, semplicemente ignorando allarmi o mettendo interi gruppi di applicazioni nelle whitelist, compromettendo la sicurezza della rete e lo stesso investimento per l’implementazione dell’EDR.
EDR per tutti – Noi crediamo che esista un altro modo per agevolare l’implementazione dell’EDR per la protezione degli endpoint, che non sia esclusivamente riservato alle organizzazioni più ricche e dotate di SOC con risorse e fondi adeguati. Non bisogna lasciare che l’EDR passi tutto al vaglio per conto suo. Invece, adottando un approccio a imbuto, con controlli preventivi come il machine learning e l’osservazione del comportamento all’inizio del ciclo di monitoraggio degli attacchi, è possibile eliminare dall’equazione un gran numero di minacce note. In questo modo l’EDR può concentrarsi sulle minacce presenti all’estremità più stretta dell’imbuto, dove si trovano le minacce sconosciute o potenziali, permettendo un livello molto più alto di affidabilità nell’analisi degli incidenti. Se l’EDR e i livelli precedenti di prevenzione fanno parte di un’unica soluzione integrata, gli indicatori di compromissione esistenti del ‘modulo’ EDR possono insegnare ai livelli di protezione a effettuare rivelazioni in futuro già in fase di pre-esecuzione. In altre parole, per rimanere sempre un passo avanti rispetto a queste minacce altamente elusive e sofisticate e per permettere a tutte le organizzazioni di sfruttare al meglio l’EDR, è necessaria una soluzione integrata di prevenzione-analisi-rilevamento-contrasto. Ciò riduce il rumore non necessario dovuto a falsi allarmi o a minacce di poco conto e consente al livello EDR di focalizzarsi sulle minacce reali e pericolose.
“EDR per tutti” è la filosofia alla base di GravityZone XDR, la soluzione di protezione endpoint di Bitdefender, facente parte della suite GravityZone Ultra, che combina tutti i controlli preventivi privi di firma in fase di pre-esecuzione ed esecuzione, in grado di rilevare e contrastare precocemente le minacce – il tutto in un unico agente e in una sola console.
Nel valutare l’adozione di soluzioni EDR, consigliamo ai clienti enterprise di prendere in considerazione l’importanza e il valore di un approccio alla sicurezza per gli endpoint che integra prevenzione-rilevamento-analisi-contrasto-evoluzione:
• Prevenzione: blocca tutte le minacce note e un’elevata percentuale di quelle non note a livello di pre-esecuzione, senza saturare il motore di analisi dell’EDR con allarmi non necessari;
• Rilevamento: supportato da informazioni integrate provenienti dai motori di rilevamento delle minacce e dall’analisi di un flusso di eventi relativi al comportamento, registrate da un registratore di eventi endpoint;
• Analisi: agevolata da informazioni contestualmente rilevanti sulla classe della minaccia rilevata (tramite le informazioni integrate), il motivo del rilevamento (tramite l’analisi della minaccia) e il risultato finale (attraverso un sandbox integrato);
• Contrasto: tramite un’unica interfaccia, che consente di intraprendere immediatamente azioni correttive strategiche e in tutta l’impresa;
• Evoluzione: genera un circolo virtuoso tra l’attuale rilevamento e la prevenzione futura, regolando e rafforzando le policy esistenti.
Poter sfruttare un approccio integrato in un’unica soluzione permette alle aziende di essere sempre protette contro le minacce, di rilevare gli incidenti in modo accurato e di adottare azioni di contrasto intelligenti, in modo da ridurre al minimo l’esposizione e bloccare le violazioni.
Cosa promette l’EDR – L’EDR è una tecnologia molto promettente nel campo della sicurezza, ma le offerte attualmente disponibili sul mercato sono troppo complesse per poter essere implementate nella maggior parte delle organizzazioni. GravityZone XDR è specificamente progettato per fornire una soluzione EDR semplice.
Garantisce maggiore sicurezza agli amministratori, grazie a flussi di lavoro intuitivi e una mappa contestuale che aiuta a comprendere l’impatto delle minacce. Avere questa funzionalità EDR a disposizione all’interno di una piattaforma di sicurezza rappresenta il non plus ultra della sicurezza per endpoint: prevenzione, rilevamento, analisi, contrasto ed evoluzione.
Con l’adozione di un approccio a imbuto, con controlli preventivi come il machine learning e l’osservazione del comportamento all’inizio del ciclo di monitoraggio degli attacchi, è possibile eliminare dall’equazione un gran numero di minacce note. In questo modo l’EDR può concentrarsi sulle minacce presenti all’estremità più stretta dell’imbuto, permettendo un livello molto più alto di affidabilità nell’analisi degli incidenti.