La sicurezza degli endpoint svolge un ruolo fondamentale nella moderna architettura di sicurezza. E la soluzione affinché si possano sconfiggere determinate minacce è la velocità.
Se prima ci si concentrava sulla protezione dei singoli endpoint da malware e altre minacce note, le moderne soluzioni di sicurezza degli endpoint si sono ampliate per poter utilizzare più tecniche di rilevamento in grado di prevenire o rilevare minacce sia note che sconosciute, aiutando i team di sicurezza e IT a rispondere a minacce più ampie che coinvolgono endpoint multipli.
Anche con l’uso di machine learning avanzato e analisi comportamentale, le soluzioni di sicurezza degli endpoint non sono ancora in grado di prevenire il 100% delle minacce. Questo crea un vuoto per i team di sicurezza, che hanno bisogno di un meccanismo valido per rilevare e rispondere alle minacce che lo attraversano, con accurati controlli preventivi.
I team di sicurezza si sono affidati quindi agli strumenti di rilevamento e di risposta degli endpoint (EDR) come meccanismo principale per colmare questa lacuna. Secondo una recente ricerca ESG (Environmental, Social, and Governance), l’EDR è stata la proposta più spesso fatta quando alle organizzazioni è stato chiesto quali fossero le loro maggiori priorità di investimento per la sicurezza degli endpoint per i prossimi 12-18 mesi.
Le soluzioni EDR
Le soluzioni EDR, così come analizzato da Fortinet in recenti ricerche, si sono evolute da quando sono entrate per la prima volta sulla scena della sicurezza quasi 8 anni fa. Sebbene siano state create per la prima volta come strumento di indagine forense digitale solo per i più esperti professionisti della sicurezza, le moderne soluzioni EDR sono altamente automatizzate e possono essere utilizzate dalla maggior parte degli analisti della sicurezza per colmare efficacemente il divario in cui le soluzioni di prevenzione non sono all’altezza.
L’EDR di seconda generazione offre numerosi vantaggi per i team di sicurezza, tra cui la riduzione degli alert, veloce comprensione delle minacce e azioni di risposta automatizzate basate sul playbook. Queste soluzioni EDR di seconda generazione rafforzano la prevenzione, riducono il rischio, accelerano la risposta e consentono a più analisti della sicurezza di reindirizzare i loro sforzi per bloccare le minacce più sofisticate.
Questi importanti progressi in EDR stanno permettendo ai team di sicurezza di colmare più rapidamente il divario lasciato dalle soluzioni di protezione degli endpoint, tenere il passo con l’avversario e bloccare le minacce prima che si verifichino danni, il tutto riducendo allo stesso tempo lo stress.
L’evoluzione di EDR
EDR di prima generazione.
Inizialmente furono sviluppate soluzioni di rilevamento e risposta degli endpoint per consentire ad esperti analisti della sicurezza di indagare più facilmente sugli incidenti. Acquisendo i dati di telemetria dell’endpoint storico, gli analisti hanno potuto “riavvolgere il nastro” per vedere cosa stava succedendo mentre gli attacchi si svolgevano.
Sebbene efficaci, le soluzioni EDR di prima generazione erano strumenti grezzi utilizzati per le indagini sugli episodi di reato, in genere da analisti altamente qualificati che avevano bisogno di eseguire query manuali per indagare e risolvere minacce.
Le organizzazioni hanno faticato a trovare analisti qualificati per utilizzare questi strumenti in modo efficace.
EDR V1.1 – Aggiunta di Intelligence sulle minacce
Per facilitare il processo di query manuale, le soluzioni EDR hanno aggiunto un confronto automatizzato della telemetria endpoint con indicatori di compromesso (IOC) da fonti di intelligence delle minacce, per accelerare l’identificazione di attività sospette o dannose. Questa importante aggiunta ha generato nuovi casi d’uso per EDR, inclusa la capacità di cercare in modo proattivo attacchi in corso, invece di richiedere risorse altamente qualificate per completare le indagini.
EDR V1.2 – L’aggiunta di strumenti di riparazione
Aggiunta di funzionalità con risposta native, consentendo agli analisti di richiedere dati aggiuntivi da endpoint, vietare i processi, isolare endpoint, bloccare IP specifici e altro ancora. Questo importante progresso ha consentito agli analisti della sicurezza di accedere e riparare gli endpoint senza coinvolgere le risorse IT, per una correzione tempestiva.
EDR V1.3 – Nuovi casi d’uso
Gli analisti della sicurezza hanno visto l’opportunità di applicare gli strumenti EDR alle indagini sugli attacchi attualmente in corso, consentendo loro sia di fermare gli attacchi in corso che di individuare proattivamente gli avversari nascosti che risiedono all’interno dell’infrastruttura. Questo uso “attivo” di EDR ha scoperto nuove minacce precedentemente non rilevate.
Conclusioni
L’EDR di prima generazione è adatto per rispondere alle indagini sulla violazione dei dati, ma è spesso troppo lento per le minacce in rapido movimento in cui è richiesta una risposta in tempo reale. Il ransomware può causare danni in pochi secondi. Pochi possono permettersi la finestra di 24 ore tra rilevamento e contenimento per gli attacchi rapidi che si riscontrano al giorno d’ oggi.
Poiché le soluzioni EDR di prima generazione hanno un’integrazione limitata con i controlli di prevenzione, gli analisti della sicurezza hanno l’onere di configurare manualmente altri controlli di sicurezza per chiudere gli attuali e fermare gli attacchi futuri.
Inoltre, le soluzioni EDR di prima generazione spesso sovraccaricano i team di sicurezza con avvisi, rendendo difficile il triage e le indagini di allerta, richiedendo troppo tempo e aumentando i costi del programma di intervento.
È dunque una corsa contro il tempo per gli analisti della sicurezza, setacciare gli avvisi per trovare gli attacchi in corso, sperando di agire prima che si verifichino danni. Ciò aggiunge uno stress tremendo per molti, portando spesso al burnout.
Continua a seguire l’articolo nella sua seconda parte per saperne di più sugli EDR di seconda generazione.