EDR: cosa occorre sapere!

quali sono le tendenze attuali?

Piuttosto che sulle minacce comuni relativamente facili da rilevare per i sistemi EPP (Endpoint Protection Platform), negli ultimi anni la tendenza dei criminali informatici è quella di concentrarsi sempre di più sulle minacce “elusive”, specificamente progettate per aggirare le misure di protezione degli endpoint.

Uno dei motivi è che sta diventando molto più facile (ed economico) per i criminali informatici trovare, assemblare e testare strumenti e metodi già pronti e gli attacchi di questo tipo hanno possibilità di successo notevolmente superiori rispetto agli scenari tradizionali.

Aggiungete l’aumento del lavoro a distanza, che sta facendo dissolvere il perimetro aziendale di molte imprese, ed è facile capire perché nel prossimo futuro gli endpoint rimarranno in prima linea nella battaglia contro i criminali informatici.
 

Cosa succede quando una soluzione EPP deve rilevare una minaccia elusiva?

Queste minacce non sono facili da rilevare, grazie alle varie tecniche di elusione che impiegano, in particolare l’uso di strumenti legittimi e nativi del sistema. Passando a lungo inosservate, hanno anche il tempo necessario per esplorare e infiltrarsi nell’infrastruttura di un’azienda causando danni maggiori, che si tratti di un data breach, di un attacco ransomware, spyware o dell’override diretto.

Il risultato? L’impatto finanziario medio a seguito di un attacco è di 101.000 dollari per le PMI e di 1,09 milioni di dollari per le grandi aziende. Con impatti di questo tipo, invece di chiedersi “perché dovremmo investire in una soluzione EDR?”, molte aziende dovrebbero domandarsi “perché non abbiamo già investito?”
 

Cosa può fare per voi una soluzione EDR se deciderete di effettuare questo investimento?

In termini semplici, ogni volta che riceverete un alert, la soluzione EDR vi aiuterà a capire da dove proviene la minaccia, come si è sviluppata, se ha interessato altri host e quindi qual è la sua portata.

Dovrebbe anche guidarvi in un semplice processo di gestione degli incidenti, inclusi passaggi come l’identificazione, il contenimento, l’eliminazione, il ripristino e l’analisi degli insegnamenti appresi per prepararvi ad attacchi futuri. Per esempio:

• Identificazione. Che cosa ha rilevato lo strumento EDR? In base al contesto e ai dettagli sulla minaccia e sull’incidente che ha creato, si tratta di una minaccia comune o grave, è necessaria una risposta
• Contenimento. Che cosa occorre fare per contrastare la minaccia, ad esempio isolare l’host, impedirne l’esecuzione o mettere in quarantena file sospetti?
• Eliminazione. Mediante una scansione degli Indicator of Compromise (IoC) si possono trovare e cancellare i file correlati, insieme a qualsiasi altro processo necessario per eliminare la minaccia.
• Ripristino. Riportare la rete alla normalità: ad esempio, se un host infetto è stato isolato per prevenire la diffusione dell’infezione, l’isolamento può essere rimosso.
• Analisi degli insegnamenti appresi. Ad esempio, l’integrazione dei dati IoC con gli strumenti di sicurezza esistenti, la revisione del controllo degli accessi e del Web, il blocco dell’accesso a particolari indirizzi IP o account e-mail o l’avvio di corsi di formazione sulla security awareness per aiutare i dipendenti a comprendere meglio come individuare le moderne minacce per la sicurezza.

Cosa c’entra questo con la cybersecurity?

Come molte aziende, quasi sicuramente dovrete affrontare una battaglia quotidiana contro numerose nuove minacce, sconosciute ed elusive. E se il vostro team IT ha solo uno o due esperti di sicurezza, o magari nemmeno uno, potrebbe essere impossibile gestire in modo appropriato gli alert di bassa priorità.
Questo non contribuisce affatto a migliorare le difese contro le minacce (o i vostri livelli di stress).
Inoltre, è particolarmente preoccupante in una situazione in cui le PMI e le aziende di medie dimensioni sono esposte ad attacchi elusivi più dirompenti, che possono aggirare le barriere di sicurezza automatizzate, per esempio sfruttando strumenti molto simili a quelli utilizzati dagli amministratori di sistema legittimi.
Oggi gli autori degli attacchi prendono di mira imprese di qualsiasi dimensione, sfera di attività e livello di preparazione, con minacce che vanno dal malware sconosciuto agli attacchi fileless e al ransomware.
Per i criminali informatici la preparazione di un attacco sta anche diventando meno impegnativa dal punto di vista economico, fattore che espone al rischio più aziende.
Il risultato: ogni azienda ora dev’essere in grado di fermare le minacce elusive, un problema reso ancora più difficile dalla continua carenza globale di personale di sicurezza IT, in particolare con le competenze necessarie per affrontare questo tipo di attacchi.
 

cosa si può fare?

Contrastare le più recenti minacce elusive significa integrare la vostra Endpoint Protection Platform (EPP) con l’ultima generazione di Endpoint Detection and Response (EDR) che, oltre a fornire la visibilità necessaria per identificare gli attacchi che bypassano la soluzione EPP, aiuta a prevenire interruzioni delle attività e danni per l’azienda, eliminando i rischi rappresentati dalle minacce nuove, sconosciute ed elusive. Ciò deriva da funzionalità quali visibilità e visualizzazione delle minacce avanzate, analisi semplificata delle root cause, risposta rapida automatizzata e automazione delle attività di routine.

Questo vi permetterà di passare da una situazione in cui siete esposti a un rischio significativo di attacco elusivo a una in cui avrete sviluppato una nuova dimestichezza con la sicurezza degli endpoint.
Anziché non avere certezze su ciò che sta accadendo nel vostro ambiente, avrete visibilità e controllo su tutti gli endpoint e anziché essere riluttanti a eseguire upgrade di sicurezza a causa della loro complessità, avrete una soluzione semplificata e consolidata che vi aiuterà a ottimizzare le risorse.