Le misure preventive da sole ormai non bastano più a proteggere notebook, desktop e smartphone. Per riconoscere ed eliminare attacchi informatici sofisticati sono indispensabili ulteriori risorse, come un sistema di Endpoint Detection & Response.
Testo: Andreas Heer, Immagine: iStock,
Tutto ha inizio dagli apparecchi terminali: come sottolinea l’«Endpoint Security Trends Report» del fornitore di sicurezza statunitense «Absolute Software», circa il 70 percento degli attacchi informatici è diretto agli endpoint, che includono non solo notebook, computer e smartphone, ma anche i server locali delle reti aziendali.
Il gran numero di attacchi riusciti dimostra come una semplice protezione preventiva con antivirus e firewall spesso non sia sufficiente, perché gli attacchi sono sempre più sofisticati. E così aumentano i cosiddetti attacchi fileless, che possono ad esempio consistere in uno script di PowerShell e girare esclusivamente nella memoria di un computer Windows senza lasciare tracce nel sistema di file. Per i software antivirus basati sulla firma, simili attacchi rimangono invisibili e, considerando che l’effettivo minaccia viene spesso scaricata da un sito web compromesso, anche il firewall non batte ciglio.
Gli apparecchi terminali necessitano quindi di misure di protezione ulteriori, in grado di riconoscere anche gli attacchi sofisticati, che solo allora un’azienda potrà contrastare con misure adeguate. Un sistema per Endpoint Detection & Response (EDR) ne è capace, in quanto, al contrario dei software antivirus basati sulla firma, analizza il comportamento del dispositivo terminale e riesce a rilevare le anomalie. Nell’analisi dei modelli di comportamento, l’EDR utilizza inoltre il Machine Learning, per offrire il miglior tasso di rilevazione possibile. Il concetto di «EDR» è stato introdotto nel 2013 dall’analista di Gartner Anton Chuvakin, quindi non molto tempo fa.
Ma l’EDR non è certo una soluzione stand-alone. Infatti, gli alert in casi di anomalia vengono opportunamente integrati in sistemi di monitoraggio come un SIEM (Security Information and Event Management) o un SOAR (Security Orchestration, Automation and Response). Questo consente di adottare le misure adeguate, come ad esempio il blocco automatico dell’accesso alla rete del dispositivo terminale, o l’analisi manuale dell’incidente da parte di specialisti della sicurezza. Questi compiti vengono solitamente svolti da un Security Operation Center (SOC), il quale rappresenta inoltre il prerequisito logico, oltre che sensato, per un EDR efficace.
Tutto questo richiede l’integrazione di una soluzione EDR nei processi e nei sistemi di sicurezza esistenti, il che può rivelarsi, a seconda dell’infrastruttura di cui si dispone, una vera sfida, come nel caso dell’adattamento delle misure di Response automatiche. Un ulteriore ostacolo è rappresentato dalle risorse disponibili del dipartimento di sicurezza IT interna: sono sufficienti per far fronte ad attacchi di maggiori dimensioni?
Tuttavia, rinunciare all’EDR per questi motivi sarebbe la scelta sbagliata. Come valida alternativa subentra la combinazione di EDR e SOC as a Service, una soluzione economica e soprattutto attuabile, per risolvere l’incertezza sui costi e la mancanza di specialisti, tuttavia senza pregiudicare il grado di maturità della sicurezza informatica necessario oggi.
Maggiori informazioni: