Pubblicato: 3 Giugno 2021  -  Ultimo aggiornamento: 3 Giugno 2021

Come funziona l’Endpoint Detection and Response?

Come funziona l’Endpoint Detection and Response?

L’Endpoint Detection and Response è una soluzione che protegge un’azienda meglio di un antivirus, offrendo un livello di sicurezza più completo ed efficace.

In cosa consiste?

Vediamo nel dettaglio come funziona e quali sono i vantaggi.

Cos’è l’Endpoint Detection and Response

L’Endpoint Detection and Response – o EDR – è una risorsa utile per difendere un’attività: ancora poco conosciuta, è in realtà un’ottima soluzione da accompagnare ai tradizionali e più noti antivirus.

Un EDR può infatti svolgere tutte le attività di un normale antivirus ma con una marcia in più, perché riesce a tenere sotto controllo ogni endpoint e relative minacce.
Composto da specifici software di monitoraggio e agenti endpoint, può identificare i potenziali pericoli anche se non sono stati fatti aggiornamenti e non esiste una firma.
Come? Sfruttando tecniche avanzate di Intelligenza Arificiale e apprendimento automatico integrato.

In questo modo si può proteggere il sistema non solo dalle minacce già note e riconosciute, ma anche da pericoli nuovi e sconosciuti.

Tutti i vantaggi

Grazie a un Endpoint Detection and Response si può garantire un livello di protezione efficace della rete e dei dispositivi utilizzati.
Si supera il sistema delle firme e si possono eseguire attività di indagine e risposta rilevando ogni tipo di minaccia.

Ma soprattutto con un EDR si può respingere un file malevolo, anche se non rientra tra rischi noti a un antivirus tradizionale.
Coi normali antivirus, infatti, le minacce devono prima essere identificate e categorizzate, per poi essere inserite in una sorta di database in attesa che il gestore aggiorni le firme.
Creando così un periodo di stallo in cui non è possibile rispondere alla minaccia con tempestività e nel modo opportuno.

In più bisogna considerare che anche un minimo cambiamento del file – come una modifica di una riga del codice – etichetta il file come nuovo, costringendolo a dover subire tutto il ciclo di analisi e categorizzazione.

Con un EDR, invece, si può arginare questo problema, dimostrando di essere una risorsa valida e innovativa che consente alle aziende di reagire velocemente ai pericoli in qualsiasi circostanza.

Un EDR svolge le attività di un normale antivirus ma con una marcia in più, perché tiene sotto controllo ogni endpoint e relative minacce.

Come funziona l’Endpoint Detection and Response

Sfruttando le caratteristiche di un EDR è quindi possibile non limitarsi semplicemente a identificare e confrontare file, ma è possibile svolgere un’analisi attiva dei comportamenti e delle attività che questi file eseguono.

Le attività tracciate, infatti, vengono poi messe in relazione tra loro e sottoposte ad algoritmi avanzati e tecniche di Machine Learning che riconoscono quali sono quelle malevole e che potrebbero condurre, per esempio, ad un malware.

Una volta che il pericolo è stato identificato, l’Endpoint Detection and Response genera un alert e il file viene cancellato o isolato dal resto del sistema.

Un EDR può inoltre rilevare i possibili attacchi tramite l’analisi degli Indicator of Compromise, o IOC. Gli IOC sono degli indicatori che identificano ogni possibile compromissione e servono agli EDR come parametri per capire se un’azienda è sotto attacco e che tipi di attacchi ha subito in passato.

In più gli EDR sono ottimi strumenti per rispondere alle compromissioni con tempestività e agire da remoto sui client coinvolti nella violazione, risolvendo la situazione anche in un ambiente di lavoro in smart working.

Come implementare un EDR

La prima cosa da considerare è che un Endpoint Detection and Response non è un’alternativa che può sostituire tutte le soluzioni già esistenti per mantenere sicurezza.
Sarebbe controproducente perché, oltre a essere molto costoso, impedirebbe di concentrarsi sulle minacce più pericolose.

L’ideale sarebbe adottare un approccio a imbuto che, grazie a un costante monitoraggio e a tecniche di Machine Learning, individui i pericoli noti e più semplici da affrontare, lasciando all’EDR l’incarico di concentrarsi solo sulle minacce sconosciute o potenziali.

Garantendo così un’analisi più precisa ed affidabile.

Si consiglia quindi di costruire una catena integrata di livelli di protezione, capace di semplificare l’attività di un Endpoint Detection and Response e che consenta al gestore di sfruttarne al massimo ogni funzionalità.

Per implementare questa catena, i passaggi di cui tenere conto sono:

  • Prevenzione: identificando e bloccando le minacce già note, il motore di analisi dell’EDR non si satura con allarmi non necessari.
  • Rilevamento: si registrano informazioni provenienti dai motori di rilevamento delle minacce e dall’analisi degli eventi relativi al comportamento.
  • Analisi: possibile grazie alle informazioni utili per identificare la classe della minaccia rilevata, la causa del rilevamento e il risultato finale.
  • Contrasto: si intraprendono contromisure e azioni di risposta con tempestività e tramite un’unica interfaccia.
  • Evoluzione: in seguito al rilevamento si può attuare e rafforzare un piano di prevenzione che aumenti il livello di sicurezza.

In questo modo le aziende possono assicurare una costante protezione dalle minacce, rilevando gli incidenti in maniera accurata e adottando azioni di contrasto intelligenti, così da ridurre l’esposizione e bloccare le violazioni.