Le imprese, grandi e piccole, sono spesso costrette a scegliere tra strumenti e servizi di sicurezza informatica che svolgono funzioni diverse. Dopo il periodo di ricorso agli antivirus (AV) da PC, una delle soluzioni più popolari su cui le aziende hanno basato la scelta negli ultimi anni, riguarda i sistemi EDR, Endpoint Detection and Response. Sebbene rappresentino parte importante di una strategia di sicurezza, da soli non sono sufficienti, perché non sempre si rivelano completamente efficaci.
In effetti, i prodotti di EDR per l'Endpoint Security sono efficaci in termini di pulizia dei software malevoli in circa il 40% dei casi. È stato scoperto che gli endpoint arrivano a contenere fino al 60% di minacce nascoste compresi Trojan, backdoor e rootkit (fonte Malware bytes).
Inquadrare il problema è il primo passo per risolverlo e quindi significa che le organizzazioni devono comprendere e dare priorità alle soluzioni in grado di proteggere gli endpoint in modo automatico e completo rispetto a minacce a firma nota, ma anche in caso di 0-day e minacce più insidiose, offuscate e maligne per foggia e impatti. Inoltre, per respingere i criminali è richiesto un pool diversificato di tecnologie e di esperti di sicurezza formati con esperienza sul campo, capaci insieme di fornire un risultato efficace al 100%.
EDR Security: capiamo cosa sono
Un Endpoint Detection and Response noto anche come EDR Security, è una soluzione di sicurezza informatica che rileva e mitiga le minacce informatiche, monitorando continuamente i dispositivi endpoint e analizzandone i dati. Gartner definisce formalmente EDR come una soluzione che "registra e archivia i comportamenti a livello di sistema degli endpoint, utilizza varie tecniche di analisi dei dati per rilevare comportamenti sospetti del sistema, fornisce informazioni contestuali, blocca attività dannose e fornisce suggerimenti di riparazione per ripristinare i sistemi interessati". Diciamo quindi che un vero strumento di EDR Security dovrebbe avere le seguenti capacità:
- Ricerca e indagine dei dati sugli incidenti
- Valutazione degli avvisi o convalida delle attività sospette
- Rilevamento di attività sospette
- Caccia alle minacce o esplorazione dei dati
- Arresto di attività dannose
Diversamente da un semplice antivirus, l’EDR rileva le attività malevole e consente ai team di sicurezza di contenere l'avversario prima che possa spostarsi lateralmente nella rete.
Conoscere le soluzioni EDR
Le soluzioni EDR sono progettate per consentire la rilevazione degli attacchi verso gli endpoint e, in alcuni casi, rispondere in modo appropriato. Il principale mezzo per effettuare il loro lavoro è il monitoraggio continuo degli endpoint a mezzo di agent a bordo che registra tutte le attività del dispositivo.
La maggior parte delle soluzioni, inoltre, esegue la ricerca proattiva delle minacce per gli indicatori di attacco ed effettua la remediation ai cambiamenti causati dagli attacchi esterni. In particolare, un EDR può rilevare minacce sconosciute attraverso strumenti capaci di individuare comportamenti anomali e, contro tali minacce avanzate, offrire ai team di sicurezza e agli analisti SOC informazioni arricchite dal contesto e dati per la remediation.
Tuttavia, per le caratteristiche che hanno, gli EDR sono tipicamente utilizzati da grandi corporate o multinazionali che dispongono di budget significativi e tali da coprire sia i costi per il personale, sia le spese per l’allestimento di un Centro Operativo di Sicurezza (SOC - Security Operation Center). Il motivo risiede in alcune considerazioni e limitazioni degli EDR.
Limitazioni degli Endpoint Detection and Response
Il problema principale degli EDR è che da soli non sono sufficienti a proteggere effettivamente una organizzazione dai tipi di attacchi informatici avanzati che la minacciano ogni giorno. Considerati singolarmente, non riescono a ridurre il rischio di un valore tale da essere vantaggiosi.
Secondo una ricerca del Ponemon Institute, “The Third Annual Ponemon Institute Study on the State of Endpoint Security Risk”, infatti, il 65% delle aziende che non dispongono di una soluzione di rilevamento e risposta degli endpoint ha affermato di non averne una, perché l’Endpoint Detection and Response non è efficace contro minacce nuove o sconosciute.
Gli EDR di fatto eseguono una ricerca proattiva di minacce, ma uno dei principali problemi è rappresentato dalla mole di dati da gestire. Infatti, se l’entità delle varianti dei malware è arrivata a picchi di più di 1 miliardo di tipi distinti fra malware e applicazioni potenzialmente indesiderate a partire dal 9 gennaio 2020 (fonte AV-TEST), si capisce come non esista una qualsiasi soluzione in grado di rilevare ogni possibile variante con una certa affidabilità.
Inoltre, gli EDR forniscono un numero significativo di alert di tipo “falso positivo” che devono essere necessariamente analizzati, confermati o confutati da un team capace di lavorare in regime di h24x7. Questi team sono capaci di indagare manualmente sugli oltre 10.000 avvisi al giorno generati da questi prodotti, ma di fatto la numerosità dei dati da analizzare diventa progressivamente critica costringendo le organizzazioni a mantenere operativi numerosi professionisti della security.
Ne consegue che i costi sono l’altro tema critico per ogni singolo endpoint perché sono dovuti per lo strumento in sé, per le dotazioni necessarie all’enorme quantità di dati da trattare e ovviamente per il costo del lavoro correlato alle tante figure di security da impiegare. Anche se si trattasse di un fornitore di servizi MSP il costo finale per l’azienda che ne richiede i servizi sarebbe ulteriormente maggiorato.
Infine, ma non meno importante, l’EDR non fornisce visibilità di rete, perché le minacce che si insinuano sull’endpoint possono spostarsi lateralmente attraverso la rete. Attraverso contatti “clandestini”, un server C&C remoto, possono intaccare altre porzioni, senza essere rilevati e senza freni. Naturalmente l’EDR non può incidere sulle misure di Cyber hygiene di base che sono tipicamente demandate al personale e ai suoi comportamenti.
