Le imprese, grandi e piccole, sono spesso costrette a scegliere tra strumenti e servizi di sicurezza informatica che svolgono funzioni diverse. Dopo il periodo di ricorso agli antivirus (AV) da PC, una delle soluzioni più popolari su cui le aziende hanno basato la scelta negli ultimi anni, riguarda i sistemi EDR, Endpoint Detection and Response. Sebbene rappresentino parte importante di una strategia di sicurezza, da soli non sono sufficienti, perché non sempre si rivelano completamente efficaci.
In effetti, i prodotti di EDR per l'Endpoint Security sono efficaci in termini di pulizia dei software malevoli in circa il 40% dei casi. È stato scoperto che gli endpoint arrivano a contenere diverse minacce nascoste come trojan, backdoor e rootkit, come riporta Acronis.
Inquadrare il problema è il primo passo per risolverlo e quindi significa che le organizzazioni devono comprendere e dare priorità alle soluzioni in grado di proteggere gli endpoint in modo automatico e completo rispetto a minacce a firma nota, ma anche in caso di 0-day e minacce più insidiose, offuscate e maligne per foggia e impatti. Inoltre, per respingere i criminali è richiesto un pool diversificato di tecnologie e di esperti di sicurezza formati con esperienza sul campo, capaci insieme di fornire un risultato efficace al 100%.
Un Endpoint Detection and Response, noto anche come EDR Security, è una soluzione di sicurezza informatica che rileva e mitiga le minacce, monitorando continuamente i dispositivi endpoint e analizzandone i dati.
Gartner definisce formalmente EDR come una soluzione che "registra e archivia i comportamenti a livello di sistema degli endpoint, utilizza varie tecniche di analisi dei dati per rilevare comportamenti sospetti del sistema, fornisce informazioni contestuali, blocca attività dannose e fornisce suggerimenti di riparazione per ripristinare i sistemi interessati". Pertanto, un vero strumento di EDR Security dovrebbe avere le seguenti capacità.
Diversamente da un semplice antivirus, l’EDR rileva le attività malevole e consente ai team di sicurezza di contenere l'avversario prima che possa spostarsi lateralmente nella rete.
Le soluzioni EDR sono progettate per consentire la rilevazione degli attacchi verso gli endpoint e, in alcuni casi, rispondere in modo appropriato. Il principale mezzo per effettuare il loro lavoro è il monitoraggio continuo degli endpoint a mezzo di agent a bordo che registra tutte le attività del dispositivo.
La maggior parte delle soluzioni, inoltre, esegue la ricerca proattiva delle minacce per gli indicatori di attacco ed effettua la remediation ai cambiamenti causati dagli attacchi esterni. In particolare, un EDR può rilevare minacce sconosciute attraverso strumenti capaci di individuare comportamenti anomali e, contro tali minacce avanzate, offrire ai team di sicurezza e agli analisti SOC informazioni arricchite dal contesto e dati per la remediation.
Tuttavia, per le caratteristiche che hanno, gli EDR sono tipicamente utilizzati da grandi corporate o multinazionali che dispongono di budget significativi e tali da coprire sia i costi per il personale, sia le spese per l’allestimento di un Centro Operativo di Sicurezza (SOC - Security Operation Center). Il motivo risiede in alcune considerazioni e limitazioni degli EDR.
Il problema principale degli EDR è che da soli non sono sufficienti a proteggere effettivamente una organizzazione dai tipi di attacchi informatici avanzati che la minacciano ogni giorno. Considerati singolarmente, non riescono a ridurre il rischio di un valore tale da essere vantaggiosi.
Gli EDR di fatto eseguono una ricerca proattiva di minacce, ma uno dei principali problemi è rappresentato dalla mole di dati da gestire. Infatti, se l’entità delle varianti dei malware è arrivata a picchi di più di 1 miliardo di tipi, distinti fra malware e applicazioni potenzialmente indesiderate, come riporta AV-TEST, si capisce come non esista una qualsiasi soluzione in grado di rilevare ogni possibile variante con una certa affidabilità.
Inoltre, gli EDR forniscono un numero significativo di alert di tipo “falso positivo” che devono essere necessariamente analizzati, confermati o confutati da un team capace di lavorare in regime di h24x7. Questi team sono capaci di indagare manualmente sugli oltre 10.000 avvisi al giorno generati da questi prodotti, ma di fatto la numerosità dei dati da analizzare diventa progressivamente critica costringendo le organizzazioni a mantenere operativi numerosi professionisti della security.
Ne consegue che i costi sono l’altro tema critico per ogni singolo endpoint perché sono dovuti per lo strumento in sé, per le dotazioni necessarie all’enorme quantità di dati da trattare e ovviamente per il costo del lavoro correlato alle tante figure di security da impiegare. Anche se si trattasse di un fornitore di servizi MSP, il costo finale per l’azienda che ne richiede i servizi sarebbe ulteriormente maggiorato.
Infine, ma non meno importante, l’EDR non fornisce visibilità di rete, perché le minacce che si insinuano sull’endpoint possono spostarsi lateralmente attraverso la rete. Attraverso contatti “clandestini”, un server C&C remoto, possono intaccare altre porzioni, senza essere rilevati e senza freni. Naturalmente l’EDR non può incidere sulle misure di cyber hygiene di base che sono tipicamente demandate al personale e ai suoi comportamenti.
A fronte delle limitazioni dei sistemi EDR, le aziende stanno spostando gli investimenti dall’acquisto della mera tecnologia all’adozione di un servizio completo fornito da specialisti esterni.
Le soluzioni MDR (Managed Detection and Response) garantiscono infatti la disponibilità di un team di professionisti in outsourcing che monitora per conto del cliente endpoint, reti e risorse IT locali o in cloud. Il tutto in modalità continuativa, 24 ore al giorno, 7 giorni alla settimana. Così nel caso di anomalie e segnali che potrebbero ricondurre a un tentativo di attacco o a una violazione in corso, la squadra di esperti allerta il SOC per suggerire e lavorare insieme a una possibile soluzione, mitigando i rischi e contenendo la minaccia.
L’MDR sta diventando la scelta prediletta dalle aziende. Come riporta MarketsAndMarkets, il mercato di questi servizi valeva 3,3 miliardi di dollari nel 2023 e si stima raggiunga la cifra di 9,5 miliardi entro il 2028 grazie a un tasso di crescita medio annuo del 23,3%. L’espansione è attribuibile a una serie di fattori: non solo l’aumento delle minacce in numero e sofisticazione, ma anche la necessità di colmare il gap di competenze in materia di cybersecurity e di gestire l’enorme quantità di alert provenienti dagli endpoint e dai sistemi IT.
EDR e MDR, con le loro specifiche implicazioni in termini di costi e peso operativo, si confermano due approcci divergenti a causa delle esigenze di risorse che comportano.
I sistemi EDR si concentrano sul monitoraggio e sulla protezione degli endpoint, mettendo l’accento sulla detection: per questo, non forniscono né una copertura completa dei sistemi IT né indicazioni per la parte di response. Inoltre, non è prevista una disponibilità H24.
I servizi MDR invece moltiplicano i benefici per le imprese. Innanzitutto, la disponibilità 24/7 di un team di esperti che monitora gli asset IT - sistemi on-premise, reti, risorse cloud e naturalmente gli stessi endpoint - e analizza gli alert, suggerendo al SOC aziendale le azioni di risposta.
L’MDR favorisce anche una strategia basata sulla prioritizzazione delle minacce e degli interventi, facendo leva su una maggiore efficacia grazie all’unione di intenti tra professionisti interni ed esterni, senza dimenticare il ricorso a meccanismi di automazione, attraverso l’utilizzo dell’intelligenza artificiale e del machine learning.
Le evidenti differenze di approccio stanno decretando la crescente popolarità dei servizi MDR a discapito dei sistemi EDR. Secondo Gartner, entro il 2025, il 60% delle organizzazioni, contro l’attuale 30%, farà ricorso alle capacità di monitoraggio e contenimento delle minacce erogate in outsourcing dai fornitori di servizi MDR.
Come riporta IBM, poi, per far fronte agli attacchi affidarsi a un Managed Service Security Provider (MSSP) è diventato cruciale: basti pensare che le imprese che, nell'ultimo anno, hanno collaborato con un MSSP sono riuscite a rilevare le violazioni ben 16 giorni più rapidamente, registrando un tempo di identificazione inferiore dell'8,2% rispetto alla media globale di 204 giorni prevista per il 2023.
Pertanto, le aziende stanno scegliendo sempre più spesso la sicurezza gestita per ragioni come:
Il futuro volge in favore delle soluzioni gestite di detection e response, che assicurano una protezione più completa, puntuale ed efficace sull’intero parco IT aziendale, riducendo l’effort interno.