Tutti i segreti della Cybersecurity: il blog di Cyberoo

MDR oltre l'EDR per affrontare malware zero-day

Scritto da cyberoo-admin | 21 ottobre 2021

Quello di garantire la sicurezza delle reti aziendali è un compito delicato, che la crescente articolazione delle infrastrutture IT e le minacce informatiche di nuova generazione contribuiscono a rendere ancora più complesso. Nel nuovo quadro in cui si colloca la cyber security, il tradizionale approccio basato sulla protezione del perimetro aziendale è ormai insufficiente a garantire la protezione delle risorse aziendali. Per affrontare le nuove sfide, è necessario un “salto evolutivo” verso la logica della managed detection and response, dotando il network di strumenti adeguati a contrastare con efficacia i sempre più numerosi attacchi informatici.


La nuova strategia di detection

La logica della managed detection and response si basa sia sulla disponibilità di competenze specifiche offerte da una struttura dedicata alla security sia sull’uso di strumenti di rilevazione di nuova generazione. Di fronte all’iper-attivismo dei pirati informatici, che sono ormai in grado di sfornare malware zero-day con una frequenza impressionante, le tecniche di rilevamento antivirus basate su signature (i campioni di malware che permettono di identificarli) sono state infatti superate attraverso l’introduzione di sistemi EDR (Endpoint Detection Response) che utilizzano sistemi di rilevamento basati su machine learning e intelligenza artificiale.

Da un punto di vista tecnico, il loro funzionamento non si basa esclusivamente sul riconoscimento del codice malevolo, ma dall’analisi delle attività sul dispositivo e il loro confronto con gli schemi (pattern) di attacco conosciuti. In questo modo, gli EDR permettono di individuare anche i malware sconosciuti. Non solo: in fase di response, lo strumento permette anche di mettere in atto (manualmente o automaticamente) le contromisure che permettono di bloccare l’attività sospetta.


Allargare il campo di azione

Nell’ottica descritta, l’approccio alla cyber security attraverso un servizio di managed detection and response migliora la sua efficacia proporzionalmente alla quantità di dati che possono essere correlati per individuare le eventuali minacce. Per farlo, è necessario un approccio cross layered, che affianca all’uso degli EDR sui singoli dispositivi un sistema di rilevamento in grado di “coprire” anche l’infrastruttura di rete e integrare dati di sicurezza provenienti da altre fonti. La strategia, in pratica, punta ad allargare il campo di azione ed essere così in grado di individuare i pattern malevoli in anticipo, spesso ancora prima che si verifichi l’evento che può far scattare l’allarme a livello di EDR.

In altre parole, attraverso questa tecnica è possibile aumentare il numero di sensori a disposizione e utilizzare un maggior numero di informazioni per eseguire i controlli. Dati come quelli relativi agli accessi in rete o alla loro geolocalizzazione, possono per esempio essere messi in relazione con le attività registrate sui sistemi aziendali, consentono così di individuare immediatamente le attività sospette e arginarle prima ancora che si arrivi a una vera compromissione. 


L’importanza di un sistema di managed detection and response

Nel quadro descritto, la capacità di analizzare i dati e intervenire tempestivamente rappresentano fattori fondamentali per l’efficacia del sistema di protezione. Il fulcro di tutto è il SOC (Security Operation Center), cioè un team di analisti cui è affidato il compito di verificare gli alert, analizzarli e individuare le cause. Un compito estremamente delicato, che viene reso più agevole dai sistemi di intelligenza artificiale che consentono di eseguire la prima scrematura degli allarmi, in modo che vengano evidenziati solo quelli rilevanti.

In questo modo, è possibile consentire ai membri del SOC di concentrarsi sugli eventi più importanti, approfondire l’analisi e predisporre le contromisure. La managed detection and response, erogata sotto forma di servizio gestito, permette di avere a disposizione quelle competenze specifiche e capacità di analisi che permettono di passare da una impostazione di difesa “attiva” a una di difesa “proattiva”, in cui i pattern di attacco vengono riconosciuti prima che si trasformino in un reale problema.