EDR (Endpoint Detection and Reponse)

EDR utilizza l'analytics in tempo reale e l'automazione basata sull'AI per proteggere le organizzazioni dalle minacce informatiche che superano il software antivirus e altre tradizionali tecnologie di sicurezza degli endpoint.

Immagine isometrica illustrata di persone che lavorano con i computer
Cos'è EDR?

EDR (Endpoint Detection and Response), è un software progettato per proteggere automaticamente le organizzazioni e gli utenti, i dispositivi endpoint e gli asset IT di un'organizzazione dalle minacce informatiche che superano il software antivirus e altri strumenti di sicurezza degli endpoint tradizionali. 

EDR raccoglie continuamente i dati da tutti gli endpoint della rete: computer desktop e laptop, server, dispositivi mobili, dispositivi IoT (Internet of Things) e altro ancora. Analizza questi dati in tempo reale alla ricerca di prove di minacce informatiche note o sospette e può rispondere automaticamente per prevenire o ridurre al minimo i danni causati dalle minacce che identifica.


Perché le organizzazioni usano EDR

Riconosciuto per la prima volta da Gartner nel 2013, EDR gode oggi di un'ampia adozione a livello aziendale, e con giusta ragione. 

Gli studi stimano che fino al 90% degli attacchi informatici riusciti e il 70% delle violazioni dei dati riuscite provengono da dispositivi endpoint. Sebbene antivirus, antimalware, firewall e altre soluzioni di sicurezza degli endpoint tradizionali si siano evoluti nel tempo, sono ancora limitati al rilevamento delle minacce conosciute di endpoint, basate su file o su  firme. Sono molto meno efficaci, ad esempio, nel fermare gli attacchi di ingegneria sociale, come i messaggi di phishing che inducono le vittime a divulgare dati sensibili o a visitare siti web falsi contenenti codice dannoso. (Il phishing è il metodo di diffusione più comune per i ransomware). E sono impotenti contro un numero crescente di attacchi informatici "senza file" che operano esclusivamente nella memoria del computer per evitare del tutto la scansione di file o firme.

Cosa più importante, gli strumenti tradizionali per la sicurezza degli  endpoint non sono in grado di rilevare o neutralizzare le minacce avanzate che li superano di nascosto. Ciò consente a tali minacce di nascondersi e vagare per la rete per mesi, raccogliendo dati e identificando le vulnerabilità in preparazione del lancio di un attacco ransomware, un exploit zero-day o un altro attacco informatico su larga scala.

EDR interviene da dove queste tradizionali soluzioni di sicurezza degli endpoint si fermano. Le sue capacità di analytics del rilevamento delle minacce e di risposta automatizzata possono, spesso senza l'intervento umano, identificare e contenere potenziali minacce che penetrano il perimetro della rete prima che possano causare seri danni. EDR fornisce inoltre strumenti che i team di sicurezza possono utilizzare per scoprire, indagare e prevenire da soli le minacce sospette ed emergenti.


Come funziona EDR

Sebbene vi siano differenze tra i fornitori, le soluzioni EDR in genere combinano cinque funzionalità principali: raccolta continua dei dati degli endpoint, analisi in tempo reale e rilevamento delle minacce, risposta automatizzata alle minacce, isolamento e correzione delle minacce e supporto per la ricerca delle minacce.

Raccolta continua dei dati degli endpoint

EDR raccoglie continuamente dati - dati su processi, prestazioni, modifiche alla configurazione, connessioni di rete, download o trasferimenti di file e dati, comportamenti dell'utente finale o del dispositivo - da ogni dispositivo endpoint sulla rete. I dati vengono archiviati in un database centrale o in un data lake, generalmente ospitato nel cloud. 

La maggior parte delle soluzioni di sicurezza EDR raccoglie questi dati installando uno strumento di raccolta dati leggero, o agent, su ogni dispositivo endpoint; alcuni possono invece fare affidamento sulle funzionalità nel sistema operativo dell'endpoint.

Analisi in tempo reale e rilevamento delle minacce

EDR utilizza algoritmi avanzati di analytics e machine learning per identificare i modelli che indicano minacce note o attività sospette in tempo reale, mentre si svolgono. 

In generale, EDR ricerca due tipi di indicatori: indicatori di compromissione (IOC, indicator of compromise), che sono azioni o eventi coerenti con un potenziale attacco o violazione; e indicatori di attacco (IOA, indicator of attack), che sono azioni o eventi associati a minacce informatiche o criminali informatici noti. 

Per identificare questi indicatori, EDR correla i propri dati endpoint in tempo reale con i dati dei servizi di intelligence sulle minacce, che forniscono informazioni continuamente aggiornate sulle minacce informatiche nuove e recenti - le tattiche utilizzate, le vulnerabilità degli endpoint o dell'infrastruttura IT che sfruttano e altro ancora. I servizi di intelligence sulle minacce possono essere proprietari (gestiti dal provider EDR), di terze parti o basati sulla community. Inoltre, molte soluzioni EDR associano anche i dati a Mitre ATT&CK, una base di conoscenza globale liberamente accessibile delle tattiche e delle tecniche di minacce informatiche degli hacker a cui contribuisce il Governo degli Stati Uniti.

L'analisi e gli algoritmi EDR possono anche svolgere le proprie indagini, confrontando i dati in tempo reale con i dati cronologici e stabilire le linee di base per identificare attività sospette, attività aberranti dell'utente finale e qualsiasi cosa che possa indicare un incidente o una minaccia alla sicurezza informatica. Possono anche separare i "segnali" o le minacce legittime dal "rumore" dei falsi positivi, in modo che gli analisti della sicurezza possano concentrarsi sugli incidenti che contano.

Molte aziende integrano EDR con una soluzione SIEM (security information and event management), che raccoglie informazioni correlate alla sicurezza in tutti i livelli dell'infrastruttura IT - non solo negli endpoint, ma anche nelle applicazioni, nei database, nei browser web, nell'hardware di rete e altro ancora. I dati SIEM possono arricchire l'analisi EDR con un contesto aggiuntivo per identificare, assegnare la priorità, indagare e correggere le minacce.

EDR riepiloga dati importanti e risultati analitici in una console di gestione centrale che funge anche da interfaccia utente (IU) della soluzione. Dalla console, i membri del team di sicurezza ottengono visibilità completa su ogni endpoint e su ogni problema di sicurezza di endpoint, a livello aziendale, e avviano indagini, risposte alle minacce e correzioni che coinvolgono tutti gli endpoint.

Risposta automatizzata alle minacce

L'automazione è ciò che mette la "risposta" - o meglio la risposta rapida - in EDR. Sulla base di regole predefinite impostate dal team di sicurezza - o "apprese" nel tempo dagli algoritmi di machine learning - le soluzioni EDR possono automaticamente

  • Avvisare gli analisti della sicurezza di minacce specifiche o attività sospette
  • Valutare o assegnare priorità agli avvisi in base alla gravità
  • Generare un report di "tracciamento a ritroso" che traccia ogni tappa di un incidente o di una minaccia sulla rete, fino a risalire alla sua causa principale
  • Disconnettere un dispositivo endpoint o disconnettere un utente finale dalla rete
  • Arrestare i processi di sistema o endpoint
  • Impedire a un endpoint di eseguire (innescare) un file o un allegato e-mail dannoso o sospetto
  • Attivare software antivirus o antimalware per eseguire la scansione di altri endpoint sulla rete alla ricerca della stessa minaccia

EDR può automatizzare l'indagine sulle minacce e le attività di riparazione (vedi sotto). E può essere integrato con i sistemi SOAR (security orchestration, automation and response) per automatizzare i playbook di risposta alla sicurezza (sequenze di risposta agli incidenti) che coinvolgono altri strumenti di sicurezza.

Tutta questa automazione aiuta i team di sicurezza a rispondere più rapidamente a incidenti e minacce, per prevenire e ridurre al minimo i danni che possono causare alla rete. E aiuta i team di sicurezza a lavorare nel modo più efficiente possibile con il personale che hanno a disposizione.

Indagine e correzione

Una volta che una minaccia è stata isolata, EDR fornisce funzionalità che gli analisti della sicurezza possono utilizzare per indagare ulteriormente sulla minaccia. Ad esempio, l'analytics forense aiuta gli analisti della sicurezza a individuare con precisione la causa principale di una minaccia, identificare i vari file interessati e identificare la vulnerabilità o le vulnerabilità sfruttate dagli aggressori che entrano e si spostano nella rete, ottengono l'accesso alle credenziali di autenticazione o svolgono altre attività dannose.

Avendo queste informazioni a disposizione, gli analisti possono utilizzare strumenti di correzione per eliminare la minaccia. La correzione potrebbe comportare

  • L'eliminazione dei file dannosi e la loro cancellazione dagli endpoint
  • Il ripristino di configurazioni, impostazioni di registro, dati e file dell'applicazione danneggiati
  • L'applicazione di aggiornamenti o patch per eliminare le vulnerabilità
  • L'aggiornamento delle regole di rilevamento per evitare che si ripetano

Supporto per la ricerca delle minacce

La ricerca delle minacce (detta anche ricerca delle minacce informatiche) è un esercizio di sicurezza proattivo in cui un analista della sicurezza cerca nella rete minacce ancora sconosciute o minacce note che devono essere ancora rilevate o corrette dagli strumenti di sicurezza informatica automatizzati dell'organizzazione. Ricordiamo che le minacce avanzate possono nascondersi per mesi prima di essere rilevate, raccogliendo informazioni di sistema e credenziali utente in preparazione a una violazione su larga scala. Una ricerca efficace e tempestiva delle minacce può ridurre il tempo necessario per rilevare e correggere queste minacce e limitare o prevenire i danni causati dall'attacco.

I cercatori di minacce utilizzano una varietà di tattiche e tecniche, la maggior parte delle quali si basa sulle stesse origini dati, analytics e funzionalità di automazione utilizzate da EDR per il rilevamento, la risposta e la correzione delle minacce. Ad esempio, un analista alla ricerca di minacce potrebbe voler cercare uno specifico file, una modifica alla configurazione o un'altra risorsa sulla base dell'anaytics forense o dei dati MITRE ATT&CK che descrivono i metodi di uno specifico aggressore.

Per supportare la ricerca delle minacce, EDR rende disponibili queste funzionalità agli analisti della sicurezza tramite mezzi basati sull'interfaccia utente o di programmazione, in modo da poter eseguire ricerche ad hoc, query di dati, correlazioni con l'intelligence sulle minacce e altre indagini. Gli strumenti EDR destinati specificamente alla ricerca delle minacce includono tutto, dai semplici linguaggi di scripting (per automatizzare le attività comuni) agli strumenti di query in linguaggio naturale.


Confronto tra EDR ed EPP

EPP (endpoint protection platform), è una piattaforma di sicurezza integrata che combina software anti-malware a antivirus di nuova generazione (NGAV, next-generation antivirus) con software di controllo web/filtro web, firewall, gateway e-mail e altre tecnologie di sicurezza degli endpoint tradizionali. 

Ancora, le tecnologie EPP sono concentrate principalmente sulla prevenzione delle minacce note, o delle minacce che si comportano in modi noti, agli endpoint. EDR ha la capacità di identificare e contenere minacce sconosciute o potenziali che superano le tradizionali tecnologie di sicurezza degli endpoint. Tuttavia, molti EPP si sono evoluti per includere funzionalità EDR come l'analytics avanzata di rilevamento delle minacce e L'analisi del comportamento degli utenti. 


Confronto tra EDR, XDR e MDR

Come EDR, XDR (extended detection and response) e MDR (managed detection and response) sono soluzioni di rilevamento delle minacce aziendali basate su analytics e AI. Differiscono da EDR nella portata della protezione che forniscono e nel modo in cui vengono erogati.

XDR integra gli strumenti di sicurezza nell'intera infrastruttura ibrida di un'organizzazione – non solo gli endpoint, ma anche reti, e-mail, applicazioni, carichi di lavoro cloud e altro ancora – in modo che questi strumenti possano interagire e coordinarsi sulla prevenzione, il rilevamento e la risposta alle minacce informatiche. Come EDR, XDR integra SIEM, SOAR e altre tecnologie di sicurezza informatica aziendale. Una tecnologia ancora emergente ma in rapida evoluzione, XDR ha il potenziale per rendere i SOC (security operations center) sovraccaricati molto più efficienti ed efficaci unificando punti di controllo della sicurezza, telemetria, analisi e operazioni in un unico sistema aziendale centrale.

MDR è un servizio di sicurezza informatica in outsourcing che protegge un'organizzazione dalle minacce che superano le sue operazioni di sicurezza informatica. I provider MDR in genere offrono servizi di monitoraggio, rilevamento e correzione delle minacce 24 ore su 24, 7 giorni su 7 da un team di analisti della sicurezza altamente qualificati che lavorano in remoto con tecnologie EDR o XDR basate sul cloud. MDR può essere una soluzione interessante per un'organizzazione che necessita di competenze in materia di sicurezza superiori a quelle di cui dispone nel suo personale o di tecnologie di sicurezza oltre il suo budget.


Soluzioni correlate

IBM Security ReaQta

Sicurezza degli endpoint automatizzata basata sull'AI per rilevare e correggere le minacce in tempo quasi reale.


Servizi MDR (Managed Detection and Response)

Servizi gestiti di prevenzione, rilevamento e risposta basati sull'AI per una difesa dalle minacce più rapida negli endpoint.


Servizi di gestione della sicurezza degli endpoint

Gestione degli endpoint moderna per proteggere i tuoi utenti finali e i loro dispositivi dalle più recenti minacce alla sicurezza informatica.


UEM (unified endpoint management)

Adotta un approccio AI open cloud per proteggere e gestire qualsiasi dispositivo con una soluzione UEM.


Soluzioni NDR (Network Detection and Response)

Le soluzioni di rilevamento e risposta della rete aiutano i team di sicurezza ad analizzare le attività di rete in tempo reale.


IAM (Identity and Access Management)

Connetti ogni utente al giusto livello di accesso con la soluzione IAM IBM Security Verify.


Soluzioni di risposta agli incidenti

Orchestra la risposta agli incidenti per unificare l'organizzazione in caso di un attacco informatico.


Soluzioni zero trust

Scopri le soluzioni di sicurezza personalizzate per ogni utente, ogni dispositivo e ogni connessione.


IBM Security QRadar SIEM

Visibilità centralizzata e analytics di sicurezza intelligente per rilevare, investigare e rispondere alle minacce critiche alla sicurezza informatica.