Cos'è l'EDR?

L'EDR raccoglie costantemente dati da tutti gli endpoint della rete: computer desktop e laptop, server, dispositivi mobili, dispositivi IoT (Internet of Things) e altro ancora. Analizza questi dati in tempo reale alla ricerca di prove di minacce informatiche note o sospette e può rispondere automaticamente per prevenire o ridurre al minimo i danni causati dalle minacce individuate.

Riconosciuto per la prima volta da Gartner nel 2013, EDR gode oggi di un’ampia adozione da parte delle aziende, per validi motivi.

Gli studi stimano che circa il 90% degli attacchi informatici riusciti e il 70% delle violazioni dei dati riuscite hanno origine nei dispositivi endpoint. Sebbene antivirus, antimalware, firewall e altre tradizionali soluzioni di sicurezza degli endpoint si siano evoluti nel tempo, sono ancora limitati al rilevamento delle minacce endpoint note, basate su file o su firma.

Sono molto meno efficaci, ad esempio, nel bloccare gli attacchi di ingegneria sociale, come i messaggi di phishing che inducono le vittime a divulgare dati sensibili o a visitare siti web falsi contenenti un codice dannoso. (Il phishing è il metodo di diffusione più comune per il ransomware.) E sono impotenti contro un numero crescente di attacchi informatici “senza file” che operano esclusivamente nella memoria del computer per evitare del tutto la scansione di file o firme.

Soprattutto, gli strumenti di sicurezza endpoint tradizionali non sono in grado di rilevare o neutralizzare le minacce avanzate che li eludono. Ciò consente a queste minacce di nascondersi e di vagare per la rete per mesi, raccogliendo dati e individuando vulnerabilità in preparazione del lancio di un attacco ransomware, di un exploit zero-day o di un altro attacco informatico su larga scala.

EDR riprende da dove si interrompono queste tradizionali soluzioni di sicurezza degli endpoint. Le sue funzionalità di rilevamento delle minacce, analisi e risposta automatizzata possono, spesso senza intervento umano, individuare e contenere potenziali minacce che penetrano nel perimetro della rete prima che possano causare gravi danni.

EDR fornisce inoltre strumenti che i team di sicurezza possono utilizzare per scoprire, indagare e prevenire autonomamente le minacce sospette ed emergenti.

Sebbene esistano differenze tra i fornitori, le soluzioni EDR in genere combinano cinque funzionalità principali: raccolta costante di dati sugli endpoint, analisi e rilevamento delle minacce in tempo reale, risposta automatizzata alle minacce, isolamento e risoluzione delle minacce e supporto per il rilevamento delle minacce.

EDR raccoglie costantemente dati (dati relativi a processi, prestazioni, modifiche di configurazione, connessioni di rete, download o trasferimenti di file e dati, comportamenti degli utenti finali o dei dispositivi) da ogni dispositivo endpoint della rete.

I dati vengono memorizzati in un database centrale o in un data lake, generalmente ospitato nel cloud.

La maggior parte delle soluzioni di sicurezza EDR raccoglie questi dati installando uno strumento di raccolta dati leggero, o agente, su ogni dispositivo endpoint; alcuni possono invece basarsi sulle funzionalità del sistema operativo dell’endpoint.

EDR utilizza algoritmi avanzati di analytics e il machine learning per individuare pattern che indicano minacce note o attività sospette in tempo reale, via via che si presentano.

In generale, EDR cerca due tipi di indicatori: indicatori di compromissione (IOC), ovvero azioni o eventi che potrebbero indicare un potenziale attacco o violazione, e indicatori di attacco (IOA), ovvero azioni o eventi associati a minacce informatiche o a criminali informatici noti.

Per individuare questi indicatori, EDR corregge i propri dati degli endpoint in tempo reale con i dati dei servizi di threat intelligence, che offrono informazioni costantemente aggiornate sulle nuove e recenti minacce informatiche, le tattiche che utilizzano, l’endpoint o le vulnerabilità dell’infrastruttura IT che sfruttano e altro ancora.

I servizi di threat intelligence possono essere proprietari (gestiti dal provider EDR), di terze parti o basati sulla community. Inoltre, numerose soluzioni EDR mappano i dati anche su Mitre ATT & CK, una base di conoscenza globale liberamente accessibile sulle tattiche e le tecniche delle minacce informatiche degli hacker a cui contribuisce il governo degli Stati Uniti.

Le analisi e gli algoritmi EDR possono inoltre svolgere le proprie indagini, confrontando i dati in tempo reale con i dati storici e le linee di base stabilite per individuare attività sospette, attività aberranti degli utenti finali e tutto ciò che potrebbe indicare un incidente o una minaccia di sicurezza informatica. Possono separare i “segnali”, o minacce legittime, dal “rumore” dei falsi positivi, in modo che gli analisti della sicurezza possano concentrarsi sugli incidenti che hanno importanza.

Numerose aziende integrano l’EDR con una soluzione SIEM (Security information and event management), che raccoglie la sicurezza di tutti i livelli dell’infrastruttura IT, non solo endpoint, ma anche applicazioni, database, browser web, hardware di rete e altro ancora. I dati SIEM possono arricchire le analisi EDR con un contesto aggiuntivo per individuare, dare priorità, investigare e rimediare alle minacce.

L’EDR riassume i dati importanti e i risultati analitici in una console di gestione centrale che ha anche funzione da interfaccia utente (UI) della soluzione. Dalla console, i membri del team di sicurezza ottengono piena visibilità su ogni endpoint e problema di sicurezza degli endpoint, a livello aziendale e avviano indagini, risposte alle minacce e correzioni che coinvolgono tutti gli endpoint.

L’automazione è ciò che mette la “risposta” - in realtà la risposta rapida - nell’EDR.

In base a regole predefinite stabilite dal team addetto alla sicurezza oppure “apprese” nel tempo dagli algoritmi di apprendimento automatico, le soluzioni EDR possono automaticamente:

• Avvisare gli analisti della sicurezza di minacce specifiche o attività sospette
• Valutare o assegnare priorità agli avvisi in base alla gravità
• Genera un report di “track back” che traccia un incidente o una minaccia in ogni punto della rete, fino alla causa principale
• Scollegare un dispositivo endpoint o disconnettere un utente finale dalla rete
• Arrestare i processi di sistema o endpoint
• Impedisci a un endpoint di eseguire (far esplodere) un file o un allegato e-mail dannoso o sospetto
• Attiva il software antivirus o antimalware per scansionare eventuali altri endpoint sulla rete alla ricerca della stessa minaccia

L’EDR può automatizzare le attività di analisi e correzione delle minacce (vedi di seguito). Può inoltre essere integrato con i sistemi SOAR (Security orchestration, automation and response) per automatizzare i playbook di risposta alla sicurezza (sequenze di risposta agli incidenti) che implicano altri strumenti di sicurezza.

Tutta questa automazione aiuta i team addetti alla sicurezza a rispondere più velocemente agli incidenti e alle minacce, per evitare di ridurre al minimo i danni che possono causare alla rete. E aiuta i team di sicurezza a lavorare nel modo più efficiente possibile con il personale a disposizione.

Una volta isolata una minaccia, l’EDR fornisce funzionalità che gli analisti della sicurezza possono utilizzare per indagare ulteriormente sulla minaccia.

Ad esempio, le analisi forensi aiutano gli analisti della sicurezza a individuare la causa principale di una minaccia, a identificare i vari file su cui ha avuto impatto e a individuare la vulnerabilità o le vulnerabilità che l’aggressore ha sfruttato per entrare e spostarsi all’interno della rete, accedere alle credenziali di autenticazione o eseguire altre attività dannose.

Se in possesso di queste informazioni, gli analisti possono utilizzare strumenti di correzione per eliminare la minaccia. La correzione potrebbe comportare:

• Distruzione dei file dannosi ed eliminazione dagli endpoint
  
• Ripristino di configurazioni danneggiate, impostazioni di registro, dati e file applicativi
• Applicazione di aggiornamenti o patch per eliminare le vulnerabilità
• Aggiornamento delle regole di rilevamento per prevenire una ricorrenza

Il rilevamento delle minacce (chiamato anche cyberthreat hunting) è un esercizio proattivo sulla sicurezza in cui un analista della sicurezza cerca minacce sconosciute o minacce conosciute ancora da rilevare o rimediare utilizzando gli strumenti automatizzati di sicurezza informatica delle organizzazioni.

Ricorda che le minacce avanzate possono rimanere in agguato per mesi prima di essere rilevate, raccogliendo informazioni di sistema e le credenziali di un utente in preparazione di una violazione su larga scala. Un rilevamento delle minacce efficace e tempestivo può ridurre il tempo necessario per rilevare e porre rimedio a tali minacce e limitare o prevenire i danni derivanti dall’attacco.

I rilevatori di minacce utilizzano una varietà di tattiche e tecniche, la maggior parte delle quali si basa sulle stesse fonti di dati, analisi e funzionalità di automazione che l’EDR utilizza per il rilevamento, la risposta e la riparazione delle minacce. Ad esempio, un analista di rilevamento delle minacce potrebbe voler cercare un particolare file, una modifica della configurazione o un altro artefatto basato sull’analisi forense, oppure i dati di MITRE ATT&CK che descrivono i metodi di un particolare criminale informatico.

Per supportare il rilevamento delle minacce, l’EDR mette queste funzionalità a disposizione degli analisti della sicurezza attraverso strumenti programmatici o basati sull’interfaccia utente, in modo che possano eseguire ricerche ad hoc, query di dati, correlazioni con l’intelligence sulle minacce e altre indagini.

Gli strumenti EDR destinati specificamente al rilevamento e risposta degli endpoint includono tutto, dai semplici linguaggi di scripting (per automatizzare le attività comuni) agli strumenti di query in linguaggio naturale.

Un’EPP, o piattaforma di protezione degli endpoint, è una piattaforma di sicurezza integrata che combina software antivirus e antimalware di nuova generazione (NGAV) con software di controllo/filtro web, firewall, gateway di e-mail e altre tecnologie tradizionali di sicurezza degli endpoint.

Anche in questo caso, le tecnologie EPP si concentrano principalmente sulla prevenzione di minacce note, o di minacce che si comportano in modi noti, in corrispondenza degli endpoint. EDR è in grado di individuare e contenere minacce sconosciute o potenziali che superano le tradizionali tecnologie di sicurezza degli endpoint.

Tuttavia, numerose EPP si sono evolute per includere funzionalità EDR come l’analisi avanzata del rilevamento delle minacce e l’analisi del comportamento degli utenti.

Come EDR, anche XDR (Extended detection and response) e MDR (Managed detection and response) sono soluzioni di analisi e rilevamento delle minacce aziendali basate sull’AI. Rispetto all’EDR, si differenziano nell’ambito della protezione che forniscono e nel modo in cui vengono erogati.

XDR integra gli strumenti di sicurezza in tutta l’infrastruttura ibrida di un’organizzazione, non solo gli endpoint, ma anche le reti, le e-mail, le applicazioni, i workload cloud e altro ancora, in modo che questi strumenti possano interagire e coordinarsi sulla prevenzione, il rilevamento e la risposta alle minacce informatiche.

Esattamente come EDR, anche XDR integra le tecnologie SIEM, SOAR e altre tecnologie di cybersecurity aziendale. XDR è una tecnologia ancora emergente ma in rapida evoluzione, in grado di rendere i centri operativi per la sicurezza (SOC) molto più efficienti ed efficaci unificando i punti di controllo della sicurezza, la telemetria, l’analisi e le operazioni in un unico sistema aziendale centrale.

MDR è un servizio di cybersecurity in outsourcing che protegge un’organizzazione dalle minacce che superano le sue stesse operazioni di cybersecurity. I fornitori di MDR offrono in genere servizi di monitoraggio, rilevamento e risoluzione delle minacce 24 ore su 24, 7 giorni su 7, da parte di un team di analisti della sicurezza altamente qualificato che lavora da remoto con tecnologie EDR o XDR basate su cloud.

MDR può rappresentare una soluzione interessante per un’organizzazione che ha bisogno di competenze in materia di sicurezza superiori a quelle di cui dispone in termini di personale o di tecnologie di sicurezza superiori al proprio budget.