Le EPP si concentrano sulla prevenzione di minacce note o di minacce che si comportano in modi noti. Un'altra classe di soluzioni di endpoint security, chiamata rilevamento e risposta degli endpoint (EDR), consente ai team di sicurezza di rispondere alle minacce che sfuggono agli strumenti preventivi di endpoint security.
Le soluzioni EDR monitorano continuamente i file e le applicazioni che entrano in ogni dispositivo, alla ricerca di attività sospette o dannose che indichino malware, ransomware o minacce avanzate. Inoltre, l'EDR raccoglie continuamente dati di sicurezza e telemetria dettagliati, memorizzandoli in un data lake dove possono essere utilizzati per analisi in tempo reale, analisi della causa principale, rilevamento delle minacce e altro ancora.
L'EDR include in genere analisi avanzate, analisi comportamentale, intelligenza artificiale (AI) e machine learning, funzionalità di automazione, avvisi intelligenti e funzionalità di analisi e correzione che consentono ai team di sicurezza di:
- Correlare gli indicatori di compromissione (IOC) e altri dati di endpoint security con i feed di threat intelligence per rilevare le minacce avanzate in tempo reale.
- Ricevere notifiche di attività sospette o di minacce effettive in tempo reale, insieme a dati contestuali che possono aiutare a isolare le cause principali e accelerare l'analisi delle minacce.
- Eseguire l'analisi statica (analisi del codice che si sospetta sia dannoso o infetto) o l'analisi dinamica (esecuzione del codice sospetto in isolamento).
- Impostare delle soglie per i comportamenti degli endpoint e degli avvisi quando tali soglie vengono superate.
- Automatizzare le risposte, come la disconnessione e la messa in quarantena di singoli dispositivi o il blocco di processi, per limitare i danni fino alla risoluzione della minaccia.
- Determinare se altri dispositivi endpoint sono stati colpiti dallo stesso affatto informatico.
Molte EPP più recenti o più avanzate includono alcune funzionalità EDR, ma per una protezione completa degli endpoint che comprenda prevenzione e risposta, la maggior parte delle aziende dovrebbe utilizzare entrambe le tecnologie.