LA GUIDA PRATICA

Endpoint Detection and Response, per rilevare e rispondere alle minacce: cos’è e come funziona

I sistemi di Endpoint Detection and Response (EDR) hanno l’obiettivo di risolvere i limiti tipici degli antivirus per aumentare la protezione della postazione di lavoro in un contesto di Data Loss Prevention (DLP). Ecco come funzionano e quali vantaggi comportano per le aziende

09 Lug 2020
E
Filadelfio Emanuele

Cybersecurity Manager di CybergON (business unit di Elmec Informatica)


La protezione della postazione di lavoro (endpoint) assume un ruolo di estrema importanza all’interno di un piano per migliorare il livello di security in azienda e la sicurezza dei dati aziendali in un contesto di Data Loss Prevention (DLP): ecco perché tutti i vendor di prodotti di endpoint security hanno inserito all’interno delle loro soluzioni moduli di Endpoint Detection and Response (EDR) per migliorare l’efficacia della protezione: andiamo ad analizzare come tali strumenti rispondono alle nuove necessità.

Endpoint Detection and Response: cos’è e i vantaggi

L’Endpoint Detection and Response raggruppa gli strumenti avanzati che hanno il compito di rilevare minacce su endpoint ed eseguire attività di indagine e risposta.

Tali componenti tecnologiche sono ovviamente estendibili anche al mondo server per la protezione dei sistemi business critical, ma ricoprono un ruolo fondamentale nella protezione dei dispositivi utilizzati dai dipendenti o collaboratori.

Per comprendere meglio i benefici di tali strumenti e i loro utilizzi, dobbiamo analizzarli in un quadro completo di protezione aziendale.

Sembra superfluo e scontato indicare che un sistema antivirus è la base di partenza di questa pila tecnologica, ma rimane ad oggi il fondamento.

Un normale antivirus basa la sua protezione su un sistema “a firme” ovvero confronta il file che sta verificando con il suo database fornito dal vendor. Tali database vengono aggiornati quotidianamente ma, come è possibile intuire, introducono un periodo di tempo necessario per:

  1. identificare un nuovo file malevolo;
  2. categorizzare la minaccia;
  3. inserirla nel database;
  4. rendere il database disponibile per il download;
  5. attendere che l’agente locale aggiorni le firme.

Questi passaggi, seppur standard nel mondo degli antivirus, introducono un tempo “buio” in cui la minaccia è presente, ma non è stata ancora inserita nei database degli antivirus.

Oltre a questo limite temporale, dobbiamo aggiungere anche un limite strutturale: se un file o un eseguibile viene modificato anche solo parzialmente, cambiando ad esempio una riga del codice e ricompilandolo, risulterà come “nuovo” e dovrà passare attraverso il ciclo di analisi e categorizzazione, aggiungendo un ulteriore delay.

Il limite più grosso di questi antivirus riguarda l’impossibilità di rispondere in modo efficace ad attacchi “0-day” ossia la mancanza di strumenti che permettano di identificare nuove minacce senza che queste siano già presenti nei database dei vendor. Le nuove minacce sono ormai uno dei punti di maggiore attenzione e di rischio per le aziende.

Endpoint Detection and Response: come funziona

L’evoluzione degli attacchi e i limiti sopra descritti ha reso la necessità di estendere questo modello basato su firme con ulteriori tipologie di analisi e identificazione, passando da un semplice confronto di file, all’analisi attiva del comportamento e delle attività che vengono eseguite dai file o dalle applicazioni usate dagli utenti.

Questo nuovo approccio, tiene traccia di tutte le attività che vengono svolte, le correla tra di loro e applica algoritmi avanzati per identificare attività malevole.

Tali attività prese puntualmente potrebbero non essere identificate come pericolose, ma la loro catena di attività può permettere l’identificazione di un malware. È quindi molto importante avere un sistema innovativo che utilizzi sistemi avanzati di machine learning.

In base al grado di confidenza e alle configurazioni del prodotto, viene generato un alert e/o cancellato o messo in quarantena il file o l’applicazione.

Con questi algoritmi avanzati, il livello di protezione è più alto rispetto al semplice antivirus, ma ci sono ancora diversi limiti che hanno richiesto lo sviluppo di ulteriori strumenti di analisi e risposta.

I limiti principali sono i seguenti:

  1. mancanza di visibilità globale;
  2. impossibilità di eseguire analisi storiche;
  3. mancanza della catena completa;
  4. mancanza di strumenti globali di risposta.

Il primo limite riguarda l’approccio dell’antivirus che mette in sicurezza il singolo dispositivo arrivando alla cancellazione o messa in quarantena del file, ma non permettendo di estendere tale protezione ad altri dispositivi presenti in azienda o sui server centrali.

Il secondo riguarda la mancanza di uno strumento che permetta di correlare tutti gli eventi degli endpoint in modo strutturato e permettere di fare ricerche su eventuali minacce che non sono state rilevate precedentemente come malevole, ma che poi si sono rilevate tali.

Il terzo riguarda la mancanza della visione completa delle attività svolte dal malware per ricostruire tutte le azioni svolte (quali file sono stati usati, quali modifiche sono state apportate, quali indirizzi sono stati contattati, quali dati sono stati esfiltrati).

L’ultima riguarda l’impossibilità di eseguire comandi sui dispositivi remoti in modo centralizzato.

I sistemi di Endpoint Detection and Response hanno quindi l’obiettivo di risolvere i limiti degli antivirus elencati sopra, permettendo di avere un quadro completo ed una visibilità il più possibile dettagliata e accurata dei client presenti in azienda.

Molti vendor stanno proponendo i sistemi antimalware ed Endpoint Detection and Response come componenti aggiuntivi della protezione base e in alcuni casi permettono di utilizzare antivirus di altri vendor.

È ovvio che la protezione migliore si ottiene con lo stack completo, meglio se dello stesso produttore, ma per risolvere tematiche di investimento o di effort di sostituzione dell’antivirus attuale esistono diverse soluzioni ibride.

Il trend tecnologico e di mercato propone soluzioni Endpoint Detection and Response con console in cloud per risolvere un altro limite: con lo smart working alimentato dal periodo di quarantena, i dispositivi passano la maggior parte del loro tempo fuori dalla rete aziendale e devono essere protetti costantemente.

Il “vecchio approccio” nell’ambito dei sistemi di protezione poneva attenzione a difendere il perimetro dell’azienda, che è indispensabile e necessario, ma non più sufficiente.

Dobbiamo essere consci che il modo di lavorare degli utenti è cambiato e continuerà ad evolvere nel tempo e serve dotarsi di strumenti avanzati che sfruttino machine learning e inseriscano componenti di AI.

Caratteristiche aggiuntive di un EDR

Oltre a quanto descritto sopra, i sistemi Endpoint Detection and Response stanno evolvendo velocemente. Alcune delle funzionalità utili messe a disposizione sono:

  1. rilevare attacchi attraverso l’analisi degli IOC (Indicator of Compromise). Per IOC si intende qualunque indicatore che identifichi una possibile compromissione. Nei bollettini emessi dalle aziende del settore o dagli organi nazionali relativi alla sicurezza sono sempre incluse liste di IP, nomi file o altri dati che possono essere ricercati tramite EDR all’interno della propria azienda. Se, ad esempio, viene segnalato un IP pubblico malevolo o un nome file noto usato all’interno di campagne di phishing è possibile eseguire una ricerca puntuale tramite EDR per capire se l’azienda ha subito o sta subendo quella tipologia di attacco.
  2. strumenti per l’accesso diretto sul dispositivo. Per rispondere velocemente a un eventuale compromissione, risulta utile per il tecnico avere uno strumento per eseguire attività remote sul client in questione. Se aggiungiamo la complessità dello smart working, non sempre è possibile avere accesso al dispositivo in tempi brevi. Per questo motivo, tramite EDR e la console cloud si può accedere direttamente al client eventualmente infetto ed eseguire azioni più o meno invasive, fino alla messa in quarantena dell’interno dispositivo.

Conclusioni e consigli

Dotarsi in azienda di un sistema antivirus con antimalware ed Endpoint Detection and Response è un passo importante per aumentare il livello di protezione.

È consigliato scegliere prodotti dello stesso vendor per semplificare l’integrazione, ma non è un vincolo.

I sistemi Endpoint Detection and Response hanno alcuni aspetti da non sottovalutare:

  • il grado di incertezza nell’identificare minacce;
  • la complessità nella gestione completa di tutti gli strumenti messi a disposizione.

Il primo punto è intrinseco nell’applicazione di modelli che permettono di identificare comportamenti anomali, ma che inserisco un grado di errore che va gestito, compreso e corretto giornalmente.

Il secondo è legato al livello avanzato di protezione che richiede skill e competenze verticali.

La domanda che ogni azienda deve farsi prima di dotarsi di sistemi di questa tipologia è: “chi gestirà il tool? Chi controllerà che il funzionamento sia corretto? Chi eseguirà attività di fine tuning? Chi riceverà gli alert ed eseguirà l’analisi?”.

Le strade sono principalmente due:

  1. dotarsi di competenze interne con attenzione al limite della copertura oraria;
  2. appoggiarsi a fornitori esterni che abbiamo la completa padronanza dello strumento.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3