La vecchia e cara tecnologia antivirus ha raggiunto oramai da anni il suo punto di obsolescenza.
Questa è una realtà chiara alla maggior parte dei professionisti che si trovano a dover lottare ogni giorno contro il cyber crimine. Alcuni si trovano ad affrontare tante battaglie, che vengono inevitabilmente perse di fronte agli imponenti mezzi d’attacco che gli hacker hanno oggi a disposizione.
Abbiamo oramai smesso di contare i casi di attacchi ransomware, phishing, ecc., verso privati e aziende appartenenti ai più disparati segmenti di business. Non sono più infatti solo le big enterprise ad essere prese di mira. Tutte le realtà SMB non dormono sonni tranquilli oggi.
Se ci fosse qualcuno ancora aggrappato in ambito business ai sistemi antivirus sarebbe giusto provare a rispondere alla domanda. Perché un sistema di antivirus oggi non è più sufficiente?
Il tipico sistema antivirus si basa su firme virali. Ciò vuol dire che viene effettuato un confronto fra il file esaminato e un database di minacce note.
Questo comporta alcune rilevanti criticità:
- Periodo di latenza dell’aggiornamento del database.
Questa attività viene svolta quasi quotidianamente dai vendor. Ma le operazioni di rilevamento, identificazione, aggiornamento database e download dello stesso creano un periodo “buio”, in cui non è possibile identificare la nuova minaccia. - Facile occultamento delle minacce.
Basta variare leggermente il codice del file per creare una situazione analoga a quella descritta sopra rendendo di fatti irriconoscibile l’elemento malevolo.
Negli anni le infrastrutture più complesse, a partire da quelle aziendali, sono state esposte a un rischio considerevole, così la tecnologia ha cambiato approccio.
Da un’analisi per firma virale, si è passati a uno studio comportamentale dei file e app sospetti. Il tutto tramite l’integrazione nelle soluzioni di endpoint protection della tanto discussa AI.
In questo modo, si è implementato ciò che oggi è uno standard di protezione in contesti business e non solo, ovvero il machine learning. Questo approccio tiene traccia di tutte le attività che vengono svolte, le correla tra di loro e applica algoritmi avanzati per identificare attività malevole.
Il machine learning è impiegato nella maggior parte delle soluzioni endpoint protection di base. Questa è una scelta che ovviamente si adatta al contesto in cui ci troviamo a lavorare.
Ma non è tutto oro quel che luccica. Anche in questo caso, alcune problematiche permangono.
Qui entra in gioco l’Endpoint Detection & Response (EDR) venendo incontro all’utente per risolvere i seguenti “punti bui” tipici delle protezioni più basilari:
- mancanza di visibilità globale. Le soluzioni di base mettono in sicurezza il singolo dispositivo eliminando il file malevolo ma non permettono di estendere la protezione all’infrastruttura
- impossibilità di eseguire analisi storiche: spesso manca uno strumento che riesca a correlare in modo strutturato tutti gli eventi dell’endpoint
- mancanza della catena completa: mancano tutte le attività che ha svolto il malware durante la sua azione
- mancanza di strumenti globali di risposta: impossibilità di impartire comandi su dispositivi remoti in modo centralizzato
L’EDR è uno strumento che consente di avere una visibilità strutturata e dettagliata di comportamenti sospetti all’interno di una intera rete di endpoint. Inoltre, permette di avere un controllo remoto tramite console cloud, venendo incontro anche alla grande accelerazione dello smart working in fase post pandemica.
Le più recenti tecnologie EDR consentono un’analisi completa degli IOC (indicator of compromise) ovvero di qualunque indicatore di una possibile compromissione. Gli IOC vengono rilasciati regolarmente nel bollettino di aziende del settore o di organi nazionali, ed è possibile effettuare ricerche su uno specifico fattore di compromissione per capire se si è stati attaccati tramite lo stesso.
L’EDR è una delle tecnologie più complete e complesse in ambito cyber security.
Risulta quindi necessario dotarsi di un team qualificato per la gestione di questo strumento. Questa questa scelta può dimostrarsi un investimento più che profittevole.
Il team Cybersecurity di Allnet.Italia è a tua disposizione per approfondire l’argomento e per consigliarvi la tecnologia EDR che più fa al caso vostro.
Non perdere l’opportunità di seguire il prossimo webinar ESET XDR: breach prevention, enhanced visibility and remediation integrati nella piattaforma ESET, in programma martedì 6 giugno.
Durante il webinar, avrai:
- una panoramica completa delle nuove minacce;
- approfondimenti sul Protect Extended detection and response (XDR) di ESET, uno strumento sofisticato per l’identificazione del comportamento anomalo e delle violazioni, la valutazione dei rischi, la risposta agli incidenti, le indagini e la correzione.
CLICCA QUI PER ISCRIVERTI AL WEBINAR.
