EDR vs. antivirus aziendale: Qual è la differenza?
In eigener Sache
L'EDR, o Endpoint Detection and Response, è un moderno sostituto delle suite di sicurezza antivirus. Per decenni, organizzazioni e aziende hanno investito in suite antivirus nella speranza di risolvere i problemi di sicurezza aziendale. Tuttavia, con la crescente sofisticazione e proliferazione delle minacce malware nell'ultimo decennio, le carenze delle cosiddette soluzioni antivirus "legacy" sono diventate fin troppo evidenti.
In risposta, alcuni fornitori hanno ripensato alle sfide della sicurezza aziendale e hanno sviluppato nuove soluzioni alle carenze degli antivirus. In cosa si differenzia l'EDR dall'antivirus? Come e perché l'EDR è più efficace dell'AV? E cosa considerare quando si sostituisce l'AV con un EDR avanzato? In questo articolo troverete le risposte a tutte queste domande e ad altre ancora.
In cosa si differenzia l'EDR dall'antivirus?
Per proteggere adeguatamente la vostra azienda o organizzazione dalle minacce, è importante capire la differenza tra l'EDR e l'antivirus tradizionale o "vecchio". Questi due approcci alla sicurezza sono fondamentalmente diversi e solo uno di essi è adatto ad affrontare le minacce moderne.
Caratteristiche dell'antivirus
Ai tempi in cui il numero di nuove minacce di malware al giorno poteva essere comodamente contato in un foglio di calcolo, gli antivirus offrivano alle aziende un modo per bloccare il malware noto esaminando - o scansionando - i file mentre venivano scritti sul disco rigido di un dispositivo informatico. Se il file era "noto" nel database dei file dannosi dello scanner AV, il software impediva l'esecuzione del file malware.
Il database antivirus tradizionale consiste in una serie di firme. Queste firme possono contenere hash di un file malware e/o regole che contengono una serie di caratteristiche che il file deve soddisfare. Queste caratteristiche includono in genere stringhe leggibili dall'uomo o sequenze di byte presenti nell'eseguibile del malware, il tipo di file, la dimensione del file e altri tipi di metadati del file.
Alcuni programmi antivirus possono anche eseguire analisi euristiche primitive dei processi in esecuzione e verificare l'integrità di importanti file di sistema. Questi controlli "a posteriori" o post-infezione sono stati aggiunti a molti prodotti AV dopo che la marea di nuovi campioni di malware ha superato la capacità dei fornitori di AV di mantenere aggiornati i loro database.
Di fronte all'aumento delle minacce e al declino dell'efficacia dell'approccio antivirus, alcuni fornitori hanno cercato di integrare l'antivirus con altri servizi, come il controllo dei firewall, la crittografia dei dati, l'ammissione dei processi e gli elenchi di blocco e altri strumenti della "suite" AV. Queste soluzioni, comunemente denominate "EPP" o Piattaforme di protezione degli endpoint, si basano ancora su un approccio basato sulla firma.
Caratteristiche dell'EDR
Mentre tutte le soluzioni AV si concentrano sui file (potenzialmente dannosi) che vengono introdotti nel sistema, un EDR, al contrario, si concentra sulla raccolta di dati dall'endpoint e sull'esame di tali dati alla ricerca di modelli dannosi o anomali in tempo reale. Come suggerisce il nome, l'idea di un sistema EDR è quella di rilevare un'infezione e avviare una risposta. Quanto più velocemente un sistema EDR è in grado di farlo senza l'intervento umano, tanto più è efficace.
Un buon sistema EDR dispone anche di funzioni per bloccare i file dannosi, ma soprattutto riconosce che non tutti gli attacchi moderni sono basati su file. Inoltre, gli EDR proattivi offrono ai team di sicurezza importanti funzionalità non presenti nei programmi antivirus, come le risposte automatiche e la visibilità completa delle modifiche apportate ai file sull'endpoint, della creazione di processi e delle connessioni di rete: Questo è fondamentale per la ricerca delle minacce, la risposta agli incidenti e la digital forensics.
Le insidie dell'antivirus
Sono molti i motivi per cui le soluzioni antivirus non riescono a tenere il passo con le minacce che le aziende si trovano ad affrontare oggi. In primo luogo, come già detto, ogni giorno ci sono più nuovi modelli di malware di quanti ne possa gestire un team umano di autori di firme.
Poiché le soluzioni AV non sono inevitabilmente in grado di rilevare molti di questi modelli, le aziende devono presumere che si troveranno di fronte a una minaccia che il programma antivirus non è in grado di rilevare.
In secondo luogo, il rilevamento da parte delle firme antivirus può spesso essere facilmente aggirato dagli attori delle minacce, anche senza riscrivere il loro malware. Poiché le firme si concentrano solo su alcune caratteristiche dei file, gli autori di malware hanno imparato a creare malware con caratteristiche mutevoli, noto anche come malware polimorfico. Gli hash dei file, ad esempio, sono tra le caratteristiche più facili da modificare, ma anche le stringhe interne possono essere randomizzate, offuscate e crittografate in modo diverso per ogni build del malware.
In terzo luogo, gli attori delle minacce motivati finanziariamente, come gli operatori di ransomware, sono andati oltre i semplici attacchi di malware basati su file. Gli attacchi ransomware creati dall'uomo, come Hive, e gli attacchi di "doppia estorsione", come Maze, Ryuk e altri, che iniziano con credenziali compromesse o forzate o con lo sfruttamento di vulnerabilità RCE (Remote Code Execution), possono portare alla compromissione e alla perdita di proprietà intellettuale attraverso l'esfiltrazione dei dati senza che il rilevamento sia basato sulle firme antivirus.
Vantaggi dell'EDR
Concentrandosi sulla visibilità per i team di sicurezza aziendali e sulle risposte automatiche al rilevamento, l'EDR è molto più attrezzato per affrontare gli attori delle minacce odierne e le sfide di sicurezza associate.
Concentrandosi sul rilevamento di attività insolite e fornendo una risposta, l'EDR non si limita a rilevare minacce note basate su file. Al contrario, il principale vantaggio dell'EDR è che la minaccia non deve essere definita con precisione, come nel caso delle soluzioni antivirus. Una soluzione EDR è in grado di individuare modelli di attività inaspettati, insoliti e indesiderati e di emettere un avviso che può essere analizzato da un analista della sicurezza.
Poiché gli EDR raccolgono una serie di dati da tutti gli endpoint protetti, offrono ai team di sicurezza la possibilità di visualizzare questi dati in una comoda interfaccia centralizzata. I team IT possono integrare questi dati con altri strumenti per un'analisi più approfondita, al fine di migliorare la postura di sicurezza complessiva dell'organizzazione e definire la natura di potenziali attacchi futuri. La completezza dei dati di un EDR consente anche la ricerca e l'analisi delle minacce a posteriori.
Forse uno dei maggiori vantaggi di un EDR avanzato è la capacità di prendere questi dati, contestualizzarli sul dispositivo e mitigare la minaccia senza l'intervento umano. Tuttavia, non tutti gli EDR sono in grado di farlo, poiché molti di essi devono trasmettere i dati EDR al cloud per l'analisi remota (e quindi con un certo ritardo).
Come l'EDR Antivirus si integra
Nonostante i loro limiti, se usati da soli o come parte di una soluzione EPP, gli antivirus possono essere utili complementi alle soluzioni EDR, e la maggior parte degli EDR include un elemento di blocco basato su firme e hash come parte di una strategia di difesa in profondità.
Integrando i motori antivirus in una soluzione EDR più efficace, i team di sicurezza aziendali possono sfruttare la facilità di bloccare le minacce informatiche note e combinarla con le funzionalità avanzate offerte dagli EDR.
Evitare la stanchezza da allerta con l'EDR attivo
Come abbiamo accennato in precedenza, gli EDR forniscono ai team IT e di sicurezza aziendale una visibilità completa su tutti gli endpoint della rete aziendale, che a sua volta comporta una serie di vantaggi. Tuttavia, nonostante questi vantaggi, molte soluzioni EDR non hanno l'impatto sperato dai team di sicurezza aziendali, poiché richiedono molte risorse umane per essere gestite: Risorse che spesso non sono disponibili a causa di limitazioni di personale o di budget, o non sono disponibili per mancanza di professionisti della sicurezza informatica.
Invece di godere di una maggiore sicurezza e di un minore lavoro per i team IT e di sicurezza, molte aziende che hanno investito nell'EDR hanno dovuto semplicemente riallocare le risorse da un'attività di sicurezza all'altra: dalla gestione dei dispositivi infetti alla gestione di una montagna di avvisi EDR.
Ma non deve essere necessariamente così. Forse il potenziale più prezioso dell'EDR risiede nella sua capacità di mitigare autonomamente le minacce senza l'intervento umano. Sfruttando la potenza dell'apprendimento automatico e dell'intelligenza artificiale, l'EDR attivo toglie il peso al team SOC ed è in grado di mitigare autonomamente gli eventi sull'endpoint senza fare affidamento sulle risorse del cloud.
Ciò significa che le minacce vengono mitigate alla velocità delle macchine, più velocemente di qualsiasi analisi remota in cloud, e senza l'intervento umano.
Cosa significa Active EDR per il vostro team
Immaginate il seguente scenario tipico: Un utente apre una scheda in Google Chrome, scarica un file che ritiene sicuro e lo esegue. Il programma utilizza PowerShell per eliminare i backup locali e quindi inizia a crittografare tutti i dati sul disco.
Il lavoro di un analista della sicurezza che utilizza soluzioni EDR passive può essere difficile. È sommerso da avvisi e deve compilare i dati in un rapporto significativo. Con l'EDR attivo, questo lavoro viene invece svolto dall'agente sull'endpoint. L'EDR attivo conosce l'intera storia e attenua la minaccia al volo, prima che inizi la crittografia.
Una volta che la minaccia è stata mitigata, tutti gli elementi di quella minaccia vengono presi in considerazione, fino alla scheda Chrome che l'utente ha aperto nel browser. Ciò avviene assegnando lo stesso ID di trama a ogni elemento della storia. Queste storie vengono poi inviate alla console di gestione, in modo che gli analisti della sicurezza e gli amministratori IT possano facilmente identificare e rilevare le minacce.
Migliorare la sicurezza con l'EDR
Dopo aver identificato i chiari vantaggi di un sistema EDR rispetto a un programma antivirus, qual è il passo successivo? La scelta del giusto sistema EDR richiede la comprensione delle esigenze della vostra azienda e delle capacità del prodotto offerto.
È anche importante condurre dei test, ma assicurarsi che questi vengano applicati nella pratica. Come viene utilizzato il prodotto dal vostro team nelle attività quotidiane? Quanto è facile da imparare? Continuerà a proteggere la vostra azienda se tutti i servizi cloud su cui si basa sono offline o inaccessibili?
È importante considerare anche la distribuzione e il rollout. È possibile automatizzare l'implementazione in tutto il parco macchine? E la compatibilità delle piattaforme? Il fornitore scelto attribuisce lo stesso valore a Windows, Linux e macOS? Ogni endpoint deve essere protetto. Quelli che vengono lasciati indietro possono essere una backdoor nella vostra rete.
Pensate poi all'integrazione. La maggior parte delle aziende ha uno stack software complesso. Il vostro fornitore offre un'integrazione potente ma semplice per gli altri servizi su cui fate affidamento?
Più di EDR | XDR per la massima visibilità e integrazione
Mentre l'Active EDR è il passo successivo per le aziende che non si sono ancora lasciate alle spalle l'antivirus, le aziende che hanno bisogno della massima visibilità e integrazione sull'intero inventario dovrebbero prendere in considerazione l'Extended Detection and Response, o XDR.
L'XDR porta l'EDR a un livello superiore, integrando tutti i controlli di visibilità e sicurezza in una visione completa e olistica di ciò che accade nell'ambiente. Grazie a un unico pool di dati grezzi che include informazioni provenienti da tutto l'ecosistema, l'XDR consente di rilevare e rispondere alle minacce in modo più rapido, approfondito ed efficace rispetto all'EDR, raccogliendo e aggregando dati provenienti da una gamma più ampia di fonti.
Conclusione
Gli attori delle minacce hanno superato da tempo gli antivirus e i PPE e le aziende devono rendersi conto che questi prodotti non sono all'altezza delle minacce odierne. Anche uno sguardo superficiale ai titoli dei giornali mostra come le grandi aziende impreparate vengano colte di sorpresa da attacchi moderni come il ransomware, nonostante abbiano investito in controlli di sicurezza. Spetta a noi difensori assicurarci che il nostro software di sicurezza sia pronto non solo per gli attacchi di ieri, ma anche per quelli di oggi e di domani.
Se siete interessati a una soluzione EDR o XDR, saremo lieti di consigliarvi la soluzione giusta per la vostra azienda. Contattateci semplicemente per telefono, via e-mail o tramite il nostro modulo di contatto. Saremo lieti di ricevere la vostra richiesta.