Kaspersky Endpoint Detection and Response: la protezione proattiva per gli endpoint

Negli ultimi anni il mondo della cybersecurity ha visto cambiamenti drastici a causa di minacce precedentemente sconosciute, attacchi file-less (cioè senza bisogno di scaricare ed eseguire allegati malevoli), ransomware e cryptominer. Ma sono soprattutto gli attacchi mirati a essere i più insidiosi. Non solo: le aziende stanno faticando a stare dietro alla complessità delle loro stesse strutture, e gli attaccanti ne stanno approfittando, dato che chi fatica a tenere traccia di quanto sta accadendo nella propria infrastruttura non è in grado di analizzare e bloccare in tempo gli attacchi, così da minimizzare i danni.

La regola che bisognerebbe tenere a mente è che nessuna azienda è un bersaglio troppo piccolo per un criminale informatico. Spesso, le PMI non conoscono nemmeno a quali tipi di minacce sono esposte, e le loro competenze in ambito cybersecurity sono tipicamente limitate, rendendo difficile la gestione delle minacce più complesse.

La semplice protezione degli endpoint non è più sufficiente

In generale, i software per la sicurezza informatica dovrebbero offrire una protezione a tutto campo (endpoint e server, sia che usino Windows, MacOS, Android o Linux), ma anche essere intuitivi da utilizzare. Gli attaccanti sono in grado di modificare sistematicamente gli hash e di cifrare stringhe di testo, così da riuscire ad aggirare gli antivirus basati sulle firme e gli scanner di file binari, e utilizzano anche malware che rimangono attivi solo in memoria, non lasciando alcuna traccia sugli hard disk. Le soluzioni di sicurezza tradizionali non sono in grado di rilevare queste minacce. Questo significa che limitarsi a bloccare i malware sugli endpoint non è più sufficiente: le aziende devono avere a disposizione strumenti in grado di rilevare, e bloccare, gli attacchi più sofisticati.

EDR: un approccio proattivo alla sicurezza

Le soluzioni EDR (Endpoint Detection and Response) eliminano la necessità di un monitoraggio in tempo reale e si concentrano sull’analisi degli endpoint e sulla gestione dell’incidente. Garantiscono visibilità sull'attività di ogni endpoint dell’infrastruttura, sono gestiti da una console centralizzata e integrano feed di informazioni relative alla sicurezza, che possono essere sfruttate dagli esperti di cybersecurity per ulteriori indagini e, se necessario, per prendere contromisure. Gli EDR sono strutturati per scoprire in maniera proattiva minacce nuove e ancora sconosciute e per farlo analizzano quegli eventi che non possono essere classificati né come “innocui” né come “sicuramente malevoli”.

Secondo il rapporto Kaspersky IT Security Risks Survey 2019, fra le imprese che hanno adottato soluzioni EDR, 1 su 4 (28%) è stata in grado di rilevare un attacco in poche ore, se non proprio immediatamente. Gli EDR possono essere usati per scoprire le minacce zero-day e gli attacchi APT appoggiandosi a diverse tecnologie di rilevamento avanzate, come per esempio YARA, sandboxing, scansione IoC (Indicatore di Compromissione) o appoggiandosi a sistemi di machine learning.

Le soluzioni di sicurezza per gli endpoint e gli EDR devono lavorare fianco a fianco per garantire una protezione affidabile contro le minacce più sofisticate. Per fare un esempio, un EDR può isolare ogni file considerato sospetto (ma che non può essere indicato con certezza come minaccia) e inviarlo a una sandbox, dove, sistemi di sicurezza aggiuntivi eseguono il file in un ambiente isolato e lo analizzano alla ricerca di potenziali minacce. Così facendo è possibile capire se ci sono segni di accesso non autorizzato, o di attività illecite da parte dei dipendenti o dei partner. Un tempo, firme, regole e restrizioni erano sufficienti per bloccare questo tipo di minacce, ma oggi non sono in grado di rilevare i più sofisticati attacchi mirati.

La soluzione per la protezione degli endpoint di Kaspersky

Kaspersky Endpoint Security for Business permette di integrare la protezione degli endpoint, un EDR e una sandbox. Questo approccio 3 in 1 consente agli amministratori e ai reparti IT di proteggere le loro reti dalle minacce emergenti; grazie a questa integrazione infatti un file sospetto può essere automaticamente eseguito e analizzato in un ambiente isolato. Le informazioni ricavate possono poi venire utilizzate per approfondire l’analisi svolta dalla soluzione EDR Optimum di Kaspersky. Quest’ultima offre una varietà di opzioni per contrastare la minaccia, per esempio isolando un endpoint compromesso da un malware o mettendo in quarantena i file sospetti. Così facendo si evita di diffondere la minaccia verso altri computer, mentre gli esperti di sicurezza possono velocemente creare degli IoC (Indicator of compromise) che identificano una violazione senza dover programmare un controllo degli endpoint. Si possono anche importare IoC di terze parti, così da effettuare dei controlli utili a identificare gli endpoint compromessi.

Scenari futuri: Managed Detection & Response

In futuro l’adozione degli EDR dipenderà molto dalla capacità di chi li fornisce di automatizzare le analisi, gli insights e la risposta, così da intervenire in autonomia, senza bisogno di intervento umano. Gli EDR rappresentano un’opportunità soprattutto per le aziende di medie dimensioni. Queste, infatti, non hanno nel proprio organico esperti di cybersecurity, e adottare un approccio MDR (Managed Detection & Response) può essere la soluzione. In questi scenari, la sicurezza degli endpoint viene data in outsourcing a provider specializzati in cybersecurity, liberando risorse IT interne che possono cosi concentrarsi su altri aspetti, senza mettere a rischio la sicurezza aziendale. Questo ha un impatto anche sull'approccio alla sicurezza: adottando soluzioni più efficaci, gli specialisti hanno a disposizione più tempo e più risorse per concentrarsi sulle minacce più complesse.