EDR (Endpoint Detection and Response) è un termine suggerito dalla multinazionale Gartner (società attiva in ricerca, analisi e consulenza ICT) per descrivere una classe di sistemi di sicurezza emergenti che rilevano e indagano su attività sospette relative ad host ed endpoint.
Sono cinque le funzioni principali di un sistema EDR:
- Monitoraggio attivo degli endpoint e raccolta dei dati dalle attività che potrebbero indicare una minaccia;
- Analisi dei dati raccolti per identificare eventuali modelli di minaccia già noti;
- Generazione di risposte automatiche per tutte le minacce identificate, allo scopo di rimuoverle o limitarne la diffusione;
- Avvisi automatici inviati al personale di sicurezza ed aventi per oggetto la segnalazione della minaccia;
- Utilizzo di analisi e strumenti forensi per eseguire ricerche sulle minacce identificate che potrebbero portare all’individuazione di altre attività sospette.
Andiamo a vedere quali sono caratteristiche e vantaggi dell’EDR e perché può essere un’ottima soluzione di sicurezza in ambito informatico.
Indice dei contenuti
ToggleCome funziona l’endpoint detection and response
Le soluzioni di sicurezza EDR analizzano gli eventi da laptop, PC desktop, dispositivi mobili, server, IoT e cloud per identificare attività sospette. Generano avvisi per aiutare gli analisti delle operazioni di sicurezza a scoprire, indagare e risolvere i problemi.
Gli strumenti EDR raccolgono anche dati telemetrici su attività sospette e possono arricchire tali dati con altre informazioni provenienti da eventi correlati. Attraverso queste funzioni, l’EDR è determinante per ridurre i tempi di risposta degli addetti ai lavori ed eliminare le minacce prima che si verifichino danni.
Le soluzioni di sicurezza EDR registrano le attività e gli eventi che si svolgono sugli endpoint, aiutando i team esperti in sicurezza a scoprire incidenti informatici che altrimenti rimarrebbero invisibili. Una soluzione EDR di qualità deve fornire una visibilità continua, completa ed in tempo reale su ciò che accade sugli endpoint.
Si è incominciato a parlare per la prima volta di EDR nel 2013, in primo luogo come sistema di supporto alle indagini forensi. Tali attività investigative richiedevano una telemetria molto dettagliati degli endpoint, allo scopo di analizzare il malware e comprendere esattamente i danni che un hacker era in grado di arrecare ad un dispositivo.
L’EDR si è evoluto nel tempo per incorporare un insieme più ampio di funzionalità. Non a caso, oggi offre anche funzionalità di protezione degli endpoint e sistemi antivirus.
Quali sono i vantaggi dell’EDR
In primo luogo, la raccolta completa dei dati di monitoraggio consente ai sistemi EDR di compilare una visione completa dei potenziali attacchi. Il monitoraggio continuo di tutti gli endpoint, online e offline, semplifica l’analisi e la risposta agli incidenti.
Ciò consente analisi approfondite, permettendo ai professionisti di acquisire una comprensione delle anomalie e delle vulnerabilità della rete aziendale, così da prepararsi meglio a futuri eventi di criminalità informatica.
Il rilevamento di ogni minaccia per gli endpoint va oltre l’attività classica di un software antivirus. La capacità dei sistemi EDR di fornire una risposta in tempo reale a un’ampia gamma di minacce consente ai team di sicurezza di monitorare in tempo reale potenziali attacchi e minacce.
La risposta in real time concede, inoltre, a un’organizzazione la possibilità di scoprire comportamenti sospetti o non autorizzati sulla rete. In questo modo, si perviene alla causa principale di una minaccia prima che possa influire sui sistemi e sulle attività aziendali.
Infine, i sistemi EDR possono integrarsi con altri strumenti di sicurezza, consentendo la correlazione dei dati da endpoint, reti e tecnologie SIEM (Security Information and Event Management) per sviluppare una comprensione più approfondita delle pratiche e delle tecniche applicate dai malintenzionati che vogliono ottenere l’accesso non autorizzato alle risorse digitali.
Perché garantiscono una protezione completa
Il panorama dei cyber attack è in continua evoluzione, con nuovi virus, malware e altre minacce informatiche che appaiono ogni giorno all’orizzonte. Per far fronte a questo pericolo, la raccolta e il rilevamento in tempo reale di possibili anomalie diventa sempre più importante.
La portata di queste sfide è amplificata da un cambiamento in atto già da tempo, ossia una forza lavoro che opera sempre più in mobilità. I dipendenti che lavorano da casa potrebbero non essere protetti dalle minacce informatiche nella stessa misura dei lavoratori in loco e potrebbero utilizzare dispositivi personali o privi degli ultimi aggiornamenti e patch di sicurezza.
Tutti questi fattori espongono l’organizzazione e i suoi dipendenti a ulteriori rischi per la sicurezza informatica. Ciò rende essenziale una forte sicurezza degli endpoint poiché protegge il dipendente dalle infezioni e può impedire ai criminali informatici di utilizzare il computer di un telelavoratore come trampolino di lancio per un attacco alla rete aziendale.