Che cos’è la tecnologia EDR (Endpoint Detection and Response)?
Endpoint Detection and Response (EDR), nota anche come Endpoint Threat Detection and Response (ETDR), è una soluzione integrata di sicurezza degli endpoint che combina il monitoraggio continuo in tempo reale e la raccolta dei dati degli endpoint con funzionalità di analisi e risposta automatiche basate su regole. Il termine è stato suggerito da Anton Chuvakin di Gartner per descrivere sistemi di sicurezza emergenti che rilevano e indagano su attività sospette su host ed endpoint, impiegando un elevato grado di automazione per consentire ai team di sicurezza di identificare e rispondere rapidamente alle minacce.
Le funzioni principali di un sistema di sicurezza EDR sono le seguenti:
- Monitorare e raccogliere dati dagli endpoint che potrebbero indicare una minaccia
- Analizzare questi dati per identificare i criteri per una minaccia
- Rispondere automaticamente alle minacce identificate per rimuoverle o contenerle e avvisare il personale della sicurezza
- Forensics and analysis tools to research identified threats and search for suspicious activities
Adozione di soluzioni EDR
Si prevede che l'adozione di soluzioni EDR aumenterà in modo significativo nei prossimi anni. Secondo il rapporto Endpoint Detection and Response - Global Market Outlook (2017-2026) di Stratistics MRC, le vendite di soluzioni EDR, sia in locale che nel cloud, dovrebbero raggiungere i 7,27 miliardi di dollari entro il 2026, con un tasso di crescita annuale di quasi il 26%.
Uno dei fattori che contribuisce all'aumento dell'adozione dell'EDR è l'incremento del numero di endpoint collegati alle reti. Un altro fattore importante è la crescente sofisticatezza degli attacchi informatici, che spesso si concentrano sugli endpoint in quanto bersagli più facili da infiltrare in una rete.
Componenti chiave della sicurezza EDR
La sicurezza EDR offre un hub integrato per la raccolta, la correlazione e l'analisi dei dati degli endpoint, nonché per il coordinamento degli avvisi e delle risposte alle minacce immediate. Gli strumenti EDR sono costituiti da tre componenti base:
Agent di raccolta dati per gli endpoint. Gli agent software monitorano gli endpoint e raccolgono i dati, quali ad esempio processi, connessioni, volume di attività e trasferimenti di dati, in un database centrale.
Risposta automatica. Le regole preconfigurate in una soluzione EDR sono in grado di riconoscere quando i dati in ingresso indicano un tipo noto di violazione della sicurezza e attivano una risposta automatica, ad esempio per disconnettere un utente finale o inviare un avviso a un membro del personale.
Analysis and forensics. Un sistema di rilevamento e risposta degli endpoint può incorporare sia l'analisi in tempo reale, per una diagnosi rapida delle minacce che non soddisfano del tutto le regole preconfigurate, sia strumenti di analisi forense per la ricerca delle minacce o per l'analisi post-mortem di un attacco.
- Un motore di analisi in tempo reale utilizza algoritmi per valutare e correlare grandi volumi di dati, alla ricerca di criteri.
- Forensics tools enable IT security professionals to investigate past breaches to better understand how an exploit works and how it penetrated security. IT security professionals also use forensics tools to hunt for threats in the system, such as malware or other exploits that might lurk undetected on an endpoint.
Le nuove funzionalità EDR migliorano l'intelligence sulle minacce
Nuove caratteristiche e servizi stanno ampliando la capacità delle soluzioni EDR di rilevare ed esaminare le minacce.
Ad esempio, i servizi di intelligence sulle minacce di terze parti, come Trellix Global Threat Intelligence, aumentano l'efficacia delle soluzioni di sicurezza degli endpoint. I servizi di intelligence sulle minacce forniscono a un'organizzazione un pool globale di informazioni sulle minacce attuali e sulle loro caratteristiche. L'intelligence collettiva aiuta ad aumentare la capacità di un EDR di identificare gli exploit, in particolare gli attacchi multilivello e zero-day. Molti fornitori di sicurezza EDR offrono abbonamenti di intelligence sulle minacce come parte della loro soluzione di sicurezza per gli endpoint.
Inoltre, le nuove funzionalità investigative in alcune soluzioni EDR possono sfruttare l'IA e l'apprendimento automatico per automatizzare le fasi del processo investigativo. Queste nuove funzionalità possono apprendere i comportamenti di base di un'organizzazione e utilizzare queste informazioni, insieme a una serie di altre fonti di intelligence sulle minacce, per interpretare i risultati.
Un altro tipo di intelligence sulle minacce è il progetto Adversarial Tactics, Techniques and Common Knowledge (ATT&CK) in corso presso il MITRE, un gruppo di ricerca no profit che collabora con il governo degli Stati Uniti. ATT&CK è una knowledgebase e un framework basati sullo studio di milioni di attacchi informatici reali.
ATT&CK classifica le minacce informatiche in base a vari fattori, come le tattiche utilizzate per infiltrarsi in un sistema informatico, il tipo di vulnerabilità del sistema sfruttate, gli strumenti malware utilizzati e i gruppi criminali associati all'attacco. L'obiettivo principale del lavoro è identificare i criteri e le caratteristiche che rimangono invariate indipendentemente dalle piccole modifiche apportate a un exploit. Dettagli come gli indirizzi IP, le chiavi di registro e numeri di dominio possono cambiare di frequente. Tuttavia, i metodi dell'autore dell'attacco, o "modus operandi", di solito rimangono gli stessi. Un EDR può utilizzare questi comportamenti comuni per identificare le minacce che potrebbero essere state modificate in altri modi.
Poiché i professionisti della sicurezza IT devono far fronte a minacce informatiche sempre più complesse e a una maggiore diversità nel numero e nei tipi di endpoint che accedono alla rete, hanno bisogno di un ulteriore aiuto da parte dell'analisi e delle risposte automatiche fornite dalle soluzioni di rilevamento e risposta degli endpoint.