EDR : non si può solo prevenire, devi sapere anche cosa curare (velocemente !)

Cosa facciamo per proteggerci dalla influenza ? I rimedi sono noti, ma non sempre riusciamo nel nostro intento perchè a volte, purtroppo, il virus è più bravo di noi. Se allora abbiamo il dubbio di esserci ammalati, tiriamo fuori il nostro termometro per capire se effettivamente dobbiamo metterci a riposo e prendere una aspirina.

Allo stesso modo il nostro sistema informativo non può avere solo delle misure preventive che lo proteggano dai virus, ma dobbiamo avere anche un termometro che ci avvisi prontamente nel caso sia presente qualcosa di malevolo e che ci indichi se e cosa fare per rimediare al problema.

Questo è sempre più vero, essendo il quadro degli attacchi informatici  radicalmente cambiato negli ultimi anni, principalmente a causa di 3 fattori

  1. Disponibilità di strumenti automatizzati : la conoscenza necessaria per sfruttare le vulnerabilità dei sistemi si sono notevolmente ridotte a causa della grande disponibilità di informazioni e strumenti. Inoltre la relativa poca protezione delle reti delle piccole  e medie aziende le rende obiettivi perfetti.
  2. Pagamenti non tracciabili : Bitcoin e tutte le altre criptovalute hanno reso irrintracciabili i pagamenti, diventando di fatto uno schermo perfetto per i malintenzionati di Crytolocker e simili.
  3. Attachi fileless : questa nuova categoria di attacchi che non usano file e sfruttano chiamate del sistema operativo, sono difficilmente rilevabili dagli antivirus tradizionali.

Uno degli strumenti che sta rapidamente emergendo è l’EDR (Endpoint Detection and Response) che ci permette di rilevare rapidamente eventuali intrusioni, evidenziando e correlando eventuali comportamenti anomali su pc e server. Ad esempio la creazione di un nuovo utente amministratore su un pc potrebbe essere normale se il pc è quello dell’amministratore di rete ed avviene in orario d’ufficio. Se invece questo avviene su un pc del reparto amministrazione in orario notturno dovrebbe destare attenzione. Ovviamente un evento di questo tipo non verrà segnalato dall’antivirus, essendo di per sè una operazione legittima e del sistema operativo.

A questa necessità si sommano anche esigenze legislative (es. GDPR, con la notifica entro 72h dalle intrusioni) che rendono questi strumenti di nuova generazione sempre più utili.

Gli strumenti EDR di nuova generazione includono inoltre  sistemi intelligenti, in grado di filtrare gli eventi e di portare all’attenzione degli ammistratori della rete gli eventi pertinenti. Questo riduce  enormemente la gestione tipicamente necessaria fino a non molto tempo per questa tipolgia di strumenti.

Se siete interessati ad approfondire, potete contattarci ai nostri recapiti : Niscent è partner certificato F-Secure, grazie alla quale può fornirvi tutta l’assistenza necessaria per la valutazione degli strumenti  RDR ed RDS nella vostra realtà.