Oltre l’antivirus con EDR, MDR
e XDR

Negli ultimi anni le minacce informatiche hanno subito una rapida evoluzione. Gli attacchi riescono con sempre maggiore facilità a superare le difese tradizionali, colpendo direttamente i dispositivi degli utenti. Occorrono quindi strumenti di riconoscimento e prevenzione delle minacce potenziali. 

I CYBER CRIMINALI sono sempre più agguerriti, la tecnologia di cui dispongono sempre più evoluta, le minacce sempre più insidiose e capaci di procurare danni sempre più importanti.

Secondo le stime di Statista il costo del crimine informatico nel mondo è destinato a moltiplicarsi negli anni a venire. Passiamo dai 14,57 trilioni di US$ (migliaia di miliardi) del 2024 ai 23,82 nel 2027, con un incremento costante poco oltre 3.000 miliardi/anno. È diventata quindi vitale per ogni organizzazione una strategia di cybersecurity a tutto campo.

Un software antivirus di ultima generazione è tassello indispensabile, ma interviene essenzialmente dopo che il virus si è manifestato. Una buona strategia di security deve invece prevedere anche la capacità di rilevare le attività sospette che superano le barriere tradizionali e assicurare una risposta efficace.

L’EDR nasce proprio per rispondere a questa esigenza: si tratta di una soluzione capace di monitorare costantemente le attività sui dispositivi endpoint, individuare comportamenti sospetti che sfuggono all’antivirus e intervenire in modo automatico per bloccare o isolare la minaccia.

Che cosa fa davvero un EDR

Le soluzioni EDR (Endpoint Detection and Response) hanno come scopo quello di garantire la sicurezza degli endpoint collegati alla rete: PC, laptop, server, l’Internet delle Cose (IoT, Internet of Things) e via dicendo. Analizzano tutta l’attività degli endpoint e assicurano visibilità sul loro stato di salute in tempo reale.

In pratica riconoscono i comportamenti anomali, rilevano potenziali minacce e allertano il team di sicurezza con suggerimenti sui possibili rimedi. È infatti al team di sicurezza che compete ricevere gli avvisi e prendere gli opportuni provvedimenti per fermare un attacco in corso o limitarne la propagazione sulla rete.

Sono quindi soluzioni che richiedono l’installazione di un agente su ogni endpoint collegato in rete per rilevarne l’attività e l’intervento di esperti in grado di ricevere gli avvisi e agire di conseguenza in base ai suggerimenti. Tipicamente includono le funzionalità seguenti:

  • Rilevamento avanzato. Analizza i processi e individua attività anomale che potrebbero essere sintomo di un attacco imminente.
  • Risposta automatica. Isola dalla rete i dispositivi compromessi per evitare la propagazione dell’infezione.
  • Allarmi. Invia avvisi al team di security con raccomandazioni pratiche a supporto delle contromisure da adottare.
  • Analisi forense. Conserva tracce e dati utili per ricostruire la dinamica dell’attacco e migliorare le difese future.

Il vantaggio concreto? Ridurre drasticamente il tempo di risposta e limitare i danni economici e reputazionali che un attacco potrebbe causare.

Che cosa è MDR

Occorre considerare che l’EDR genera una enorme quantità di dati, il cui esame, anche da parte di professionisti qualificati, porterebbe via tempi incredibilmente lunghi. Ecco che vengono in soccorso le soluzioni MDR (Managed Detection and Response) che all’atto pratico prendono in gestione le tecnologie di sicurezza degli endpoint, EDR incluso.

La gestione è affidata a team che lavorano da un SOC (Centro Operativo di Sicurezza), un’unità (non necessariamente interna agli stessi fornitori delle soluzioni EDR), responsabile di identificare e contrastare le minacce alla sicurezza.

Ormai quasi tutti i principali vendor – da Bitdefender a Malwarebytes, più di recente anche Trellix – si sono dotati di SOC interno e offrono quindi soluzioni MDR chiavi in mano. È ancora piuttosto raro trovare il servizio localizzato in lingua italiana, anche se la lingua inglese è uno standard comunemente accettato, al quale conviene abituarsi.

Il maggior vantaggio delle soluzioni MDR è naturalmente quello di affidare all’esterno la gestione dei rimedi, specialmente importante nel contesto odierno di crescente scarsità di figure professionali specializzate in cybersecurity, con particolare riferimento alla protezione degli ambienti cloud.

È fin troppo evidente, specie per le PMI, l’insostenibilità di assumere professionisti a tempo pieno in via esclusiva, mentre un SOC esterno lavora 24×7 e ripartisce i costi su più utenti.

Senza considerare un aspetto spesso trascurato, cioè che tutti gli utenti di un servizio gestito beneficiano singolarmente del multiforme patrimonio di esperienza e conoscenza accumulato dal gestore del servizio a contatto con le realtà più disparate.

Che cosa è XDR

Se, come abbiamo visto, le soluzioni EDR si concentrano unicamente sulla sicurezza degli endpoint, l’XDR (Extended Detection and Response) estende le capacità di analisi per esempio agli utilizzi cloud dell’organizzazione e agli applicativi in uso.

I sistemi XDR non possono prescindere dall’impiego di personale altamente specializzato, una risorsa talmente rara sul mercato, da risultare difficile già il solo entrarci in contatto.

È pur vero che esistono soluzioni di XDR gestito (MXDR, Managed XDR), però la complessità organizzativa connessa e il loro costo le rendono adatte a grandi imprese che abbiano la necessità di unificare il contrasto a minacce provenienti dai molti singoli strumenti di security di cui si sono dotate.

In due parole

EDR è lo strumento base per il monitoraggio degli endpoint e il rilevamento delle minacce. Ogni strategia di cybersecurity dovrebbe includerlo. Funziona tramite agenti software o sensori installati su ogni endpoint per catturare dati che vengono inviati a un repository (archivio digitale) centralizzato per essere analizzati.

MDR è essenzialmente un EDR acquisito come servizio. Con un team dedicato di esperti in security, il servizio prende in carico la sicurezza degli endpoint, eliminando o mitigando le minacce.

XDR estende le capacità di EDR oltre la protezione degli endpoint e unifica la risposta a minacce segnalate da tutta l’infrastruttura aziendale.

Per quali organizzazioni è indicato l’EDR?

Fermo restando che la sicurezza degli endpoint non dovrebbe mai essere affidata unicamente a sistemi antivirus – per quanto di ultima generazione -, la scelta di una soluzione EDR è adatta a organizzazioni

  • dotate di un team in grado di ricevere gli avvisi e agire in base alle raccomandazioni della soluzione stessa.
  • grandi strutture che partono da questa fase iniziale per costruire una strategia di cybersecurity a più ampio raggio, usando l’EDR come fondamento per un’architettura di security scalabile.

Per quali organizzazioni è indicato l’MDR?

Va da sé che le soluzioni MDR sono quelle più consigliabili alle piccole e medie imprese, che generalmente non dispongono di risorse e strumenti atti a contrastare efficacemente minacce avanzate.

Più in generale, l’MDR permette di introdurre in azienda nuove competenze e maggiore consapevolezza senza dover assumere altro personale. Attrarre risorse altamente specializzate diventa ogni giorno più problematico, mentre è vitale proteggersi dalle minacce più recenti.

Una buona misura dell’esposizione al cyber crimine può darla il nostro servizio gratuito SLED.

Alla prossima.

Marcello Fontana
commerciale@gotech.it
+39 351 4272010

PS – Domande o commenti? Contattaci su WhatsApp al numero +39 351 4272010. Possiamo aiutarti a proteggere il tuo business. Inizia la scoperta ora.

Ultimi articoli

Condividi l’articolo

Torna in alto

Resta aggiornato con notizie utili e ricevi le offerte riservate agli iscritti