L’aumento del lavoro da remoto ha determinato l’aumento delle possibilità di accesso fraudolento alla rete aziendale, ma le aziende possono difendersi con l’endpoint detection and response.
La pandemia da Covid-19 ha riportato repentinamente alla ribalta un problema fondamentale per l’IT aziendale, ovvero l’endpoint protection. E immediatamente si è mostrata l’utilità e l’efficacia delle soluzioni di sicurezza che integrano l’endpoint detection and response (EDR). Le disposizioni governative volte a favorire il lavoro da remoto per ridurre la diffusione del virus hanno automaticamente determinato l’aumento dei punti di accesso alla rete aziendale, spesso rappresentati da dispositivi personali con poca (se non addirittura nessuna) protezione. Un discorso analogo vale per chi ha usato un device aziendale per accedere da remoto al network dell’organizzazione tramite una rete pubblica o una rete domestica non adeguatamente protetta. Così i criminali informatici si sono trovati nella condizione di poter sfruttare un vasto numero di endpoint per aggirare la protezione perimetrale dell’organizzazione. In molti casi è bastato allestire un attacco nemmeno troppo elaborato a un computer, un tablet o uno smartphone di proprietà di un dipendente per trovarsi spalancata la porta al bene più prezioso dell’azienda: i suoi dati.
Il ruolo degli MSP
Questo non significa però che sempre e dovunque i criminali informatici abbiano avuto libero accesso alla rete dell’organizzazione. Infatti, dove è stata messa in atto un’efficace strategia di endpoint protection si è riusciti a mantenere un elevato livello di sicurezza, evitando anche che i dispositivi di proprietà dei dipendenti diventassero l’anello debole della catena. In questo i managed service provider hanno avuto un ruolo importante, perché sempre più aziende, per mancanza di tempo, competenze o personale, tendono a delegare all’esterno la gestione della sicurezza IT. E uno dei servizi offerti dagli MSP in ambito cyber security è proprio la protezione dell’endpoint, che può essere efficacemente fornita da remoto da un’unica console.
Tra le soluzioni offerte dal mercato, spicca Kaspersky Optimum Security, che integra funzionalità di endpoint detection and response. In tal modo, l’MSP può consentire a tutti i dipendenti di un’azienda di qualsiasi dimensione di lavorare in modo sicuro su tutti i dispositivi ovunque si trovino perché offre una protezione a tutto tondo dalle minacce complesse e avanzate grazie a funzionalità evolute di rilevamento e a processi semplici e automatici di investigation e response. Ma come riesce l’endpoint detection and response ad essere così efficace?
Come funziona l’endpoint detection and response
Un sistema di endpoint detection and response colma le lacune dei tradizionali antivirus, ottenendo un risultato molto importante: consente di identificare e isolare in tempi rapidi anche le minacce non ancora conosciute e quindi non catalogate.
Un antivirus permette di individuare un attacco perché, confrontando i file ritenuti malevoli con quelli presenti nel database compilato dal vendor che realizza l’antivirus stesso, riconosce quelli che possono davvero “arrecare danni”. Il sistema è efficace, ma solo con le minacce già conosciute. E il database delle “firme” dei malware deve essere aggiornato costantemente affinché ci si possa difendere dal maggior numero possibile di minacce. Inoltre, per compiere l’operazione di riconoscimento è comunque necessario un certo periodo di tempo, che può essere sufficiente affinché la minaccia si diffonda nella rete aziendale.
Attraverso l’endpoint detection and response si riesce a ovviare a questi inconvenienti. Il sistema di protezione è sempre imperniato su un sistema di confronto e riconoscimento, però in questo caso non ci si basa tanto sulle firme, quanto invece sulle attività dei file o delle applicazioni. L’endpoint detection and response memorizza tutti i comportamenti e, tramite algoritmi avanzati di machine learning, li confronta con l’obiettivo di verificare se esistono intenzioni malevole. Una volta identificato il possibile malware viene messo in quarantena e generato un alert. Spetta all’utente decidere il da farsi, se operare manualmente ed effettuare ulteriori indagini o se, a fronte di precise istruzioni, lasciare stabilire autonomamente al software come comportarsi.
Va precisato che l’endpoint detection and response è così sofisticato da correlare comportamenti che singolarmente potrebbero non essere assolutamente pericolosi, ma che invece considerati nel loro complesso possono dare origine ad azioni malevole. Inoltre, l’operazione di indagine avviene in tempi rapidissimi. In un prodotto come Kaspersky EDR Optimum avviene praticamente in real time. Non solo. I file sono messi in quarantena già durante la fase di investigation in modo da prevenire la possibile interruzione delle attività aziendali e da ridurre al minimo l’impatto di una minaccia.
Un intero stack di sicurezza
Date le sue caratteristiche, un sistema di endpoint detection and response viene solitamente usato come completamento della protezione base fornita da una suite di sicurezza. L’ideale sarebbe che tutto lo stack di prodotti fosse del medesimo vendor per avere la migliore integrazione. Come accade nel caso di Kaspersky Endpoint Detection and Response Optimum, che si integra con le altre soluzioni di sicurezza Kaspersky per assicurare una protezione proattiva e completa alle aziende di qualsiasi dimensione. Se l’organizzazione non dispone di personale in grado di gestire la sicurezza, allora può intervenire l’MSP tramite la soluzione Managed Detection and Response Optimum. Questa è la versione EDR “gestita” che innalza il livello di sicurezza IT dell’azienda, senza dover investire in personale o competenze aggiuntive. Assicura inoltre un’elevata resilienza agli attacchi elusivi, grazie al deployment rapido e scalabile.
Protezione completa
Le moderne soluzioni di endpoint protection, abbinate ad una soluzione EDR consentono di proteggere le reti aziendali nei confronti dei più disparati tipi di attacco e contro l’inconsapevole condivisione di dati con l’esterno. Inoltre nel caso delle soluzioni Kaspersky, la gestione è semplificata, perché possibile tramite un’unica console.
