EDR vs CLASSIC ANTIVIRUS
La nuova tecnologia per difendersi dalle moderne minacce informatiche si chiama EDR (Endpoint Detection and Response).
Quali sono le caratteristiche di un EDR
I diversi vendor forniscono soluzioni molto eterogenee tra loro, e ogni EDR ha le proprie peculiarità, ma alcune caratteristiche li definiscono:
- Cataloga gli Endpoint (pc, server, dispositivi mobili ecc.) e ne mantiene nel tempo una cronistoria.
- Raccoglie una grade quantità di data collection, threat patterns, e allerts in modo da poter fare approfondite analisi.
- Capacità di analisi forense in base alla gran mole di dati raccolta.
- Applica velocemente dei rimedi per evitare le minacce.
La differenza tra un EDR e un Antivirus
Le caratteristiche distintive di un EDR sono molte, tuttavia quella fondamentale è quella di poter fare analisi forense e riconoscere il modo in cui il malware è arrivato al target.
Quali sono i benefici di un EDR ?
Grazie a specifici moduli aggiuntivi, quasi sempre un EDR ha anche la possibilità di fermare in modo attivo le minacce.
Il principale punto di vantaggio si basa proprio sulla capacità di riconoscere una minaccia senza l’uso di signature. Mentre un comune Antivirus ha necessità di aggiornare costantemente le proprie firme per riconoscere un virus, un EDR riconosce il virus in base al suo comportamento.
In altre parole volendo ragionare per paradossi, un EDR di una versione di 2 anni fa, può fermare un virus creato oggi, di cui non conosce nulla e non ha alcuna firma.
Oltre a questo importantissimo plus, ce ne sono molti altri, tra i quali vale la pena sottolineare la grande capacità di correlare gli eventi critici e fornire importanti strumenti di analisi forense.
Non ultimo va considerata anche la naturale propensione di un EDR a convivere con altri strumenti di sicurezza, come ad esempi tradizionali Antivirus legacy, senza creare conflitti e malfunzionamenti.
E’ efficace contro i Ransomware?
La risposta è ovviamente SI. Tipicamente i moderni Ransomware non seguono più attacchi a “strascico” ovvero diffuse, ma alcuni di questi sono attacchi a target, costruiti per uno specifico scenario o cliente.
Di conseguenza è difficile pensare che un Antivirus conoscano ed abbia le firme per bloccare un numero che si avvicinano ai 350.000 nuovi malware creati ogni giorno!
EDR riconosce la minaccia in base al suo comportamento, quindi il tempo di reazione è zero, non ha bisogno che qualcuno crei una patch ed una firma per bloccare l’attacco.
Perchè un EDR è perfetto per il mondo ICS?
Dal punto di vista di un progettista o tecnico del automazione, una delle più grandi paure è installare un Antivirus in un server SCADA. Il motivo è semplice, potrebbe riconoscere come un virus un normale processo o query (falso positivo). Questo aspetto rende sempre molto difficile convincere gli addetti ad utilizzare sistemi Antivirus e mantenere aggiornati i client e server.
Al contrario un EDR non ha questo tipo di problema. Ovvero non avendo un bisogno di un aggiornamento delle signature, non incorre nel rischio di riconoscere un processo od una query come una minaccia a causa dell’ultimo aggiornamento. Di contro è in grado di bloccare minacce costruite adhoc per il monto ICS/OT.
Ne deriva che EDR è perfetto per gli ambienti ICS. L’EDR può essere messo inizialmente configurato in una modalità di apprendimento (learning), in cui capisce quali sono i normali e comuni processi. Successivamente si potrà passare alla fase di protezione attiva. Tutto questo grazie ad un forte utilizzo dell’intelligenza artificiale AI.
Read More