EDR e antivirus: come si differenziano?
L’opinione di Andrea Scattina, Country Manager Italy di Stormshield.
Oggi, avvalersi di software antivirus tradizionali non sembra più appropriato. Nuove tecnologie tra cui “NGAV” (“Next-Generation Antivirus”), “EPP” (“Endpoint Protection Platform”), “EDR” e “XDR” (eXtended Detection & Response) stanno guadagnando sempre più terreno. Ma quali sono le differenze tra tutte queste tecnologie di cybersecurity? Gli antivirus tradizionali hanno ancora un senso? Risponde Andrea Scattina, Country Manager Italy di Stormshield.
Quasi un decennio dopo la preannunciata fine delle soluzioni antivirus tradizionali le stesse risultano ancora molto diffuse, sebbene il termine antivirus abbia perso il suo lustro. I software antivirus sono programmi per la rilevazione e la rimozione di malware che può attaccare singoli dispositivi come computer, tablet o smartphone. Basati su meccanismi di rilevamento che identificano primariamente le firme (signature) dei virus attraverso il confronto con modelli contenuti in un database, gli antivirus tradizionali risultano oggi particolarmente limitati e limitanti. Per riconoscere una firma, ad esempio, il virus deve essere già noto. Inoltre tecnologie come il polimorfismo o i malware privi di file eludono tali metodi di rilevamento. Con i circa quattro milioni di nuovi malware prodotti su base mensile secondo AV-Test e le numerose nuove vulnerabilità rilevate quotidianamente, è legittimo chiedersi quale sia l’efficacia e l’utilità degli antivirus tradizionali.
L’avvento dell’analisi comportamentale
Per rispondere a queste minacce, i fornitori di sicurezza informatica sono passati dalla ricerca di corrispondenze dei malware con le firme contenute nei database all’analisi euristica basata sul comportamento dell’utente o del sistema. Con il nome di “Next Gen Antivirus”, i programmi antivirus più moderni hanno costituito la base per le soluzioni EPP (“Endpoint Protection Platform”) e EDR (“Endpoint Detection & Response”). Queste ultime rilevano comportamenti anomali sulla base di indici di compromissione (“IoC”).
Tuttavia, le soluzioni EDR e EPP non si escludono a vicenda, sono, al contrario, complementari! Anche se un EPP non è efficace contro tutte le minacce informatiche, fornisce comunque un primo livello di protezione contro gli attacchi meno sofisticati, con la garanzia di evitare falsi positivi e con un consumo molto ridotto di risorse sul computer. Ma un primo livello di sicurezza non è sufficiente. Per fare un parallelismo con la sicurezza fisica, le soluzioni EDR agiscono come telecamere di sorveglianza che permettono di vedere se persone non autorizzate stanno entrando nei locali dell’azienda. Ma per respingere l’intruso all’ingresso, è necessaria una guardia in loco, ovvero un EPP. Per questo motivo si osserva spesso che sullo stesso computer vengono installate diverse soluzioni di sicurezza. Tuttavia, questa combinazione non è sempre funzionale, alcune costellazioni possono portare a conflitti che aprono un’altra porta ai criminali informatici.
NDR, XDR, MDR
Alla luce della costante estensione della superficie di attacco nelle aziende, i responsabili della sicurezza informatica devono monitorare non solo i dispositivi ma anche l’intera infrastruttura IT. Le soluzioni NDR (“Network Detection and Response”) e XDR, come fornite da Stormshield, società europea del Gruppo Airbus che produce soluzioni di cybersecurity, rappresentano un valido aiuto in questo senso. Mentre le piattaforme NDR analizzano tutti i pacchetti inviati attraverso la rete per rilevare attività sospette, le soluzioni XDR servono a mantenere una visione complessiva della moltitudine di strumenti di sicurezza (ergo anche punti di raccolta di indicatori di compromissione). L’XDR agisce quindi da piattaforma di correlazione delle informazioni raccolte dai diversi strumenti per ridurre al minimo i rischi e rispondere prontamente agli incidenti.
Nonostante gli enormi progressi, tuttavia, nessuna tecnologia può proteggere risorse sensibili in maniera autonoma. Gli analisti di sicurezza informatica continueranno a svolgere un ruolo centrale nella protezione delle infrastrutture. Ciò comporta un incremento della domanda di professionisti della sicurezza specializzati nel rilevamento e nella reazione agli incidenti, in un contesto di già grave carenza di competenze. Non sorprende quindi che le offerte di servizi di “Managed Detection and Response” (MDR) o mini-SOC godano attualmente di una crescente popolarità. Essi offrono le competenze necessarie per tenere il passo con le minacce in rapida evoluzione anche ad aziende che non dispongono di specialisti interni.
