EDR (Endpoint Detection and Response) – Security next step
Il software antivirus è stato ideato per proteggere i computer dai virus, rilevando e rimuovendo malware dai dispositivi. Esegue la scansione del sistema alla ricerca di un codice dannoso, identifica eventuali minacce e le rimuove o le mette in quarantena prima che possano fare qualsiasi danno. Per fare ciò l’endpoint, o il cosiddetto antivirus, utilizza generalmente un metodo di rilevamento del malware basato sulla firma. Cerca modelli o “firme” associati a un codice dannoso noto e blocca l’esecuzione di tutti i file che corrispondono a tali firme.
Cosa succede nel caso la minaccia, o malware, non avesse una “firma” riconosciuta dall’antivirus? È il caso delle così dette vulnerabilità zero-day. La loro inattaccabilità è evidente: chiunque sia a conoscenza della debolezza di un software, ignota ai suoi stessi creatori, potrà utilizzare un malware “senza firma” per effettuare un attacco informatico. Infatti, esistono mercati virtuali dove sono vendute le specifiche delle vulnerabilità zero-day o direttamente i codici malevoli in grado di sfruttarle, anche chiamati exploit. Nuove vulnerabilità zero-day vengono scoperte giornalmente. In questi casi, l’antivirus potrebbe arrivare in ritardo a riconoscere minacce, magari già divulgate in rete tramite mail o pubblicate online.
Le nuove minacce sono ormai uno dei punti di maggiore attenzione e di rischio per le aziende. Esiste, infatti, un “aiuto” alla classica scansione basata sulla firma ed è definita EDR (Endpoint Detection and Response): sistemi più evoluti che analizzano il comportamento dell’endpoint. Le soluzioni EDR raccolgono dati dagli antivirus e sono progettate per individuare automaticamente qualsiasi comportamento sospetto in modo da bloccarlo e segnalarlo. Sono una nuova tipologia di difesa sempre più efficace in quanto combinata con sistemi avanzati di machine learning. Grazie alle informazioni condivise in tempo reale e alle veloci elaborazioni fornite da algoritmi di intelligenza artificiale, i servizi EDR evoluti riescono a rilevare anche le nuove tipologie di attacchi, come appunto gli “zero-day” di cui sopra.
Un ulteriore software da installare? Assolutamente no. È una licenza aggiuntiva che abilita questa funzione nell’antivirus aziendale in uso.
Ti piacerebbe una consulenza personalizzata per scoprire dove la tua azienda potrebbe migliorare?
Contattaci qui: info@areagui.com
AREA GUI fornisce i propri strumenti e le competenze necessarie per prevenire da qualunque attacco ransomware. Non aspettare che l'attacco avvenga! Previeni e preparati con un buon piano di difesa!
…