Perché Endpoint Detection and Response (EDR)?
Sophos offre una variante più costosa con l’aggiunta “EDR” sia per Intercept X Advanced, sia per Intercept X Advanced for Server. Dato che nelle consultazioni di acquisto ci viene molto spesso chiesto cosa significhi esattamente questo “EDR” e se il costo aggiuntivo valga la pena, in questo articolo vorrei approfondire le funzionalità di EDR e i suoi vantaggi.
La funzionalità EDR, in aggiunta a Intercept X Advanced, è disponibile da tempo per le workstation. Dal 9 maggio, il prodotto è disponibile anche per i server.
Come l’EDR può aiutare
Spiegato in modo un po’ più semplice, con Intercept X Advanced con EDR potete approfondire due aspetti essenziali: cosa è successo esattamente dopo un attacco e c’è il rischio che qualcosa di altro possa accadere nel prossimo futuro?
1. Cosa è successo?
Per scoprire cosa è successo dopo un attacco, a prima vista non è necessariamente necessario pagare il costo aggiuntivo per EDR. Sophos vi offre già da tempo la funzione Analisi delle cause profonde (RCA), che è inclusa nella funzionalità di Intercept X. Tuttavia, le possibilità di analisi di un attacco vengono ampiamente estese da un aggiornamento a Intercept X Advanced con EDR.
Con EDR puoi scoprire,
- cosa è realmente successo dopo un attacco
- se una minaccia si è diffusa
- quali informazioni SophosLabs ha raccolto da tutti i clienti Sophos su un programma specifico
- se c’è ancora malware dormiente nella tua azienda
- se puoi rassicurare il tuo capo che nessun dato è stato rubato
Con EDR, si ottiene l’accesso a metodi di intelligenza artificiale per analizzare un processo o file con machine learning in modo ancora più preciso. Inoltre, durante un’analisi, è possibile isolare temporaneamente il computer interessato per guadagnare tempo sufficiente.
2. Succederà altro?
Una tattica comune degli aggressori è quella di piazzare un piccolo programma da qualche parte sul vostro computer che, inizialmente, non fa nulla di male e quindi non sembra sospetto. Attraverso questo comportamento innocuo, alcuni meccanismi di sicurezza possono essere inizialmente elusi. Ad un certo punto, tuttavia, questo programma si attiverà e causerà danni.
Grazie alle capacità di ricerca estese di Intercept X Advanced con EDR, è possibile cercare tali “minacce dormienti” a livello aziendale. Spesso, tali programmi si sono già diffusi su numerosi sistemi e si nascondono dietro nomi di file falsi. Sophos offre con EDR la funzione utile di cercare in tutti i dispositivi dell’azienda valori hash. In questo modo, si può scoprire molto rapidamente su quali dispositivi dell’azienda un programma è già stato rilevato e con chi ha comunicato. In questo modo, si possono, ad esempio, rilevare server di comando e controllo o individuare server da cui potrebbero essere stati esfiltrati dati.
Qual è il valore aggiunto dell’EDR?
Se un attacco si verifica in un’azienda, ci si affida principalmente ai meccanismi di protezione di Sophos Intercept X Advanced. Successivamente, tuttavia, si dovrebbero esaminare più da vicino i dati raccolti dell’attacco e scoprire se sono stati rubati dati o se la minaccia, ad esempio, si è diffusa ad altri sistemi. Questo richiederebbe normalmente un’orda di esperti forensi che non fanno altro che cercare nei registri tutto il giorno per trarne conclusioni. Sophos, d’altra parte, si affida a metodi di intelligenza artificiale per la sua soluzione EDR. I processi nella rete vengono quindi analizzati con l’apprendimento automatico e l’aiuto di SophosLabs e non più dagli esseri umani. Ciò significa che questo lavoro può ora essere teoricamente svolto da una persona che non deve essere un esperto forense IT. 😎
Ho bisogno di EDR o no?
La risposta alla domanda se si debba pagare il costo aggiuntivo per EDR o meno dipende da due fattori:
Fattore 1: Interesse
Fate parte di quelle persone a cui basta che Intercept X Advanced scriva nel log, dopo un attacco, che il pericolo è stato contenuto e tutti i dati sono stati ripuliti? Allora probabilmente non avete bisogno di EDR.
Tuttavia, vorreste esaminare l’attacco più da vicino e analizzare il processo in modo più dettagliato? Volete sapere se ci sono ancora altri programmi dannosi in agguato su computer o server dell’azienda che semplicemente non si sono ancora fatti notare? Allora direi che dovreste prendere in considerazione il costo aggiuntivo per EDR.
Fattore 2: Requisiti di conformità
Gli strumenti EDR sono necessari al più tardi quando un’azienda deve dimostrare dopo un attacco che non sono stati rubati dati. Qui parliamo di requisiti di conformità che devono essere garantiti in determinati settori, come ad esempio il PCI (Payment Card Industry) o la sanità. Anche il GDPR (Regolamento generale sulla protezione dei dati) rientra in questo ambito, che stabilisce che i dati affidabili devono essere protetti secondo lo stato dell’arte.
Una tale legge rende naturalmente un’azienda vulnerabile. Invece di chiedere un riscatto per la decifratura dei dati aziendali, come in un attacco ransomware, le aziende possono ora essere estorte per somme ancora maggiori a causa di una violazione del GDPR o dei requisiti di conformità.
Le funzioni EDR di Sophos vi aiutano a rispettare i requisiti di conformità e, in caso di emergenza, a dimostrare se i dati sono stati persi o meno. Se ritenete che un tale strumento sia utile per la vostra azienda, allora l’investimento in Sophos Intercept X Advanced con EDR non sarebbe affatto fuori luogo.
Testa Sophos Intercept X Advanced con EDR
Se non avete ancora un account Sophos Central, potete crearne uno sul sito web di Sophos e testare gratuitamente per 30 giorni tutte le funzioni, incluso “Sophos Intercept X Advanced con EDR” per computer e server.
Se avete già un account Sophos Central e il periodo di prova di 30 giorni è scaduto, potete ordinare una licenza per “Sophos Intercept X Advanced con EDR” nel nostro negozio:
