L'Endpoint Detection and Response (EDR) rimane un elemento fondamentale della moderna cybersecurity. Fornisce una visibilità approfondita delle attività che si verificano su endpoint quali laptop, server e workstation, consentendo ai team di sicurezza di rilevare comportamenti sospetti, indagare sugli incidenti e rispondere alle minacce in modo più efficace rispetto agli strumenti antivirus tradizionali.

I limiti dell'EDR

Tuttavia, la rapida evoluzione delle tecniche di attacco ha messo in luce i limiti dell'affidarsi esclusivamente alla sicurezza incentrata sugli endpoint. Oggi gli attacchi informatici si verificano raramente su un singolo dispositivo. Si sviluppano invece in ambienti ibridi complessi che includono servizi cloud, utenti remoti, piattaforme SaaS, tecnologia operativa e dispositivi non gestiti.

In questo ambiente, gli aggressori non hanno più bisogno di sfondare un singolo perimetro. Devono semplicemente ottenere l'accesso da qualche parte all'interno dell'ambiente e iniziare a muoversi attraverso di esso.

Per questo motivo le organizzazioni riconoscono sempre più spesso che l'EDR da solo non è in grado di fornire la visibilità necessaria per bloccare i moderni attacchi informatici. Per rilevare e rispondere efficacemente, i team di sicurezza devono estendere la visibilità alla rete stessa utilizzando il Network Detection and Response (NDR).

 

edr-1

 

La rete moderna è un'enorme superficie di attacco

Un tempo le reti aziendali erano relativamente semplici. Le organizzazioni operavano da una manciata di uffici collegati a un centro dati centrale. Le strategie di sicurezza si concentravano sulla difesa di un perimetro ben definito.

Questo modello è in gran parte scomparso.

Gli ambienti aziendali di oggi sono distribuiti, ibridi e in continua espansione. I dati risiedono su piattaforme cloud e infrastrutture on-premise. I dipendenti lavorano in remoto utilizzando dispositivi personali e aziendali. Le applicazioni SaaS vengono adottate rapidamente in tutti i reparti. I dispositivi Internet of Things, la tecnologia operativa e le integrazioni di terze parti introducono ulteriore complessità.

Dal punto di vista di un difensore, questi ambienti possono apparire come domini separati, come endpoint, cloud, identità e rete. Gli aggressori non li vedono in questo modo.

Per un attaccante, l'intero ambiente rappresenta un'unica superficie di attacco collegata.

Il loro obiettivo è semplice: ottenere un punto d'appoggio da qualche parte nella rete e iniziare ad ampliare l'accesso.

Come gli aggressori eludono i controlli sugli endpoint

L'EDR rimane una potente capacità difensiva, ma gli attori delle minacce progettano sempre più spesso le loro tecniche per evitare o disattivare i controlli degli endpoint.

Gli aggressori sono diventati molto efficaci nello sfruttare le lacune nella visibilità degli endpoint. Molti sistemi all'interno degli ambienti moderni non possono eseguire agenti EDR, compresi i dispositivi dell'infrastruttura di rete, i sistemi legacy, le apparecchiature IoT e le piattaforme tecnologiche operative. Questi dispositivi possono fornire punti di accesso ideali alla rete.

Anche quando l'EDR è implementato, gli aggressori si affidano spesso a tecniche progettate per eludere il rilevamento. Gli attacchi "Living off the land" utilizzano strumenti amministrativi legittimi già presenti sui sistemi per svolgere attività dannose. Poiché questi strumenti godono della fiducia del sistema operativo, può essere difficile per gli strumenti endpoint classificarli come dannosi.

In alcuni casi, gli aggressori disabilitano gli agenti di sicurezza dopo aver ottenuto un accesso privilegiato. In altri casi, operano interamente in memoria, evitando i tradizionali file malware che le soluzioni EDR sono progettate per rilevare.

Le ricerche di settore evidenziano la portata di questa sfida. Oltre il 50% delle principali violazioni coinvolge aggressori che aggirano i controlli sugli endpoint. Inoltre, molti attacchi moderni si estendono su più domini, coinvolgendo contemporaneamente la compromissione degli endpoint, l'abuso di identità, il movimento della rete e lo sfruttamento del cloud.

Il libro degli attaccanti: disabilitare, evitare, ingannare

Nonostante la complessità degli attacchi moderni, la strategia di fondo utilizzata da molti attori delle minacce è sorprendentemente semplice.

Gli aggressori si affidano in genere a tre approcci di base per eludere il rilevamento:

  • Disattivare i controlli di sicurezza, ove possibile.
  • Evitare i meccanismi di rilevamento utilizzando strumenti legittimi e processi affidabili.
  • Ingannare i sistemi di sicurezza mescolando l'attività dannosa al comportamento normale.

Con questo approccio, gli aggressori possono aggirare le tecnologie di prevenzione, eludere il rilevamento EDR e operare silenziosamente all'interno dell'ambiente di un'organizzazione.

La velocità aumenta ulteriormente la sfida per i difensori. Una ricerca di CrowdStrike indica che gli aggressori possono spostarsi lateralmente attraverso le reti in appena 48 minuti dopo la compromissione iniziale. Nel frattempo, il tempo medio necessario alle organizzazioni per identificare e contenere le violazioni può durare mesi.

Senza una visibilità più ampia dell'ambiente, gli aggressori possono rimanere inosservati abbastanza a lungo da poter scalare i privilegi, esfiltrare i dati o distribuire ransomware.

Perché la visibilità dell'EDR non è sufficiente

L'EDR fornisce una visione dettagliata delle attività sui singoli sistemi. Tuttavia, non sempre cattura il percorso più ampio dell'attacco, quando gli aggressori si muovono nell'ambiente.

I moderni attacchi informatici comportano tipicamente un movimento laterale attraverso i sistemi interni, l'abuso di credenziali privilegiate e la comunicazione segreta con l'infrastruttura di comando esterna. Queste attività spesso generano segnali all'interno del traffico di rete piuttosto che sugli endpoint stessi.

Ad esempio, modelli di autenticazione insoliti, connessioni interne inaspettate e trasferimenti di dati anomali possono indicare l'attività di un aggressore. Senza la visibilità della rete, questi segnali possono rimanere nascosti.

Questo crea un pericoloso punto cieco. I team di sicurezza potrebbero monitorare da vicino gli endpoint mentre gli aggressori si muovono tranquillamente sulla rete.

NDR webinar CTA

Come l'NDR colma il gap di rilevamento

Network Detection and Response colma queste lacune di visibilità analizzando il traffico di rete nell'intero ambiente. Invece di affidarsi agli agenti degli endpoint, NDR osserva le comunicazioni tra i sistemi, consentendo di rilevare comportamenti sospetti su dispositivi gestiti e non gestiti.

Poiché NDR si concentra sul comportamento della rete, è in grado di identificare le attività degli aggressori che altrimenti rimarrebbero invisibili agli strumenti endpoint. Tra queste, i movimenti laterali tra i sistemi, i comportamenti di autenticazione sospetti, il traffico di comando e controllo occulto e i tentativi di esfiltrazione di dati sensibili.

Le piattaforme NDR avanzate utilizzano l'analisi comportamentale e l'apprendimento automatico per stabilire una linea di base della normale attività di rete. Quando si verificano anomalie, come schemi di comunicazione insoliti o interazioni inaspettate tra dispositivi, i team di sicurezza vengono allertati per indagare.

In questo modo i difensori possono identificare gli attacchi in una fase precedente della kill chain e reagire prima che si verifichino danni significativi.

Ridurre il rumore e migliorare l'efficacia del SOC

Un'altra sfida importante per i centri operativi di sicurezza è il sovraccarico di allarmi. I moderni ambienti di sicurezza generano un gran numero di avvisi da diversi strumenti a livello di endpoint, cloud, identità e rete.

Ogni sistema può produrre segnali preziosi, ma se considerati isolatamente questi avvisi spesso mancano di contesto. Gli analisti devono dedicare molto tempo all'analisi dei falsi positivi e alla correlazione degli eventi tra i diversi strumenti.

Introducendo l'NDR, le organizzazioni ottengono una visione più ampia delle attività nell'ambiente. La visibilità della rete fornisce un contesto che aiuta gli analisti a collegare gli eventi sospetti, a identificare più rapidamente gli attacchi reali e a ridurre il tempo trascorso a indagare sulle attività benigne.

Questo migliora sia l'efficienza che l'efficacia dei team operativi di sicurezza.

Costruire la resilienza oltre la prevenzione

Le strategie di sicurezza si sono tradizionalmente concentrate sull'impedire agli aggressori di entrare nell'ambiente. Sebbene la prevenzione rimanga essenziale, i moderni leader della sicurezza riconoscono sempre più che le capacità di rilevamento e risposta sono altrettanto importanti.

L'EDR svolge un ruolo fondamentale nella prevenzione e nell'investigazione delle compromissioni degli endpoint. Tuttavia, una sicurezza resiliente richiede anche la capacità di rilevare gli aggressori che hanno già ottenuto l'accesso.

L'NDR fornisce questa capacità, identificando comportamenti sospetti in tutta la rete e rivelando i movimenti degli aggressori che altrimenti potrebbero rimanere nascosti.

Insieme, EDR e NDR forniscono una visibilità complementare sia sugli endpoint che sulle reti, migliorando significativamente la capacità di rilevare, indagare e rispondere alle minacce.

Perché la sicurezza moderna richiede sia l'EDR che l'NDR

Gli attacchi informatici sono sempre più veloci, furtivi e complessi. Gli aggressori sfruttano i sistemi di identità, si muovono lateralmente attraverso le reti e sfruttano strumenti legittimi per evitare il rilevamento.

Per difendersi da queste minacce, le organizzazioni devono estendere la loro visibilità al di là dei singoli dispositivi e capire come si svolge l'attività nell'intero ambiente.

L'EDR rimane una componente vitale della moderna sicurezza informatica. Tuttavia, da solo non può fornire la copertura necessaria per rilevare gli attacchi moderni.

Combinando la visibilità degli endpoint con il rilevamento della rete tramite NDR, le organizzazioni ottengono un quadro molto più completo del comportamento degli aggressori e colmano le lacune critiche della loro postura di sicurezza.

Negli ambienti digitali senza confini di oggi, una difesa informatica efficace dipende dalla possibilità di vedere non solo ciò che accade sugli endpoint, ma anche come le minacce si muovono attraverso la rete stessa.

Contattate gli esperti di Integrity360 per conoscere le vostre esigenze in materia di EDR e NDR e per sapere come possiamo supportare la vostra organizzazione nel rafforzamento della sicurezza informatica.

 

Contattaci

 

Domande frequenti su EDR e NDR

Che cos'è l'EDR nella cybersecurity?

L'Endpoint Detection and Response (EDR) è una tecnologia di cybersecurity che monitora i dispositivi endpoint come laptop, server e workstation per rilevare attività dannose. Gli strumenti EDR analizzano il comportamento del sistema, identificano i processi sospetti e consentono ai team di sicurezza di indagare e rispondere alle minacce sui singoli dispositivi.

Che cos'è l'NDR nella cybersecurity?

Il Network Detection and Response (NDR) è una tecnologia di sicurezza che analizza il traffico di rete per identificare attività sospette nell'infrastruttura di un'organizzazione. L'NDR rileva minacce come il movimento laterale, le comunicazioni di comando e controllo, l'abuso di credenziali e l'esfiltrazione dei dati monitorando le comunicazioni tra i sistemi.

Qual è la differenza tra EDR e NDR?

L'EDR si concentra sul rilevamento delle minacce sui singoli endpoint, mentre l'NDR si concentra sul monitoraggio del traffico di rete tra i sistemi. L'EDR fornisce una visibilità approfondita dell'attività degli host, mentre l'NDR rivela come gli aggressori si muovono attraverso le reti. Insieme forniscono una copertura più ampia per il rilevamento delle minacce.

Perché l'EDR da solo non basta?

L'EDR non può essere implementato su ogni dispositivo all'interno di un ambiente e potrebbe non notare le attività degli aggressori che si verificano nel traffico di rete. Gli aggressori spesso eludono i controlli sugli endpoint utilizzando tecniche come gli attacchi living-off-the-land, l'abuso di credenziali o prendendo di mira dispositivi non gestiti.

Perché le organizzazioni hanno bisogno di EDR e NDR?

La combinazione di EDR e NDR offre visibilità sia sugli endpoint che sulle comunicazioni di rete. Questo approccio stratificato migliora l'accuratezza del rilevamento, riduce i punti ciechi e consente ai team di sicurezza di identificare gli attacchi in una fase precedente della catena di attacco.

In che modo l'NDR aiuta a rilevare gli attacchi ransomware?

L'NDR è in grado di identificare gli indicatori precoci di attività ransomware, come movimenti laterali, connessioni interne sospette o trasferimenti di dati anomali. Il rilevamento precoce di questi comportamenti può aiutare le organizzazioni a fermare gli attacchi ransomware prima che la crittografia abbia inizio.

In che modo l'NDR migliora le operazioni di soc?

L'NDR fornisce un contesto aggiuntivo alle attività sospette, aiutando i centri operativi di sicurezza a correlare gli avvisi tra endpoint, reti e sistemi di identità. Questo riduce i falsi positivi e consente agli analisti di concentrarsi in modo più efficiente sulle minacce reali.