L’EDR protegge efficacemente la rete dai cyber attacchi

Gli attacchi alla sicurezza sono sempre più sofisticati  ma nuove tecniche di difesa con sensori e analitiche permettono di contrastare e anticipare le minacce

 

Quando si tratta di  attacchi  il problema è cosa fare per rispondervi e proteggersi. In proposito, ci sono modalità come ad esempio l’EDR, acronimo per Endpoint Detection and Response che si rivelano molto utili ma prima di vedere come può aiutare è utile esaminare quello che è un consueto approccio adottato dagli attaccanti.

Un hacker che si propone di superare le difese preventive di un’azienda, mette in giardia F-Secure, azienda specializzata nella protezione degli end-point, può iniziare utilizzando svariate tattiche.- Tra queste ad esempio di certo non esaustivo:

  • Man-in-the-Middle: l’attaccante intercetta, presentandosi le comunicazioni di un utente e le inoltra dopo averle esaminate o modificate. Sono attacchi apportati in prossimità tramite reti Wi-Fi non crittografate o da remoto tramite malware.
  • Spear Phishing: sono comunicazioni ideate per indurre qualcuno nell’organizzazione a condividere informazioni sensibili o ad aprire un file eseguibile. Sono molto comuni ed efficaci e in un : rapporto recente di Verizon sulle minacce si evidenzia come questa tattica assommi a un terzo delle violazioni.
  • Watering Hole: è una strategia di attacco in cui la vittima appartiene a un determinato gruppo (organizzazione, industria o regione).L’attaccante osserva quali siti Web il gruppo utilizza e inserisce codice malevolo nella base JavaScript o HTML di questi siti, che indirizza gli utenti target verso un altro sito compromesso in cui è in agguato un malware.
  • Sfruttamento di una vulnerabilità: ogni anno emergono più di 16.000 nuove vulnerabilità e la maggior parte delle aziende fatica comprensibilmente ad aggiornare l’infrastruttura di sicurezza. E’ una situazione in cui ricorrendo a strumenti di automazione gli attaccanti sono in grado di scansionare la rete pubblica alla ricerca di una qualsiasi di queste vulnerabilità contando sul fatto di trovarvi migliaia di dispositivi non ancora aggiornati e protetti dalle nuove vulnerabilità.

Oltre a quelli enunciati, e tra altri, esiste anche un’altra tipologia di attacco che viene dato “In appalto”. In pratica, i cyber criminali si limitano a commissionare attacchi verso un numero elevato di sistemi contando sul fatto che una certa percentuale di questi finirà con l’essere compromessa. Non mancano inoltre i casi in cui gli attaccanti trovano più conveniente acquistare l’accesso a un’azienda già compromessa.

Il ruolo di EDR

Quando un attaccante riesce a superare il perimetro, mettono in guardia F-Secure, inizia ad aggirarsi nel sistema, ad esempio per aggiungere nuovi utenti locali o modificare gli account di utente esistenti per elevarne i privilegi, esfiltrare le password dell’amministratore o spostarsi lateralmente da un sistema all’altro.

Per non essere scoperti possono usare componenti legittimi del sistema operativo per radicarsi nella rete aziendale e mimetizzarsi nel traffico normale. Il problema è che a questo punto firewall e soluzioni tradizionali per la protezione degli endpoint possono non essere in grado di rilevare la presenza di un attaccante.

In pratica, attacchi sofisticati difficilmente vengono bloccati ricorrendo a metodi di difesa statici, che sono generalmente quelli usati da PMI. L’interesse nell’apportare un attacco a una PMI risiede inoltre nel fatto che è sovente inserita in una supply chain che conduce ad una grande azienda e quindi potrebbe agevolarne inconsapevolmente un attacco.

E’ qui che può entrare in gioco l’EDR. Perché per come viene organizzata una difesa di questo tipo anche se un attaccante dovesse riuscire a superare le misure di sicurezza troverebbe molto difficile, a causa degli strumenti di analisi in profondità, comportamentali e di analytics insiti in EDR, mimetizzarsi nel normale traffico di rete e qualsiasi comportamento insolito degli endpoint verrebbe individuato prima che l’attacco possa apportare danni all’azienda.