Rilevamento e risposta agli endpoint

Security Services

Rilevamento e risposta agli endpoint

Gli endpoint sono un problema di sicurezza? Gli endpoint sono spesso gli anelli più deboli di una rete e costituiscono la superficie di attacco attraverso la quale gli hacker possono lanciare attacchi malware, rubare dati, prendere il controllo delle risorse di rete o interrompere importanti processi aziendali.

Stiamo parlando di un antivirus?

No. La sicurezza degli endpoint è il vero successore dell'antivirus tradizionale per la cybersecurity aziendale. In primo luogo, fornisce al team di sicurezza IT un portale di gestione centralizzato che consente di tenere traccia di tutti gli endpoint e di tenerli sotto controllo. Inoltre, consente di monitorare le aree problematiche e i movimenti di traffico sospetti. La gestione centralizzata ti permette anche di proteggere gli endpoint dei dipendenti di altre sedi. Gli antivirus non possono farlo.

In secondo luogo, la sicurezza degli endpoint può anche limitare i dispositivi che possono o non possono connettersi ai tuoi endpoint. In questo modo, puoi evitare che una chiavetta USB contenente un malware dannoso venga installata su determinate porte USB senza autorizzazione. L'antivirus non offre queste opzioni.

Qual è il modo migliore per proteggere gli endpoint?

Sebbene le attuali soluzioni antivirus siano in grado di rilevare e bloccare molti nuovi tipi di malware, gli hacker ne sviluppano sempre di nuovi. Molti tipi di malware sono difficili da rilevare con i metodi standard. Ad esempio, il malware senza file, uno sviluppo più recente, opera nella memoria del computer e quindi sfugge agli scanner di firma del malware.

Per aumentare la sicurezza, un reparto IT può introdurre nel tempo una serie di soluzioni di sicurezza per gli endpoint e altre applicazioni di sicurezza. Tuttavia, più strumenti di sicurezza autonomi possono rendere difficile il rilevamento e la difesa dalle minacce, soprattutto se si sovrappongono ed emettono avvisi di sicurezza simili. Un approccio migliore è quello di una soluzione integrata per la sicurezza degli endpoint.

Cos'è l'EDR e quali sono le sue funzioni principali?

L'Endpoint Detection and Response (EDR), noto anche come Endpoint Threat Detection and Response, è una soluzione integrata per la sicurezza degli endpoint che combina il monitoraggio continuo e la raccolta di dati sugli endpoint in tempo reale con funzionalità di risposta e analisi automatizzate basate su regole. Il termine descrive un sistema di sicurezza che rileva e analizza le attività sospette su host ed endpoint utilizzando un elevato grado di automazione per consentire ai team di sicurezza di rilevare e rispondere rapidamente alle minacce.

Le funzioni più importanti di un sistema di sicurezza EDR sono:

  1. Monitorare e raccogliere dati sull'attività degli endpoint che potrebbero indicare una minaccia
  2. Analizzare questi dati per identificare i modelli di minaccia
  3. Rispondere automaticamente alle minacce rilevate per eliminarle o contenerle e notificarle al personale di sicurezza
  4. Strumenti forensi e di analisi per indagare sulle minacce identificate e ricercare attività sospette

EDR come servizio gestito

L'introduzione dell'EDR rappresenta una sfida per molte aziende. Da un lato, integrarlo in un SOC, in una soluzione SIEM (Security Information and Event Management) e nei processi SOAR (Security Orchestration, Automation and Response) non è banale, ma anzi molto impegnativo. D'altra parte, è necessario disporre delle competenze necessarie in materia di sicurezza per interpretare gli avvisi dell'EDR e per mantenere costantemente aggiornati l'EDR e il concetto di sicurezza. Non basta impostare l'EDR una volta sola; le configurazioni, le regole di rilevamento, le policy e le procedure (playbook) della soluzione devono essere costantemente aggiornate per automatizzare i processi SOAR. La carenza di manodopera qualificata rappresenta un problema in questo senso. In Svizzera mancheranno 40.000 specialisti ICT entro il 2026. Molte aziende non hanno le competenze necessarie in materia di sicurezza per gestire autonomamente l'EDR. Potrebbe quindi essere utile per loro considerare l'opzione dei servizi gestiti per l'EDR.

L'approccio di Swisscom all'EDR

L'EDR di Swisscom offre una visibilità end-to-end su tutti gli endpoint, ad esempio client, server e dispositivi mobili, per rilevare attacchi avanzati. L'investigazione e la correzione automatica degli avvisi di sicurezza tolgono l'onere al team operativo e di sicurezza del cliente. Il servizio include le seguenti funzionalità:

  • Endpoint Detection & Response (EDR) è il servizio che rileva gli attacchi avanzati
  • La piattaforma cloud EDR è la piattaforma che riceve i dati telemetrici di sicurezza dagli endpoint e li utilizza per generare avvisi di sicurezza
  • Il cruscotto EDR Cloud fornisce una panoramica degli avvisi di sicurezza riconosciuti.
  • La protezione degli endpoint protegge gli endpoint da malware, attacchi e attività maligne

Il servizio viene implementato insieme al cliente come parte di un progetto e nelle seguenti quattro fasi:

  • Creazione di un progetto di soluzione standard
  • Implementazione della configurazione delle migliori pratiche
  • Onboarding del servizio EDR e dei dispositivi finali
  • Breve introduzione al cruscotto EDR

I servizi di gestione dei servizi di Swisscom inclusi, Incidenti, Richieste di assistenza, Manutenzione e Monitoraggio, offrono al cliente il seguente valore aggiunto:

  • Assistenza e richieste di informazioni tramite il Service Desk di Swisscom
  • Esecuzione delle richieste di servizio definite nel catalogo
  • Aggiornamento continuo delle regole di best practice e delle linee guida sulla sicurezza.
  • Integrazione di nuove funzioni nella piattaforma EDR e nel dashboard
  • Gestione del ciclo di vita (agente)
  • Monitoraggio dei servizi e degli endpoint

Il servizio può anche essere combinato con SOCaaS, CSIRTaaS e Microsoft 365 Management di Swisscom.

Diana Mourad

Diana Mourad

Product Manager

Altri articoli getIT

Pronti per Swisscom

Trova il posto di lavoro o il percorso di carriera che fa per te. Dove dare il tuo contributo e crescere professionalmente.

Ciò che tu fai, è ciò che siamo.

Vai ai percorsi di carriera

Vai alle posizioni vacanti cibersicurezza