Managed Endpoint Detection & Response: così Swisscom offre più sicurezza alle imprese

Endpoint Detection & Response (EDR) viene a colmare questa lacuna nella security. Al contrario dei software antivirus basati su firme, analizza il comportamento del terminale alla ricerca di anomalie. «I nostri clienti vedono tutto in tempo reale su un dashboard», spiega Peter. «Così vengono alla luce le potenziali falle di sicurezza di qualsiasi terminale. Le notifiche di sicurezza vengono rilevate e se possibile risolte in automatico, cosa che sgrava il team addetto alla sicurezza in azienda.»

Tuttavia, un sistema EDR non identifica e respinge per forza tutti gli attacchi; al contrario, deve essere integrato in altre soluzioni per la sicurezza, collegato a un Security Operation Center (SOC) e spesso sottoporre i comportamenti sospetti sugli endpoint alla valutazione finale degli esperti analisti di security. Grazie a EDR, questi professionisti si possono concentrare su pochi attacchi potenziali (alert predisposti) senza dover passare in rassegna migliaia di eventi e log. Questo snellisce enormemente il loro lavoro. Se succede qualcosa, il team security dispone di un colpo d’occhio sull’infrastruttura IT monitorata da EDR ed è in condizione di reagire immediatamente su tutti gli endpoint, ad esempio isolando un terminale attaccato da malware o spostando file sospetti in una cartella per la quarantena.

Ben lungi dall’essere una soluzione standalone, quindi, EDR va integrato in soluzioni e processi di sicurezza preesistenti. Swisscom, ad esempio, propone di combinare EDR con SOC as a Service o CSIRT as a Service. In questo modo, i clienti Swisscom si proteggono efficacemente da attacchi fileless come malware, software dannosi ed exploit zero-day.