Le infezioni dovute a malware e ransomware si stanno moltiplicando: rispetto al 2019 sono aumentate rispettivamente del 358% e del 435%.
Quindi, oggi più che mai, quando si parla di malware, la sicurezza non è mai abbastanza. Soprattutto perché le tecniche di attacco da parte degli hacker sono in continua evoluzione.
E se cambia il modo di attaccare deve cambiare anche il modo di difendersi.
Fermo restando che l’antivirus è ancora uno strumento indispensabile per tutti, è bene tener presente che, per rilevare e intercettare il malware prima che si diffonda, esiste anche un’altra tecnologia più moderna: l’EDR (Endpoint Detection and Response).
In questo articolo proverò a spiegare cosa distingue l’EDR dall’antivirus e come puoi incorporarli nella tua strategia di gestione della sicurezza informatica.
Cos’è l’antivirus?
Il buon vecchio antivirus è progettato per rilevare e rimuovere malware dai dispositivi. Esegue la scansione del sistema alla ricerca di codice dannoso, identifica eventuali minacce e le rimuove prima che possano fare qualsiasi danno.
Ad esempio, l’antivirus può monitorare i file in entrata, le email e i download alla ricerca di potenziali malware. Esegue inoltre la scansione dei siti Web per garantire che siano sicuri e liberi da virus o altri codici dannosi.
Per fare ciò, l’antivirus utilizza generalmente un metodo di rilevamento del malware basato sulla firma. Cerca quindi modelli o “firme” associati a un codice dannoso noto e blocca l’installazione sul dispositivo di tutti i file che corrispondono a queste firme. Altri tipi di antivirus includono il rilevamento basato sul comportamento o quello basato sull’euristica, ma questi metodi sono spesso utilizzati anche nell’EDR.
Le soluzioni antivirus sono in genere basate su cloud, il che consente la protezione in tempo reale contro le nuove minacce man mano che emergono.
Cos’è l’EDR?
Ora che hai compreso la definizione di antivirus, passiamo all’EDR. Questo strumento adotta un approccio più proattivo per proteggere gli endpoint dal malware.
Le soluzioni EDR monitorano il comportamento di tutte le applicazioni su un endpoint o su un dispositivo di rete per rilevare attività sospette o anomale che potrebbero segnalare un attacco in corso.
Includono anche funzionalità di risposta come il contenimento automatizzato, la remediation, l’indagine e le opzioni di rollback in caso di violazione della sicurezza.
Parliamo di come funziona ciascuna di queste funzionalità:
- Contenimento: si riferisce al processo per impedire a un malintenzionato di accedere e diffondere il proprio malware. Le soluzioni EDR possono aiutare a contenere un attacco bloccando processi dannosi, disabilitando le connessioni di rete o impedendogli di eseguire determinate azioni sul sistema.
- Remediation: comporta l’adozione di misure per ripulire eventuali danni che sono già stati causati da un attacco. Ciò include il ripristino dei dati, la rimozione di file dannosi e l’annullamento di eventuali modifiche alla configurazione.
- Indagine: è necessaria per determinare la causa dell’attacco e scoprire eventuali vulnerabilità che devono essere affrontate per prevenire attacchi simili in futuro. Le soluzioni EDR possono fornire report dettagliati su ciò che è accaduto durante l’attacco, che possono essere utilizzati per migliorare la tua strategia di sicurezza.
- Rollback: in alcuni casi, potrebbe essere necessario ripristinare le modifiche apportate da un attacco. Le soluzioni EDR possono aiutare in questo processo fornendo la possibilità di ripristinare rapidamente qualsiasi configurazione di sistema o file modificata durante l’attacco.
Ad esempio, l’EDR è in grado di riconoscere quando un’applicazione mostra un comportamento che potrebbe indicare un attacco dannoso.
Può quindi rispondere a questa minaccia isolando l’applicazione o il dispositivo dalla rete ed eseguendo scansioni o protocolli di isolamento per prevenire ulteriori infezioni.
Per una maggiore protezione, i sistemi EDR sono in genere integrati con altre soluzioni di sicurezza come gli antivirus, i firewall e i sistemi di prevenzione delle intrusioni.
Infine, le soluzioni EDR possono essere utilizzate anche per rilevare attività dannose che l’antivirus potrebbe non notare. Queste soluzioni sono spesso basate su cloud e offrono funzionalità avanzate di analisi e apprendimento automatico per migliorare la precisione del rilevamento.
In che modo entrambi i metodi supportano la cybersecurity?
Entrambi i metodi di difesa sono essenziali per proteggere la tua rete o quella dei tuoi clienti dalle minacce, ma mentre l’antivirus fornisce un approccio reattivo alla difesa, l’EDR offre una soluzione proattiva in grado di identificare comportamenti dannosi prima che diventino un problema.
L’uso combinato dei due metodi contribuirà a garantire che qualsiasi potenziale minaccia venga identificata rapidamente e affrontata in modo appropriato.
Ad esempio, supponiamo che un dipendente apra un allegato di un’email che contiene malware. L’antivirus rileverà la minaccia, la rimuoverà e avviserà il team IT del problema.
Allo stesso tempo, l’EDR riconoscerà qualsiasi attività sospetta associata alla minaccia, come il tentativo di accedere a dati riservati o l’apertura di determinati file.
Può quindi isolare l’applicazione o il dispositivo dalla rete e fornire ulteriori misure di sicurezza per garantire che non si verifichino ulteriori danni.

Quali sono i pro e i contro dell’antivirus?
L’antivirus è un’ottima difesa contro le minacce note, ma non può proteggere da quelle nuove o sconosciute. Richiede inoltre aggiornamenti regolari per garantirne l’efficacia.
Nella “sfida” con l’EDR, ecco Pro e Contro dell’antivirus:
Pro
- È in grado di rilevare e rimuovere rapidamente il codice dannoso.
- Spesso è gratuito o molto conveniente.
- È facile da installare e utilizzare.
Contro
- Non è sempre efficace contro le nuove minacce.
- Richiede aggiornamenti regolari per rimanere efficace.
- Può rallentare le prestazioni del sistema a causa dell’utilizzo delle risorse.
Quali sono i pro e i contro dell’EDR?
L’EDR offre una protezione maggiore rispetto all’antivirus, ma può essere più difficile da configurare e manutenere. I Pro e i Contro sono descritti di seguito:
Pro
- È più efficace nel rilevare nuove minacce.
- Può identificare rapidamente comportamenti sospetti e rispondere con misure di contenimento automatizzate.
- Utilizza una piattaforma basata su cloud per il rilevamento delle minacce in tempo reale.
Contro
- Richiede tempi di installazione e risorse aggiuntivi per l’implementazione.
- Può richiedere una manutenzione continua per mantenere il sistema sempre aggiornato.
- Sono generalmente più costose rispetto ai tradizionali software antivirus.
Come possono lavorare insieme EDR e antivirus?
EDR e antivirus possono lavorare insieme per fornire una protezione più completa alla tua rete e a quella dei tuoi clienti. Combinando le due soluzioni, le aziende ottengono una migliore visibilità delle loro reti e la capacità di rilevare e rispondere rapidamente alle minacce.
In particolare, l’antivirus dovrebbe essere una prima linea di difesa contro gli attacchi di malware.
L’EDR dovrebbe essere utilizzato per aumentare gli strumenti di sicurezza esistenti e fornire un ulteriore livello di protezione.
Ad esempio, se un software antivirus rileva un file dannoso come uno spyware, l’EDR può essere utilizzato per determinare l’entità dell’attacco e fornire analisi comportamentali diagnostiche ai team IT e di sicurezza informatica.
Questo approccio può impedire allo spyware di analizzare i tasti premuti dall’utente per rubare informazioni personali e finanziarie.
L’EDR può anche ibridarsi bene con altri strumenti, come con le applicazioni in grado di radunare le informazioni da diversi dispositivi, metterle insieme, correlarle e dare delle indicazioni: i SIEM. Per saperne di più su questo tipo di strumenti, ti consiglio questo episodio di RadioAchab.
EDR contro antivirus: il verdetto finale
Quando si tratta di mettere a confronto Antivirus e EDR, non c’è mai un verdetto chiaro su quale sia la soluzione di sicurezza migliore.
Sono entrambi strumenti importanti per proteggere le aziende da attacchi dannosi. Utilizzando queste soluzioni insieme, è possibile identificare rapidamente comportamenti sospetti e rispondere con misure di contenimento prima che si verifichino danni.
La combinazione dei due fornisce una difesa efficace contro le minacce note ed è in grado di rilevarne e analizzarne di nuove non appena si presentano.
Tuttavia, è importante tenere presente che nessuna soluzione di sicurezza è infallibile ed è essenziale investire in misure complete come il firewall e l’MDR (Managed Detection and Response). Abbiamo parlato di MDR in questo episodio di RadioAchab.
Qui potrei iniziare a parlare di Managed SOC e, cioè, di un modo con cui gli MSP come te possono dare in outsourcing il difficile lavoro di sicurezza informatica, raccogliendone i frutti, ma ne ho già parlato in questo articolo.
Per concludere, ogni azienda vuole essere protetta dagli attacchi informatici, ma diventa ogni giorno più difficile: gli attacchi diventano sempre più complessi, sono in continua evoluzione e in costante aumento. Una violazione può danneggiare la tua reputazione e costare alla tua azienda davvero tanto in termini economici. Per questo occorre restare sempre sul pezzo e aggiornarsi costantemente, anche e soprattutto, conoscendo e utilizzando le migliori soluzioni di sicurezza disponibili sul mercato: a tal proposito, sono sicuro che questo articolo su come combattere il ransomware farà al caso tuo.
Fonte: blog di ConnectWise