EDR o segmentazione: scopriamo le differenze
Il rilevamento e la risposta degli endpoint (EDR) e la segmentazione sono entrambi strumenti di sicurezza essenziali che continuano a fornire valore ai clienti, che li stanno adottando in numero crescente. Tuttavia, i vendor di ciascuna categoria spesso mettono in commercio soluzioni simili per i clienti, ossia sistemi di protezione contro i ransomware e le minacce zero-day.
Pertanto, quali sono le sfide simili che la tecnologia EDR e la segmentazione devono affrontare e in che modo differisce il loro approccio nel risolverle? Leggete più avanti per saperne di più.
Quali sono le caratteristiche simili della tecnologia EDR e della segmentazione?
Le soluzioni EDR e la segmentazione offrono entrambe controlli da eseguire prima di una violazione e misure di mitigazione da attuare dopo una violazione. Queste soluzioni si trovano sempre più nelle stesse aree di una rete, come server, istanze nel cloud, dispositivi degli utenti finali e contenitori. Le violazioni sono inevitabilied entrambe le soluzioni possono mitigare o ridurre l'impatto delle violazioni prima che riescano a causare vasti danni sulla rete. Tuttavia, le soluzioni intendono fermare la possibilità e la proliferazione delle violazioni con approcci diversi.
Quali sono le caratteristiche che differenziano la tecnologia EDR dalla segmentazione?
L'obiettivo di una soluzione EDR è rilevare gli attacchi non appena prendono di mira un server o un dispositivo iniziale, avvisando quando si verifica un evento di crittografia imprevisto, rilevando una connessione ad un indirizzo IP legato ad un'organizzazione di cybercriminali o notificando l'amministratore in merito ad un'attività sospetta. I progressi compiuti nei campi dell'intelligenza artificiale e dell'apprendimento automatico hanno, inoltre, migliorato la capacità della tecnologia EDR di identificare gli attacchi zero-day basati sulle somiglianze delle firme dei file presenti in attacchi noti.
Le soluzioni di segmentazione hanno l'obiettivo di suddividere la rete in compartimenti stagni per limitare il movimento laterale (o da est a ovest) di un attacco se la tecnologia EDR non riesce a rilevarlo. Se configurata correttamente in modo da isolare le applicazioni di importanza critica, i controlli granulari degli accessi e le policy di mitigazione delle minacce, una soluzione di segmentazione garantisce il blocco definitivo degli attacchi che sono riusciti ad accedere alla rete.
Anche se la tecnologia EDR è in grado di rilevare questi attacchi tempestivamente, nessuna soluzione EDR riesce sempre a rilevare gli eventi dannosi. Nel caso in cui un criminale viola un dispositivo non rilevato, la scala dell'attacco verrà definita dal punto in cui il criminale riesce a spostarsi successivamente ed è qui che entra in gioco la segmentazione.
Le soluzioni di segmentazione e i relativi controlli di sicurezza della rete possono garantire ad un dispositivo violato di stabilire solo una connessione con alcuni dispositivi o applicazioni. Ad esempio, la segmentazione può impedire ad una serie di credenziali rubate da un laptop di causare una violazione importante di un data center se la policy di sicurezza della rete stabilisce che una tale connessione al data center non sarebbe mai possibile.
Casi di utilizzo della tecnologia EDR o della segmentazione
Casi di utilizzo |
EDR |
Segmentazione |
Visibilità |
Fornisce visibilità e integrità da un dispositivo all'altro |
Fornisce visibilità su carichi di lavoro, reti e applicazioni da un dispositivo all'altro |
Mitigazione dei ransomware |
Mira a rilevare un attacco sferrato contro un dispositivo o un server |
Implementa misure di sicurezza da est a ovest per limitare l'impatto di una violazione |
Indagine sulle minacce |
Ricerca anomalie, minacce e firme di malware su un dispositivo o un server |
Esegue query e aggiornamenti di policy sulla rete per identificare vulnerabilità attive o inattive Ispeziona l'intera catena degli attacchi, ovunque si sia originata o diffusa |
Evoluzione della sicurezza del perimetro |
Fornisce funzionalità simili indipendentemente dalla posizione del dispositivo |
Mantiene una solida segmentazione della rete quando i dipendenti accedono alle applicazioni da remoto |
Caso di utilizzo: visibilità
EDR
Queste soluzioni offrono visibilità sui contenuti del dispositivo su cui sono installate. La tecnologia EDR controlla costantemente il dispositivo alla ricerca di minacce note e potenzialmente sconosciute e spesso utilizza l'apprendimento automatico per comprendere il normale comportamento di un dispositivo, quindi invia un avviso se si verifica un comportamento anomalo. Questo controllo costante può, a volte, implicare un utilizzo intensivo della CPU.
Segmentazione
Per segmentare accuratamente un ambiente, queste soluzioni devono fornire la piena visibilità sull'intera rete, inclusi server, dispositivi degli utenti finali, istanze nel cloud e contenitori, nonché le connessioni tra questi elementi. La visibilità include i flussi di dati attivi da una risorsa all'altra, le connessioni nascoste che possono risultare rischiose e le dipendenze della rete che influiscono sull'impatto del cambiamento di una policy o di un server infetto. Con queste informazioni, è possibile creare policy di segmentazione tali da tener conto di tutte le vulnerabilità in modo da ridurre in modo significativo il movimento laterale .
Caso di utilizzo: mitigazione dei ransomware
La maggior parte degli attacchi di ransomware è causata da un errore umano, come utilizzare sempre le stesse password o fare clic su un'e-mail di phishing. In questi casi, la tecnologia EDR e la segmentazione proteggono dalla diffusione dell'attacco in varie fasi e in modi diversi.
EDR
Le soluzioni EDR mirano a rilevare la presenza di ransomware in esecuzione sui dispositivi che stanno controllando. Se la tecnologia EDR rileva un ransomware, può distruggere il processo, mettere in quarantena il dispositivo e spesso risolvere eventuali problemi di crittografia che si sono verificati.
Segmentazione
Prima di un attacco: associando l'intero ambiente ad una sola interfaccia utente, inclusi dispositivi, connessioni e processi, è possibile applicare la policy di sicurezza appropriata per impedire ad un attacco ransomware di sfruttare una connessione da un dispositivo al data center che sarebbe altrimenti invisibile all'amministratore.
Dopo un attacco: in caso di violazione dell'ambiente da parte di un ransomware, le operazioni eseguite tramite la soluzione di segmentazione (come l'isolamento delle applicazioni di importanza critica, l'eliminazione di connessioni indesiderate ai database e la limitazione di percorsi che possono favorire il movimento laterale) sono tutte efficaci per garantire il minimo impatto sull'ambiente da parte della violazione. Le misure predefinite attuate in risposta agli attacchi ransomware possono anche aiutare l'utente ad isolare le risorse in modo tattico o a limitare specifici flussi di dati senza causare disservizi al resto dell'ambiente per garantire la continuità operativa.
Caso di utilizzo: indagine sulle minacce
EDR
Il rilevamento e la risposta agli attacchi che caratterizzano la tecnologia EDR spesso richiedono all'amministratore o al team SOC (centro operativo per la sicurezza) un notevole impegno tanto quanto serve alla soluzione per individuare le minacce. Un team di esperti insieme ad una soluzione EDR di comprovata validità possono risultare la combinazione ideale per individuare i criminali che si nascondono dietro i dispositivi.
Segmentazione
Con una soluzione di segmentazione, gli esperti di analisi della sicurezza possono eseguire facilmente query sulla propria rete, dai server on-premise con sistemi operativi tradizionali all'infrastruttura PaaS (Platform-as-a-Service) nei loro ambienti sul cloud pubblico.
Inoltre, una soluzione di segmentazione offre la possibilità di condurre un'eccellente indagine sulla catena degli attacchi successivi ad una violazione poiché è possibile accedere a tutte le connessioni e agli eventi della rete dall'interfaccia utente della soluzione stessa. In tal modo, è di gran lunga più semplice raggiungere la conformità quando si verifica una violazione poiché è possibile associare e produrre in breve tempo un rapporto dettagliato sull'attacco subito.
Caso di utilizzo: evoluzione della sicurezza del perimetro
EDR
Sia che i dipendenti siano collegati alla rete aziendale o al proprio router a casa, la tecnologia EDR può continuare a controllare il dispositivo dell'utente finale alla ricerca di attività dannose. Tuttavia, la visibilità sull'attività della rete rimane un punto cieco e il controllo sul traffico di rete in entrata o in uscita dall'endpoint è limitato.
Segmentazione
La segmentazione è una misura di sicurezza fondamentale per il perimetro in continua evoluzione poiché le piattaforme possono contenere una violazione indipendentemente dal relativo punto di origine. Le policy di segmentazione tengono in considerazione i dispositivi degli utenti finali e garantiscono la limitazione dei percorsi che portano alle risorse più preziose dell'organizzazione, pertanto la rete rimane protetta da eventuali violazioni catastrofiche.
In che modo la tecnologia EDR e la segmentazione si completano a vicenda?
La tecnologia EDR e la segmentazione sono entrambe adatte per l'utilizzo in situazioni di sicurezza prioritarie, ma in fasi diverse nella catena degli attacchi e in modi differenti. La tecnologia EDR offre una potente soluzione per identificare i nuovi attacchi, ma se ci si propone di ridurre in modo significativo la superficie di attacco della rete e limitare i percorsi che i malware possono intraprendere da un dispositivo in caso di violazione, serve una soluzione di segmentazione.
Entrambe le soluzioni possono avvalersi di agenti, ciascuno dei quali focalizzato su diversi obiettivi, per garantire, nel contempo, un utilizzo minimo della CPU. In alcuni casi, una soluzione integrata è sufficiente per offrire sia le funzionalità di segmentazione che la tecnologia EDR per un dato dispositivo.
Scopri di più
Per ulteriori informazioni sui vantaggi offerti dalle soluzioni di segmentazione per proteggere la rete da un attacco proveniente da un dispositivo, date un'occhiata a questa descrizione delle soluzioni.
