Il rilevamento e la risposta degli attacchi verso gli endpoint devono evolversi perché questa superficie di attacco così vasta consente agli aggressori di progettare campagne multi-vettoriali. Questo significa che hanno a disposizione un menu di opzioni, o percorsi, tra cui scegliere per riuscire a portare a termine le violazioni. Potrebbero approfittare dell’ingenuità degli utenti con l’ingegneria social e sfruttare una vulnerabilità del software. Nel mondo multi-vettore, adotteranno un mix di queste opzioni per aumentare la probabilità di successo degli attacchi e ogni endpoint rappresenta un rischio per l’intero ambiente.
Senza l’approccio multi-vector sarà molto più difficile automatizzare le funzioni di rilevamento e risposta, per lasciare agli amministratori di rete e agli esperti in sicurezza il tempo necessario per eseguire attività più utili. E senza la capacità di scalare verso l’alto le procedure di sicurezza per proteggere ambienti più complessi, coloro che operano in ambienti di lavoro ibridi – come sta accadendo in questo periodo a causa della pandemia – saranno costretti ad affrontare sfide più ardue del necessario.
L’importanza della visibilità
È quindi necessario, sostiene Turani, prendere in considerazione diversi data point per avere una visione d’insieme delle attività che riguardano un processo sospetto, in modo da poter valutare correttamente il suo livello di rischio. Il rilevamento del malware è utile e necessario, ma un inventario completo degli endpoint e della loro attività in rete, insieme alle informazioni sullo stato degli aggiornamenti delle applicazioni e dell’autenticazione e dei processi autorizzati, porta la valutazione del livello di rischio rappresentato da una determinata attività e l’assegnazione delle risorse per affrontarlo a un livello superiore.
Una chiara visibilità è di vitale importanza: coloro che sono incaricati della protezione degli asset digitali devono essere in grado di visualizzare errori di configurazione dei processi di sicurezza, di sfruttare gli antivirus, monitorare le vulnerabilità e gli aggiornamenti mancanti.
Devono essere dotati di informazioni e strumenti che permettano loro di diventare cacciatori di minacce, annientando sia i piccoli ma insidiosi parassiti che i più feroci predatori.
L’EDR multi-vector di Qualys offre una visione globale della rete, sfruttando il cloud per rilevare informazioni utili sull’individuazione delle risorse, l’inventario del software, sulla visibilità del fine-vita dei prodotti, le vulnerabilità, gli exploit, le configurazioni errate, la telemetria approfondita degli endpoint e l’accessibilità della rete. I cloud agent “edge” di Qualys operano insieme a potenti motori basati sul cloud per offrire un’elevata capacità di valutazione, rilevamento e risposta. L’elaborazione delle informazioni e la loro correlazione avvengono in tempo reale, il che significa che i team di sicurezza sono sempre aggiornati. Adottano misure proattive che anticipano possibili violazioni, piuttosto che svolgere il compito di rimediare dopo che l’esfiltrazione dei dati si è verificata.
Il terreno data protection è insidiosissimo
Il panorama offerto dall’EDR multi-vector di Qualys consente ai team di prevenire gli attacchi più avanzati, sfruttando l’intelligence per segnalare automaticamente attività che risultino sospette durante l’indagine. Questo permette ai team di lavorare con grande efficacia e di non perdere tempo prezioso a causa di falsi allarmi, poiché lo stesso processo che identifica le minacce gravi provvede a eliminare quelle non pericolose.