Utilizzo dell’Endpoint Detection and Response (EDR) nella difesa mobile

Utilizzo dell’Endpoint Detection and Response (EDR) nella difesa mobile

L’Endpoint Detection and Response (EDR) è da anni uno standard per proteggere i dispositivi locali. Quando combinato con software antivirus, si è dimostrato un metodo efficace per individuare le minacce prima che possano causare danni significativi. Tuttavia, con la diffusione degli smartphone e di altri dispositivi mobili, sempre più lavoro viene svolto al di fuori dell’ufficio. Le aziende non possono più fare affidamento esclusivamente sulle protezioni EDR tradizionali, poiché milioni di endpoint aggiuntivi sono ora esposti al rischio di attacchi informatici.

Indipendentemente dal fatto che i tuoi dipendenti utilizzino dispositivi personali o quelli forniti dal reparto IT della tua azienda, è necessario disporre di una protezione mobile progettata specificamente per affrontare queste sfide. Ecco come gli esperti di sicurezza informatica hanno adattato l’EDR per rispondere alle esigenze uniche dei dispositivi mobili.

Che cos’è l’Endpoint Detection and Response?
L’Endpoint Detection and Response (EDR) è una soluzione di sicurezza che monitora costantemente i dispositivi degli utenti finali per individuare e rispondere a minacce informatiche. Quando un utente accede a un dispositivo con software EDR installato, il sistema inizia a tracciare le sue attività. Il team IT dell’azienda può così ottenere una visione in tempo reale di tutto ciò che accade sul dispositivo.

Il software antivirus tradizionale funziona confrontando i file con un database di minacce conosciute. Quando identifica una corrispondenza, può automaticamente mettere in quarantena i file per impedirne la diffusione. Per quanto utile, questo approccio è inefficace contro malware mai visti prima. In un contesto in cui gli attori delle minacce sviluppano costantemente nuove tattiche, l’Endpoint Detection and Response rappresenta l’avanguardia della cybersecurity.

L’EDR porta la protezione a un livello superiore, identificando nuove minacce prima che possano causare danni. Invece di limitarsi a confrontare i file con un database di malware, analizza l’attività dell’utente e la confronta con modelli di utilizzo normali. Grazie al machine learning, l’EDR può rilevare attività insolite e reagire immediatamente, indipendentemente da quando si verifica il rischio.

A seconda del livello di minaccia rilevato, l’EDR può segnalare l’anomalia per un’ispezione manuale, bloccare l’endpoint per impedire ulteriori accessi o intraprendere altre azioni per mitigare la minaccia. Questo approccio garantisce una sicurezza più proattiva e tempi di risposta più rapidi.

Perché è importante l’Endpoint Detection and Response?
L’Endpoint Detection and Response (EDR) è stato inizialmente sviluppato per proteggere endpoint tradizionali, come computer desktop. Tuttavia, l’EDR convenzionale spesso trascura dispositivi mobili come smartphone, tablet e Chromebook. In un contesto aziendale caratterizzato da politiche BYOD (Bring Your Own Device), questa limitazione può risultare estremamente costosa.

I dispositivi mobili, in particolare quelli personali utilizzati per scopi lavorativi, hanno ampliato significativamente la superficie di attacco che il reparto IT deve proteggere. Anche se questi dispositivi potrebbero non memorizzare localmente dati sensibili, possono fungere da punti di accesso ai sistemi aziendali dove tali dati sono conservati. Gli attori delle minacce possono sfruttare tecniche come il phishing, lo smishing o l’installazione di app non autorizzate (sideloaded) per rubare credenziali e causare danni.

Quando i dipendenti utilizzano dispositivi mobili, rischiano di connettersi a reti pubbliche potenzialmente insicure. Dagli spazi di coworking alle stazioni ferroviarie, queste reti rappresentano una porta d’accesso per i malintenzionati, che possono compromettere dispositivi altrimenti sicuri. Un rapporto Verizon del 2024 ha rilevato che oltre la metà delle aziende intervistate ha subito un incidente di sicurezza che coinvolgeva dispositivi mobili o IoT (Internet of Things).

Gli attori delle minacce possono anche approfittare dei lavoratori che non mantengono i propri dispositivi aggiornati. Gli aggiornamenti software spesso correggono vulnerabilità di sicurezza nei sistemi operativi. Se i dipendenti non aggiornano i loro dispositivi tempestivamente o utilizzano hardware obsoleto, incapace di supportare le versioni più recenti del sistema operativo, il rischio di violazioni aumenta considerevolmente.

Come funziona l’Endpoint Detection and Response?
Progettare un software EDR per dispositivi mobili non è semplice come adattare un EDR tradizionale a uno smartphone. Gli sviluppatori devono affrontare tre limitazioni fondamentali:

  1. Rispetto della privacy: Se i dipendenti utilizzano dispositivi personali per lavoro, il software EDR deve evitare di invadere la loro privacy.
  2. Accesso limitato: Deve essere in grado di funzionare senza accesso privilegiato al sistema operativo o alle app.
  3. Efficienza energetica: I dispositivi mobili hanno una durata della batteria limitata, quindi le applicazioni EDR devono consumare poca energia.

Ecco alcune caratteristiche chiave da cercare in un EDR mobile per garantire la sicurezza dei tuoi dispositivi:

  • Monitoraggio continuo e raccolta dati
    Un EDR efficace mantiene un controllo costante sulle attività degli utenti e registra ciò che accade per eventuali analisi future. Questo livello di visibilità consente al team di cybersecurity di individuare e risolvere problemi ovunque e in qualsiasi momento.
  • Analisi del comportamento
    Il software EDR utilizza i dati raccolti per costruire un profilo comportamentale degli utenti. Confrontando le azioni degli utenti con questo profilo, può rilevare eventuali anomalie. Ad esempio, se un utente inizia a scaricare grandi quantità di dati nel cuore della notte, l’EDR segnala l’attività per ulteriori verifiche.
  • Risposta automatica agli incidenti
    La quantità di potenziali minacce può sopraffare un team di sicurezza. Una soluzione EDR mobile può mitigare questo problema grazie a risposte automatiche che bloccano le minacce in tempo reale. Quando rileva una potenziale minaccia, può isolare il dispositivo in questione. I team di cybersecurity possono anche personalizzare le risposte automatiche nelle soluzioni più sofisticate. Ciò potrebbe significare l’eliminazione di file dannosi, il rollback di modifiche o la chiusura di processi dannosi.
  • Ricerca delle minacce
    L’automazione consente di individuare la stragrande maggioranza delle minacce prima che sfuggano al controllo, ma quelle poche che riescono a eludere il rilevamento automatico possono rivelarsi le più pericolose. Le violazioni abbastanza sottili da non essere rilevate automaticamente tendono infatti a essere più sofisticate e dannose. Secondo il rapporto 2024 Cost of a Data Breach di IBM, gli attacchi informatici possono rimanere non rilevati per una media di 280 giorni. Quanto più rapidamente vengono individuati, tanto più velocemente possono essere neutralizzati.

Piuttosto che affidarsi esclusivamente all’automazione, un EDR mobile dovrebbe consentire al team di cybersecurity di analizzare i dati telemetrici completi. In questo modo, gli esperti possono verificare il lavoro dell’EDR e individuare minacce nascoste che potrebbero mettere a rischio i sistemi.

Difendi i tuoi dispositivi mobili con Lookout Mobile Endpoint Security
Se stai cercando una soluzione EDR mobile completa, Lookout è la scelta ideale. Con oltre un decennio di innovazione, Lookout Mobile Endpoint Security si è affermata come una piattaforma leader nella sicurezza mobile.

Vuoi scoprire come proteggere la tua superficie di attacco mobile? Richiedi subito una copia gratuita del Mobile EDR Playbook.

Fonte: Lookout

La sicurezza informatica non è completa senza l’EDR per dispositivi mobili

La sicurezza informatica non è completa senza l’EDR per dispositivi mobili

Le aziende stanno adottando sempre più soluzioni di mobilità per aumentare la produttività, specialmente perché la maggior parte dei dipendenti lavora fuori ufficio. Inoltre, i cyberattacchi raramente si verificano come incidenti isolati o coinvolgono solo un numero limitato di endpoint. Questo articolo spiega l’importanza dell’EDR (Endpoint Detection and Response) per la telefonia mobile e come possa proteggere in modo olistico i dati della vostra azienda, indipendentemente dal tipo di endpoint preso di mira.

Perché serve l’EDR mobile?

Il principale obiettivo dell’EDR, sia su dispositivi desktop che mobili, è rilevare e prevenire i cyberattacchi mirati caratterizzati da una bassa intensità e una progressione lenta, al fine di evitare violazioni dei dati. Gli analisti di sicurezza di Lookout hanno osservato direttamente come i criminali informatici stiano lanciando campagne mirate non solo verso desktop e laptop, ma anche verso tablet, smartphone e Chromebook. Questa tendenza evidenzia l’utilizzo della stessa infrastruttura per attaccare contemporaneamente endpoint mobili e tradizionali. Sebbene questa strategia sia stata a lungo impiegata da criminali informatici sponsorizzati da Stati nemici, la nostra ricerca indica che sta diventando comune anche nei moderni framework di malware ampiamente diffusi.

La domanda a cui i professionisti della sicurezza devono rispondere è la seguente: Come posso evitare che un incidente si ripercuota sul resto dei miei utenti e sulla mia azienda? L’EDR rappresenta una soluzione completa per la sicurezza delle informazioni e delle infrastrutture. Sempre più spesso gli endpoint mobili hanno accesso agli stessi dati dei computer desktop e portatili. Senza una capacità di EDR per i dispositivi mobili, si corre il rischio di compromettere la capacità di investigare in profondità e di trarre lezioni da un incidente di sicurezza.

Le breadcrumbs non si limitano più agli endpoint tradizionali.

Vediamo come un’indagine EDR può prevenire una violazione dei dati.

Una delle minacce più comuni affrontate dai team di sicurezza è rappresentata dalle applicazioni sideloaded. Spesso, gli incidenti sono causati da dipendenti che desiderano utilizzare app innocue a cui non avrebbero accesso sui loro dispositivi.

Tuttavia, potrebbe anche accadere che un malintenzionato crei un’app per attaccare la vostra azienda attraverso social engineering, utilizzando l’app per scaricare ulteriori codici maligni. Con le funzionalità di ricerca EDR di Lookout, è possibile indagare sulla provenienza del codice dannoso e sui domini web associati. Questo si chiama “pivot” ed è ciò che rende il Lookout Security Graph così potente quando viene integrato nei nostri strumenti EDR.

In alcuni casi, è possibile individuare siti di phishing sia per desktop che per dispositivi mobili, collegati a malware che colpiscono utenti di entrambe le piattaforme, rivelando una campagna coordinata più estesa. Utilizzando la console EDR, è possibile identificare questi nodi critici e effettuare scoperte preventive, evitando di dover attendere che un utente cada vittima di phishing o che un dispositivo sia compromesso. Naturalmente, l’EDR per dispositivi mobili deve essere parte integrante di una strategia EDR complessiva per realizzare tutto questo.

Non si può ignorare il dispositivo più utilizzato dalle persone

Quando i dispositivi mobili intelligenti sono stati introdotti per la prima volta nelle aziende, non erano fortemente integrati all’infrastruttura aziendale, spesso limitandosi alla gestione delle email. Ora hanno lo stesso accesso alle app e ai dati dei computer fissi e portatili. Di fatto, sono diventati un modo primario per i vostri dipendenti di rimanere produttivi. Basta guardare l’importanza che Microsoft 365 e Google Workspace attribuiscono all’integrazione perfetta tra piattaforme desktop e mobili.

L’obiettivo dell’EDR è quello di garantire una pronta risposta agli attacchi informatici e di fornire una traccia di informazioni che possano essere utilizzate per proteggere l’azienda. Oggi, molti di questi attacchi hanno come primo obiettivo i dispositivi mobili.

Per garantire la sicurezza dei dispositivi dell’azienda e prevenire le violazioni dei dati, è necessario adottare una strategia EDR che copra i dispositivi più utilizzati dai dipendenti.

Fonte: Lookout