10 cose da considerare prima di acquistare una soluzione EDR

Il mercato delle soluzioni EDR (Endpoint Detection and Response) è cresciuto rapidamente negli ultimi anni, e gli esperti del settore prevedono che questa tendenza continuerà. Gartner prevede che più del 60% delle imprese avrà sostituito i vecchi prodotti antivirus con soluzioni combinate EPP e EDR entro la fine del 2025[1].

La necessità di una soluzione olistica per la sicurezza degli endpoint è determinata sia dagli attacchi che diventano più frequenti e sofisticati, sia dalle soluzioni EDR che diventano più accessibili alle aziende di fascia media. L'EDR non è più una soluzione solo per le grandi imprese, dato che molti fornitori di sicurezza informatica ora offrono una combinazione di EDR (Endpoint Detection & Response) e EPP (Endpoint Protection Platform) a prezzi accessibili.

Per una panoramica di alto livello sulle principali funzionalità di EDR e sul perché le aziende hanno bisogno di una soluzione di Endpoint Detection and Response, consultate il nostro articolo 7 motivi per cui ti serve una soluzione EDR.

In questo articolo delineeremo 10 delle cose più importanti da tenere a mente e su cui interrogare il vostro fornitore quando acquistate una soluzione EDR. Queste valgono sia che la vostra azienda stia cercando di acquisire questo tipo di soluzione per la prima volta, sia che stia effettuando un regolare esercizio di benchmarking o un processo di rinnovo.

1. Integrazione con altre piattaforme di sicurezza

Assicurarsi che qualsiasi soluzione EDR presa in considerazione sia compatibile con i vostri attuali sistemi di sicurezza è essenziale. Non solo questo ridurrà il carico di lavoro e aumenterà l'efficienza del vostro team IT/di sicurezza, ma per funzionare efficacemente, gli strumenti EDR devono offrire l'integrazione con altri sistemi di sicurezza che tracciano, orchestrano ed eseguono azioni per mitigare un attacco.

Cercare una soluzione che offra l'integrazione API potrebbe essere la scelta migliore, soprattutto se si sta già utilizzando uno strumento come un sistema SIEM (security information and event management). In questo modo la soluzione EDR può alimentare  i dati nei vostri sistemi esistenti senza alcun problema.

2. Agent vs Agentless

L'agent di una soluzione EDR è il componente software che viene installato su ogni endpoint. Non è strettamente necessario, poiché una soluzione EDR può anche essere installata passivamente sulla rete, tuttavia questo limiterà la sua funzionalità. Questo perché avere l'agent installato direttamente sull'endpoint permette di catturare molti più dati sull'attività degli utenti. L'agent permette anche un intervento più forte nel caso in cui un endpoint sia compromesso.

I principali vantaggi delle soluzioni EDR agentless sono che sono veloci da implementare e possono essere utilizzate per monitorare gli endpoint su cui è impossibile o difficile installare un agent. Tuttavia, poiché l'agent non è installato direttamente sull'endpoint, la risposta della soluzione non può essere altrettanto robusta e anche la raccolta dei dati è più debole.

3. Supporto del sistema operativo

Collegato al punto precedente sugli endpoint su cui è impossibile installare un agent. Una ragione potrebbe essere che il loro sistema operativo non è supportato dalla soluzione EDR. Se potete limitare questo problema scegliendo una soluzione compatibile con più sistemi operativi, questa è probabilmente la soluzione migliore.

Tuttavia, quasi tutte le soluzioni EDR avranno alcuni sistemi operativi che non supportano. Se avete endpoint nella vostra rete che utilizzano un sistema operativo non supportato dal fornitore EDR scelto, allora l'EDR agentless è una buona soluzione.

4. Dispositivi non coperti

Simile ai sistemi operativi, alcuni dispositivi potrebbero non essere supportati dalla soluzione EDR scelta. La maggior parte degli smartphone, compresi quelli che eseguono i sistemi operativi iOS e Android, di solito non sono coperti dagli strumenti EDR e anche i dispositivi IoT (Internet of things) difficilmente lo saranno. Proprio come con i sistemi operativi, la cosa migliore da fare è chiedere al vostro fornitore cosa non è coperto e capire a quanti dei vostri endpoint questo si applica.

5. Supporto cloud

È importante sapere se una soluzione EDR supporta un ambiente cloud e in che misura. Anche se diversi strumenti EDR sono basati sul cloud, potrebbero non essere in grado di operare nel cloud.

Il 60% del mercato EDR aziendale è già fornito in cloud (Gartner Innovation Insight for Cloud Endpoint Protection Platforms, aprile 2019). Questo non significa necessariamente che possa proteggere tutti gli altri tuoi sistemi cloud, poiché l'EDR è spesso difficile da installare sul cloud e potresti aver bisogno di una protezione aggiuntiva per applicazioni cloud specifiche.

6. Aggiornamenti di sistema

Il panorama delle minacce è in continua evoluzione e gli attaccanti si sforzano di violare i sistemi di sicurezza utilizzando nuove tattiche, tecniche e procedure (TTP), quindi qualsiasi sistema EDR che non è regolarmente aggiornato sarà vulnerabile alle minacce avanzate e diventerà rapidamente obsoleto. Quindi, per rispondere meglio alle minacce è necessaria una soluzione EDR che riceva frequenti aggiornamenti sugli Indicatori di Compromissione (IoC).

Inoltre, vale la pena considerare quanto tempo del vostro team di sicurezza IT sarà impiegato nella gestione e nell'installazione di questi aggiornamenti e in che misura possano essere automatizzati.

7. Scalabilità

L'82% delle organizzazioni aspira ad avere una soluzione all-in-one per le proprie esigenze di sicurezza IT/di rete (F-Secure 2020 B2B Market Research). Questo potrebbe non essere possibile al momento, ma se siete tra l'82% delle organizzazioni con questa aspirazione, vale la pena parlare con il vostro fornitore per scoprire quali opzioni offre il vostro sistema EDR per aggiungere nuovi componenti e funzionalità in futuro.

Inoltre, dovreste anche considerare come la soluzione gestirà qualsiasi aumento di traffico, specialmente in caso di crescita futura e di aumento del numero di dispositivi remoti.

8. Impatto sulle performance degli endpoint

Se state usando una soluzione EDR che richiede l'installazione di un agent sui vostri endpoint, allora dovete sapere quali risorse occuperà. Questo significa che dovrete investire in un hardware migliore per mantenere le prestazioni dei vostri endpoint a un livello ragionevole?

Un livello ragionevole di utilizzo della CPU per una soluzione EDR è intorno all'1%, se lo supera regolarmente è probabile che non sia ben ottimizzato. L'uso della memoria può variare in base al peso dell'agent, ma non dovrebbe superare i 50mb. Il vostro fornitore dovrebbe essere in grado di mostrarvi i dati sulle prestazioni di sistemi simili al vostro.

9. Modelli di threat detection personalizzati

A seconda del livello di competenza che avete in casa, potreste voler progettare il vostro modello di threat detection, o almeno modificare quello preimpostato. I fornitori di EDR vi diranno che le impostazioni predefinite sono ottimizzate per le migliori prestazioni, ma tutte le organizzazioni sono diverse e non esiste un algoritmo di apprendimento automatico predefinito che sia ottimizzato per ogni possibile situazione. 

10. Supporto del fornitore

Questo si riduce davvero alla fiducia, ma ci sono alcuni indicatori da tenere d'occhio. Cosa succede se la vostra soluzione EDR viene compromessa? Il fornitore vi farà pagare per i servizi di risposta agli incidenti? C'è una chiara possibilità di conflitto d'interessi qui.

Assicuratevi di capire in anticipo quale livello di supporto è disponibile per voi e qual è il livello di competenza del vostro account manager. Se state usando un fornitore di servizi gestiti, spesso quest’ultimo è in una buona posizione per valutare i livelli relativi di supporto disponibili da diversi fornitori, anche se tenete a mente qualsiasi incentivo che può essere presente sul loro lato della transazione. Anche in questo caso, il fattore più importante è la fiducia tra tutte le parti.

Speriamo che questo articolo sia utile nella vostra ricerca della migliore soluzione EDR per la vostra organizzazione. E non importa quale soluzione EDR finirai per scegliere, assicurati che sia fatta su misura per le esigenze della tua organizzazione.

Se vuoi conoscere la nostra soluzione EDR, puoi scaricare il brief della soluzione. E, se vuoi testare la nostra soluzione in un ambiente live, compila il form per richiedere una prova gratuita di 30 giorni.

F-Secure Elements Endpoint Detection and Response

Monitora stato e sicurezza del tuo ambiente IT, rileva rapidamente gli attacchi mirati e intervieni con visibilità e automazione contestuali.

Referenze

[1] Gartner, Competitive Landscape: Endpoint Protection Platforms, 18 Feb 2021.