Piano di reazione con EDR
L’MSP deve far fronte al crescente aumento del numero di minacce presenti in rete. Dietro a queste minacce ci sono vere e proprie organizzazioni strutturate, con lo scopo di fare soldi grazie alle falle di sicurezza. Tali minacce crescono in modo esponenziale per un antivirus tradizionale basato su firme è difficile stare al passo dei cybercriminali.
Attacchi zero-day, ransomware, malware polimorfo sono alcuni degli ultimi attacchi da cui occorre proteggersi.
Ricordiamo che un altro degli aspetti da considerare è l’utente, il quale ha un ruolo fondamentale “nell’infezione dei device”. In senso negativo ovviamente.
Abbiamo sempre fatto così!
Di seguito una classica conversazione che mi capita di avere con un MSP.
-------------------------------------------
Ho già un ottimo firewall.
Sicuramente è un ottimo strumento per proteggersi, ma non sufficiente. In questo periodo di pandemia da Covid-19 abbiamo a che fare sempre di più con utenti che lavorano dalla propria abitazione. Inoltre, lo smarworking negli ultimi anni ha portato ad avere sempre più utenti in mobilità. Un qualsiasi utente non esperto nel riconoscere una minaccia, potrebbe scaricare quel pdf ed aprirlo e senza rendersene conto, nel giro di qualche minuto o ora, si ritrova i file criptati. Ma non solo. I malware spesso iniziano a criptare i file più datati e meno utilizzati in modo da agire criptando quanti più file possibili prima che l’utente se ne renda conto o di espandersi in maniera silenziosa. Questo capita quando il PC infetto dell’utente che ritorna in ufficio e si collega alla rete, infetta a sua volta altri device. In questo caso l’ottimo firewall non può intervenire.
Beh, in questo caso ho gli AV sugli endpoint.
Fino a non molto tempo fa, nelle piccole e medie aziende, bastava un antivirus installato ed aggiornato a livello di definizioni, ed avvisare i dipendenti a non cliccare su link sospetti. Si tratta di una prima linea di difesa semplice ed intuitiva per i dipendenti poiché non richiedono competenze tecniche per poterlo gestire e riesce a tenere alla larga le minacce.
Gli AV richiedono un aggiornamento frequente e costante delle definizioni, o meglio «firme dei virus». Ciò significa che il fornitore dell’AV deve aver già scoperto il virus e notificato i vari client della necessità di nuovi aggiornamenti delle firme dei virus. E la protezione è adeguata solo se l’MSP esegue gli opportuni aggiornamenti ai client dei propri colleghi. Ogni giorno vengono diffuse nuove minacce e la garanzia che gli aggiornamenti vengano sempre messi a disposizione tempestivamente è una questione molto complicata poiché spesso le minacce vengono individuate quando il danno è già stato fatto.
Risulta comunque essere una soluzione che protegge in maniera efficace l’endpoint ed a costi più contenuti rispetto ad una soluzione EDR.
Credo di spendere già troppi soldi per l’antispam, Patch Management ecc.
Ogni singolo servizio offerto a cliente è un valore aggiunto che l’MSP può dare: il monitoraggio per verificare che non ci sia un’eccessiva scrittura di dati su disco o controllare che non vi siano processi in esecuzione che facciano un uso eccessivo di risorse; l’asset management per verificare che non vi siano Sistemi Operativi obsoleti, fuori supporto e quindi vulnerabili; il Patch Management per patchare le macchine e non esporle alle minacce presenti in rete che possano sfruttarne le vulnerabilità; l’antispam per evitare di ricevere minacce via mail con link di phishing o allegati pericolosi; lo stesso antivirus per una protezione attiva.
Sono tutti servizi di rilevazione e protezione per l’endpoint. Ma hai già un piano di reazione?
Ho un backup. Mi è sufficiente.
Si, ma occorre considerare il repository di backup ed i tempi di ripristino dei dati a fronte di un cryptolocker. Ad esempio, dove viene fatto il backup? In locale su un semplice disco? Sul NAS? Come puoi essere sicuro che il cryptolocker non intacchi anche il tuo backup? Se lo hai in cloud, meglio. Ma devi anche considerare i tempi di ripristino per rimettere in piedi le macchine, dalla formattazione, all’installazione del SO al restore dei dati scaricandoli dal cloud.
Con EDR, tramite il rollback, la procedura avviene istantaneamente, riducendo di molto i tempi di ripristino.
Con questo non voglio dire che l’EDR sostituisce il backup, poiché in caso di furto dei PC o in caso di allagamento ecc, l’EDR non ti permette di riavere indietro il tuo “desktop”. Il backup in cloud rimane sempre la soluzione da adottare in caso di “disastro”. Piuttosto è l’AV tradizionale che verrebbe sostituito (dall’EDR).
Si, ma l’EDR mi costa molto di più di un Antivirus.
Vero, ma per quando detto prima, i tempi di ripristino sono immediati. Nel 2019 la media di inattività di un’azienda causa cryptolocker è stata di 16 giorni. E’ disposto il tuo cliente a stare fermo per così tanto tempo? Inoltre, si stima che nel 2021 ci saranno perdite di oltre 20 milioni di Euro causa ransomware che possono derivare da pagamenti di riscatti o da fermo macchina.
Tramite l’EDR è possibile fare il rollback e tornare all’istante immediatamente prima dell’infezione sfruttando le shadow copy.
Il cryptolocker la prima cosa che fa va a criptare anche le shadow copy.
L’EDR con la sua tecnologia, dal momento dell’installazione dell’agent, garantisce la protezione delle shadow copy in modo che il cryptolocker non possa attaccarle.
Cosa altro posso fare con l’EDR?
Oltre al rollback che rientra nel piano di reazione, l’EDR funge anche da motore per la prevenzione e rilevazione delle minacce grazie al machine learning. E’ sempre possibile avere un dettaglio di tutte le minacce rilevate sia che il device si trovi nella rete aziendale che fuori dalla rete aziendale stessa. Inoltre, altre due funzionalità presenti nell’EDR sono la gestione delle porte USB e la disconnessione dalla rete.
Una dei principali veicoli di infezione, dopo l’email, è la chiavetta di massa USB. Tramite l’EDR possono essere gestite le porte USB di un PC/Desktop/Server in modo che i device possano “comunicare” solo con alcune chiavette USB, magari quelle messe a disposizione dell’azienda e non quelle personali del dipendente, o peggio ancora, qualsiasi chiavetta di dubbia provenienza.
La seconda, invece, aiuta l’MSP a non propagare il malware in rete, poiché permette di disconnettere il device dalla rete, senza che sia l’utente a doverlo fare manualmente o che sia l’MSP stesso a correre dal cliente. Passerebbero minuti o ore preziose con il rischio di infettare altri device presenti in rete.
-------------------------------------------
Se ti ritrovi in questa conversazione, allora è bene che pensi ad un piano di reazione da affiancare al backup.
Di recente Ready Informatica ha organizzato un webinar sulla funzionalità EDR di Solarwinds MSP. Se te la sei persa o vuoi maggiore più informazioni, scrivi a msp@ready.it.
Se, invece, vuoi vederne una dimostrazione, qui trovi la presentazione di lancio di Solarwinds MSP: https://www.youtube.com/watch?v=keqZ3QEuf5o