10 cose da considerare prima di acquistare una soluzione EDR
Il mercato delle soluzioni EDR (Endpoint Detection and Response) è cresciuto rapidamente negli ultimi anni, e gli esperti di settore prevedono che questa tendenza continuerà. Gartner prevede che oltre il 60% delle aziende avrà sostituito i vecchi prodotti antivirus con una combinazione di soluzioni EPP ed EDR entro il 2025 [1].
L'esigenza di una soluzione olistica per l'endpoint protection è determinata sia dal fatto che gli attacchi diventano sempre più frequenti e sofisticati, sia dal fatto che le soluzioni EDR diventano più accessibili alle aziende di fascia media. L'Endpoint Detection Response non è più una soluzione riservata alle grandi aziende, poiché molti fornitori di sicurezza informatica offrono ora una combinazione di EDR (Endpoint Detection & Response) e EPP (Endpoint Protection Platform) a prezzi accessibili.
Per una panoramica di alto livello sulle principali funzionalità EDR e sui motivi per cui le aziende hanno bisogno di una soluzione di Endpoint Detection and Response, consultate il nostro articolo "Perché dovresti implementare l'Endpoint Detection and Response".
In questo articolo illustreremo 10 delle cose più importanti da tenere a mente e su cui interrogare il fornitore quando si acquista una soluzione EDR. Queste considerazioni valgono sia che la vostra organizzazione stia cercando di acquisire questo tipo di soluzione per la prima volta, sia che stia affrontando un regolare esercizio di benchmarking o un processo di rinnovo.
1. Integrazione con altre piattaforme di sicurezza
È essenziale assicurarsi che la soluzione endpoint protection and response presa in considerazione sia compatibile con gli attuali sistemi di sicurezza. Non solo questo ridurrà il carico di lavoro e aumenterà l'efficienza del team IT/sicurezza, ma per funzionare efficacemente, gli strumenti EDR devono offrire l'integrazione con altri sistemi di security che tracciano, orchestrano ed eseguono azioni per mitigare un attacco.
Cercare una soluzione che offra un'integrazione API potrebbe essere la scelta migliore, soprattutto se si utilizza già uno strumento come un sistema SIEM (security information and event management). In questo modo la soluzione di EDR security può alimentare senza problemi i dati nei vostri sistemi esistenti.
2. Con o senza agent
L'agent di una soluzione EDR è il componente software che viene installato su ogni endpoint. Non è strettamente necessario, poiché una soluzione endpoint detection response può anche essere installata passivamente sulla rete, ma ciò ne limiterà la funzionalità. Infatti, l'agent installato direttamente sull'endpoint consente di acquisire molti più dati sull'attività dell'utente. L'agent consente inoltre un intervento più incisivo nel caso in cui un endpoint sia compromesso.
I principali vantaggi delle soluzioni EDR agentless sono la rapidità di implementazione e la possibilità di monitorare endpoint su cui è impossibile o difficile installare un agent. Tuttavia, poiché l'agent non è installato direttamente sull'endpoint, la risposta della soluzione non può essere altrettanto robusta e anche la raccolta dei dati è più debole.
3. Supporto del sistema operativo
Collegato al punto precedente sugli endpoint su cui è impossibile installare un agent. Uno dei motivi potrebbe essere che il loro sistema operativo non è supportato dalla soluzione EDR. Se è possibile limitare questo problema scegliendo una soluzione compatibile con più sistemi operativi, è probabile che sia la soluzione migliore.
Tuttavia, quasi tutte le soluzioni EDR hanno alcuni sistemi operativi non supportati. Se nella rete sono presenti endpoint che utilizzano un sistema operativo non supportato dal fornitore EDR scelto, l'EDR agentless è una buona soluzione a questo problema..
4. Dispositivi non coperti
Come per i sistemi operativi, alcuni dispositivi potrebbero non essere supportati dalla soluzione EDR scelta. La maggior parte degli smartphone, compresi quelli che eseguono i sistemi operativi iOS e Android, di solito non sono coperti dagli strumenti di EDR security e anche i dispositivi IoT (Internet delle cose) difficilmente lo saranno. Come per i sistemi operativi, la cosa migliore da fare è chiedere al fornitore quali sono i dispositivi non coperti e capire a quanti dei vostri endpoint si applicano.
5. Supporto del cloud
È importante sapere se una soluzione EDR supporta un ambiente cloud e in che misura. Anche se diversi strumenti EDR sono basati sul cloud, potrebbero non essere in grado di operare nel cloud.
Il 60% del mercato EDR aziendale è già fornito in cloud (Gartner Innovation Insight for Cloud Endpoint Protection Platforms, aprile 2019). Ciò non significa necessariamente che sia in grado di proteggere tutti gli altri sistemi cloud, poiché l'Endpoint detection response è spesso difficile da installare nel cloud e potrebbe essere necessaria una protezione aggiuntiva per applicazioni cloud specifiche.
6. Aggiornamenti di sistema
Il panorama delle minacce è in continua evoluzione, poiché gli attaccanti cercano di violare i sistemi di sicurezza utilizzando nuove tattiche, tecniche e procedure (TTP), pertanto qualsiasi sistema di EDR security non aggiornato regolarmente sarà vulnerabile alle minacce avanzate e diventerà rapidamente obsoleto. Pertanto, per rispondere meglio alle minacce, è necessaria una soluzione EDR che riceva aggiornamenti frequenti sugli Indicatori di Compromissione (IoC).
Inoltre, è opportuno considerare quanto tempo il team di sicurezza IT dovrà dedicare alla gestione e all'installazione di questi aggiornamenti e in che misura possano essere automatizzati.
7. Scalabilità
L'82% delle organizzazioni aspira ad avere una soluzione all-in-one per le proprie esigenze di sicurezza IT/rete (ricerca di mercato B2B F-Secure del 2020). Questo potrebbe non essere possibile al momento, ma se siete tra l'82% delle organizzazioni con questa aspirazione, vale la pena di parlare con il vostro fornitore per sapere quali opzioni offre il vostro sistema EDR per aggiungere nuovi componenti e funzionalità in futuro.
Inoltre, dovreste anche considerare come la soluzione gestirà un eventuale aumento del traffico, soprattutto in caso di crescita futura e di aumento del numero di dispositivi remoti.
8. Impatto sulle performance degli endpoint
Se state utilizzando una soluzione EDR che richiede l'installazione di un agent sugli endpoint, dovete sapere quali risorse occuperà. Ciò significa che dovrete investire in un hardware migliore per mantenere le prestazioni dei vostri endpoint a un livello ragionevole?
Un livello ragionevole di utilizzo della CPU per una soluzione EDR si aggira intorno all'1%, se lo supera regolarmente è probabile che non sia ben ottimizzato. L'utilizzo della memoria può variare in base al peso dell'agent, ma non dovrebbe superare i 50 mb. Il fornitore dovrebbe essere in grado di mostrare i dati sulle prestazioni di sistemi simili al vostro.
9. Modelli personalizzati di threat detection
A seconda del livello di competenza interna, potreste voler progettare il vostro modello di rilevamento delle minacce, o almeno modificare quello preimpostato. I fornitori di EDR vi diranno che le preimpostazioni sono ottimizzate per ottenere le migliori prestazioni, ma tutte le organizzazioni sono diverse e non esiste un algoritmo di apprendimento automatico predefinito che sia ottimizzato per ogni possibile situazione.
10. Supporto del vendor
Si tratta di una questione di fiducia, ma ci sono alcuni indicatori da tenere d'occhio. Cosa succede se la vostra soluzione EDR viene compromessa? Il fornitore vi addebiterà i servizi di risposta agli incidenti? In questo caso esiste una chiara possibilità di conflitto di interessi.
Assicuratevi di conoscere in anticipo il livello di assistenza disponibile e il livello di competenza del vostro account manager. Se vi avvalete di un fornitore di servizi gestiti, questi è spesso in grado di valutare i livelli relativi di assistenza disponibili presso i diversi fornitori, pur tenendo conto di eventuali incentivi che possono essere presenti dal loro lato della transazione. Anche in questo caso il fattore più importante è la fiducia tra le parti.
Ci auguriamo che questo articolo vi sia utile nella ricerca della migliore soluzione EDR per la vostra organizzazione. E a prescindere dalla soluzione di Endpoint Detection Response che sceglierete, assicuratevi che sia adatta alle esigenze della vostra organizzazione.
Se volete saperne di più sulla nostra soluzione EDR, scaricate la scheda della soluzione. E se volete provare la nostra soluzione in un ambiente reale, potete richiedere una prova gratuita di 30 giorni.
Referenza
[1] Gartner, Competitive Landscape: Endpoint Protection Platforms, 18 Feb 2021.