Secondo l’indagine IT Security Risks di Kaspersky, oltre un quarto delle aziende che ha implementato una soluzione Endpoint Detection and Response è stata in grado di rilevare gli attacchi informatici in poche ore o, in alcuni casi, subito dopo l’incidente
Il rilevamento tempestivo di un incidente informatico è essenziale per ridurre le perdite che derivano da un attacco informatico. Più a lungo i criminali informatici riescono ad agire inosservati all’interno di una rete aziendale, maggiore sarà il numero di dati che saranno in grado di raccogliere così come maggiore sarà la possibilità che si avvicinino alle risorse aziendali critiche. La riduzione del “tempo di permanenza” consente alle aziende di contenere un attacco informatico prima che possa causare danni sostanziali.
In occasione del sondaggio di Kaspersky condotto nel 2019 tra i decision maker IT, è stato chiesto a 2.961 aziende di tutto il mondo quanto tempo avessero impiegato per scoprire un attacco informatico verificatosi l’anno precedente. L’analisi dettagliata delle risposte fornite ha rivelato che esiste una forte correlazione tra l’implementazione di una soluzione EDR e il tempo di permanenza.
Tra le aziende che utilizzano una soluzione EDR, il 28% ha confermato che ci sono volute alcune ore o anche meno per rilevare un attacco. Di questi, il 14% ha rilevato un attacco quasi immediatamente, un risultato superiore alla media del 9%. Mentre un altro 14% ha scoperto l’incidente nel giro di poche ore, contro il 10% degli intervistati complessivi. Solo l’8% degli utenti di soluzioni EDR ha dichiarato che ci sono voluti diversi mesi per identificare che si trattasse di un attacco.
Tuttavia, il maggior numero di intervistati ha dichiarato che il rilevamento ha richiesto diversi giorni, indipendentemente dal fatto di possedere una soluzione EDR.
Una soluzione EDR consente maggiori probabilità di scoperta, maggiore visibilità dell’infrastruttura endpoint, un’analisi semplificata delle cause alla base dell’attacco, la threat hunting e la risposta rapida agli incidenti. Allo stesso tempo, la soluzione EDR automatizza i compiti di routine che gli analisti potrebbero dover affrontare nelle attività di rilevamento e di elaborazione della risposta. Tuttavia, come dimostrano le statistiche, per alcuni intervistati la soluzione EDR non sembra essere di aiuto per ridurre il “tempo di permanenza” di un attacco. La ragione può risiedere nel fatto che gli alert sulle attività sospette richiedano agli analisti di sicurezza di indagare e prendere decisioni in merito alla pericolosità delle azioni. Quindi, all’interno delle aziende che non dispongono di competenze interne per gestire incidenti complessi, l’uso di una soluzione professionale complessa potrebbe non dare l’effetto desiderato”, ha commentato Yana Shevchenko, Senior Product Marketing Manager di Kaspersky.
Kaspersky offre due soluzioni di EDR in grado di soddisfare le esigenze di diversi tipi di clienti. Per le imprese con esperienza nel settore della sicurezza IT, Kaspersky EDR offre agli esperti di sicurezza IT funzionalità di threat discovery avanzate, capacità investigative dettagliate che vengono rafforzate da threat intelligence e mappatura del framework MITRE ATT&CK, threat hunting e risposta ad attacchi complessi in più fasi. Kaspersky EDR Optimum fornisce, alle organizzazioni con risorse e competenze limitate in materia di sicurezza informatica, funzionalità EDR di base tra cui una migliore visibilità degli endpoint, un’analisi semplificata delle cause alla radice dell’attacco e opzioni di risposta automatizzata.
