Active EDR (Endpoint Detection and Response)

Oggi siamo lieti di annunciare la rivoluzionaria tecnologia di ActiveEDR.

ActiveEDR risolve i problemi di EDR così come attualmente li conosci monitorando e contestualizzando ogni cosa su un dispositivo. ActiveEDR è in grado di identificare gli atti dannosi in tempo reale, automatizzando le risposte richieste e consentendo una facile ricerca delle minacce effettuando la ricerca in un singolo IOC.

Leggi di più per capire come siamo arrivati qui e come abbiamo creato il primo ed unico EDR che è veramente attivo.

Oggi siamo lieti di annunciare la rivoluzionaria tecnologia di ActiveEDR.

ActiveEDR risolve i problemi di EDR così come attualmente li conosci monitorando e contestualizzando ogni cosa su un dispositivo. ActiveEDR è in grado di identificare gli atti dannosi in tempo reale, automatizzando le risposte richieste e consentendo una facile ricerca delle minacce effettuando la ricerca in un singolo IOC.

Leggi di più per capire come siamo arrivati qui e come abbiamo creato il primo ed unico EDR che è veramente attivo.

Active EDR tree

Background

Nella breve storia della sicurezza informatica, abbiamo visto come le tecnologie diventano rapidamente obsolete mentre il panorama delle minacce cambia con estrema velocità. Quando le minacce informatiche iniziarono a emergere negli anni '90, molte aziende si affrettarono ad installare una protezione antivirus. Questi nuovi prodotti avevano però un limite: erano in grado di combattere una quantità relativamente piccola di virus noti, ma non riuscivano a sostenere la sfida mossa da nuovi attacchi più sofisticati ed evoluti.

Gli autori di malware si sono adattati rapidamente con cavalli di Troia e worm che inseguivano il nuovo oro.

A ciò si è aggiunta l'esplosione del Dark Web e la capacità dei criminali informatici di condividere e vendere strumenti e tattiche senza essere rintracciati. Il solo commercio di strumenti ransomware ha creato una microeconomia tra i criminali online. Quando è nata la criptovaluta, quest'ultima ha risolto un enorme problema per questi gruppi maligni poiché ora possono sfruttare individui e aziende senza lasciare alcuna traccia delle loro transazioni finanziarie.

 

Rendere l'AI accessibile a tutti 

Per far fronte a queste sfide, le imprese avevano bisogno di soluzioni migliori. Quando la tecnologia AI (Articial Intelligence) divenne disponibile, non ci volle molto perché nuovi prodotti innovativi sostituissero gli strumenti legacy basati sul rilevamento delle firme.

Questi nuovi strumenti EPP (Endpoint Protection Platform) creano un modello basandosi su un gran numero di campioni, successivamente utilizzano un agente sull' endpoint per affrontare il malware che è basato su file. Poiché la maggior parte dei malware basati su file è un riutilizzo di malware esistenti, l'AI potrebbe essere utilizzata per rilevare queste somiglianze senza dover fornire ad un agente locale aggiornamenti costanti.

Questi nuovi strumenti hanno dato sicuramente un po 'di sollievo alle aziende, ma i produttori di malware hanno rapidamente scoperto che i prodotti EPP erano completamente ciechi rispetto ai malware basati sulla memoria, ai movimenti laterali e agli attacchi di malware senza file. A peggiorare le cose, sofisticati strumenti di hacking si sono fatti strada verso un pubblico più ampio. Attraverso le perdite dell' NSA, gli strumenti e le tecniche di malware nation-state sono diventati disponibili per i criminali informatici. Le imprese hanno quindi bisogno di una nuova soluzione.

Per colmare questa lacuna, è nata una nuova linea di prodotti chiamata EDR (Endpoint Detection and Response). EDR ha risposto alla necessità delle imprese di poter almeno vedere cosa stava succedendo sulla rete aziendale. La visibilità era la soluzione e la nuova casa era il cloud.

Ma queste soluzioni EDR hanno creato una nuova serie di problemi. EDR, così com'è oggi, offre visibilità, ma richiede personale qualificato in grado di raccogliere le enormi quantità di dati generati, contestualizzarli e quindi utilizzarli per mitigare la minaccia informatica. La crescente domanda di talentuosi cyber analisti ha creato una grave carenza di manodopera nel settore della sicurezza. Allo stesso tempo, le soluzioni basate su cloud soffrono del problema di un aumento del tempo di permanenza cioè il ritardo tra infezione e rilevazione. Risolvere questi problemi è dove entra in gioco ActiveEDR.

Cos'è ActiveEDR

  • Traccia tutto
  • Contestualizza e identifica il danno in tempo reale
  • Risponde e ripristina
  • Caccia alle minacce con TrueContext

Con così tante attività in corso su ogni dispositivo, l'invio di tutte queste informazioni al cloud per l'analisi sicuramente offre visibilità, ma è ancora lungi dal risolvere il problema principale: la marea di avvisi che inondano il team che si dedica alla sicurezza e che è perennemente a corto di personale. E se potessimo mettere l'equivalente di un esperto analista SOC su ciascuno dei tuoi dispositivi? Un agente in grado di contestualizzare tutte le attività del dispositivo e identificare e mitigare i tentativi di minaccia in tempo reale?

ActiveEDR ha alcune somiglianze con altre soluzioni EDR, ma a differenza di quest'ultime, non si basa sulla connettività cloud per effettuare un rilevamento. Ciò riduce efficacemente il tempo di permanenza per l'esecuzione. L'agente utilizza l' AI per prendere una decisione senza dipendere dalla connettività cloud. ActiveEDR disegna costantemente storie di ciò che sta accadendo sull' endpoint. Una volta che rileva un danno, è in grado di mitigare non solo i file e le operazioni dannose, ma l'intera "trama".

Considera questo scenario tipico: un utente apre una scheda in Google Chrome e scarica un file che ritiene sicuro. Quindi esegue il file. Questo programma è dannoso e avvia PowerShell per eliminare i backup locali e quindi iniziare a crittografare tutti i dati sul disco. ActiveEDR conosce l'intera storia, quindi lo mitigherà in fase di esecuzione, prima che inizi la crittografia. Quando la storia viene mitigata, tutti gli elementi in essa contenuti verranno curati, fino alla scheda Chrome che l'utente ha aperto nel browser. Funziona dando a ciascuno degli elementi della storia lo stesso ID TrueContext. Queste storie vengono quindi inviate alla console di gestione, consentendo visibilità e facile ricerca delle minacce per analisti della sicurezza e amministratori IT.

Una nuova Esperienza per l'Analista della Sicurezza

Il lavoro di un analista della sicurezza che utilizza soluzioni EDR passive può essere difficile.

Inondato di avvisi, l'analista deve assemblare i dati in una storia significativa. Con ActiveEDR, questo lavoro viene invece svolto dall'agente sull' endpoint. Le storie sono già assemblate utilizzando TrueContext, quindi l'analista della sicurezza può risparmiare tempo e concentrarsi su ciò che conta. Invece di assemblare storie, l'analista può rivedere storie complete e contestualizzate, basate su una singola ricerca IOC.

Ciò consente ai team della sicurezza di comprendere rapidamente la storia e la causa alla base di una minaccia. La tecnologia può attribuire autonomamente ogni evento sull' endpoint alla sua causa principale senza fare affidamento sulle risorse cloud.

Conclusione

Anti Virus, EPP ed EDR come li conosci non risolvono il problema della sicurezza informatica per l'azienda. Per compensare, alcuni si affidano a servizi aggiuntivi per colmare il divario. Fare affidamento sul cloud aumenta il tempo di permanenza. A seconda della connettività è troppo tardi nel gioco, in quanto sono necessari solo pochi secondi affinché un'attività dannosa infetti un endpoint, danneggi e rimuova le tracce di se stesso. Questa dipendenza è ciò che rende gli strumenti di EDR di oggi passivi in ​​quanto si basano su operatori e servizi per rispondere dopo che è già troppo tardi. La tecnologia di TrueContext trasforma l'EDR in Attivo, in quanto risponde in tempo reale, trasformando il tempo di permanenza in nessun tempo.

ActiveEDR consente ai team di sicurezza e agli amministratori IT di concentrarsi sugli avvisi che contano, riducendo i tempi e i costi di contestualizzazione della complessa e travolgente quantità di dati necessari con altre soluzioni EDR passive.

L'introduzione di ActiveEDR è simile ad altre tecnologie che hanno aiutato gli esseri umani a essere più efficienti ea risparmiare tempo e denaro. Come l'auto ha sostituito il cavallo e il veicolo autonomo sostituirà i veicoli come li conosciamo oggi, ActiveEDR sta trasformando il modo in cui le aziende comprendono la sicurezza degli endpoint.

Richiesta contatto per SentinelOne ActiveEDR

Presta attenzione, per cortesia, ai campi obbligatori.

Nome(*)
Per favore inserisca il suo nome.

Cognome(*)
Per favore ci fornisca il Suo cognome.

Nome Azienda(*)
Dicci il nome della tua Azienda, per favore.

Indirizzo(*)
Questo campo non può essere vuoto

CAP(*)
Questo campo non può essere vuoto

Città(*)
Questo campo non può essere vuoto

E-mail(*)
Bisogna inserire un indirizzo email valido

Telefono(*)
Il campo non può essere vuoto

Attività(*)
Questo campo non può essere vuoto.

Posizione aziendale(*)
Questo campo non può essere vuoto.

Numero di dipendenti(*)
Per favore indicaci il numero approssimativo di dipendenti.

Come desideri essere contattato?

Quando vuoi essere contattato?(*)
Valore non valido

Privacy e Termini(*)

Ho letto e presto il mio consenso(*)
Bisogna accettare le condizioni relative alla Privacy per inviare la propria richiesta!

(*) Questo articolo è tratto dal sito ufficiale di SentinelOne. Per leggere l'articolo originale in lingua inglese click quì

SentinelOne logo

Siate attori del Vostro cambiamento, perchè la trasformazione digitale, se correttamente eseguita, influenza un'intera organizzazione.