Mobile EDR
Al giorno d’oggi, sul mercato della cybersecurity é possibile riscontrare un insieme di soluzioni pronte ad estendere la loro offerta sui terminali mobili, al fine di coprire l’intera superficie dei cyberattacchi in un sol colpo. Purtroppo, considerato il fatto che i sistemi operativi dei computer e quelli dei dispositivi mobili gestiscono i dati ed i protocolli in maniera completamente differente, le minacce riscontrabili sulle due categorie non possono che essere ben distinte.
Gli Endpoint Detection & Response (EDR) identificano degli indicatori di compromissione e provvedono ad un’analisi profonda al fine di rinforzare i rollback post-attacco. I punti di forza dell’EDR consistono nelle capacità d’investigazione e nell’adattabilità multi-piattaforma.
Quando, al contrario, é necessario neutralizzare delle minacce sui terminali mobili, un’analisi avanzata non é sufficiente. Inevitabilmente, quando un EDR é utilizzato al fine di proteggere tutti gli endpoint senza effettuare le dovute distinzioni, non può che crearsi un divario non indifferente al livello dei terminali mobili.
Gli Endpoint Detection & Response (EDR) identificano degli indicatori di compromissione e provvedono ad un’analisi profonda al fine di rinforzare i rollback post-attacco. I punti di forza dell’EDR consistono nelle capacità d’investigazione e nell’adattabilità multi-piattaforma.
Quando, al contrario, é necessario neutralizzare delle minacce sui terminali mobili, un’analisi avanzata non é sufficiente. Inevitabilmente, quando un EDR é utilizzato al fine di proteggere tutti gli endpoint senza effettuare le dovute distinzioni, non può che crearsi un divario non indifferente al livello dei terminali mobili.
White Paper | EDR to secure mobile devices: Copertura, Limiti e Raccomandazioni
PERCHE’ GLI EDR NON SONO SUFFICIENTI AL FINE DI GARANTIRE LA PROTEZIONE DEI TERMINALI MOBILI
integrazione limitata con gli MDM, frizione con gli ecosistemi mobili esistenti
A causa della loro solo recente apparizione sullo scenario dei terminali mobili, gran parte degli EDR non dispongono di integrazioni con le soluzioni Unified Endpoint Management. Questa mancanza di collaborazione con le soluzioni leader nel settore della gestione flotte mobili d’impresa aggiunge un ulteriore strato di complessità.
Mancanza di automatizzazione, impossibilità gestione minacce
Gli EDR offrono differenti prestazioni di sicurezza. In primo luogo, permettono la prevenzione dagli attacchi provenienti da malwares già identificati in precedenza grazie al riscontro ottenuto dai database antivirali. In seguito, gli EDR verificano gli Endpoint alla ricerca di indicatori di compromissione (IOCs) e realizzano un’analisi profonda al fine di ottenere degli avvisi di sicurezza. Purtroppo, però, detengono opzioni limitate per quanto riguarda il contenimento o l’eradicazione delle minacce.
Tempo di detezione particolarmente importante, investigazione manuale
Per gli EDR, la quantità di tempo media necessaria all’identificazione di una minaccia è di 197 giorni1, ed in media, il tempo necessario a bloccare la breccia è di 69 giorni1. Tale procedimento, così lungo, è causato dalla quantità di verifiche che necessitano un’intervenzione umana, da effettuarsi in un contesto nel quale l’equipe sicurezza è già sovraccaricata.
(1 - IBM Security-Ponemon Institute 2018: Cost of a Data Breach Study)
(1 - IBM Security-Ponemon Institute 2018: Cost of a Data Breach Study)
Nessuna particolare comprensione delle applicazioni mobili
Un’applicazione può essere comparata ad un iceberg visto che la maggior parte dei comportamenti, prodotti a partire dall’installazione, si sviluppano sotto la superficie, rendendo l’identificazione di un comportamento legittimo o meno, molto complessa. Senza alcun tipo di capacità analitica, esperienza o conoscenza su cui far affidamento nel settore applicativo, gli EDR identificano esclusivamente i comportamenti conosciuti in precedenza, lasciando, al contrario, passare inosservati tutti i malwares 0-day, così come le applicazioni vulnerabili e capaci di esfiltrare dati. (2 - “Mobile security report”, Pradeo, 2021)
MOBILE THREAT DEFENSE AL FINE DI RIDURRE IL DIVARIO NELLA SICUREZZA DEI TERMINALI MOBILI
“Al fine di far fronte alla natura dinamica dell’attuale spettro delle minacce mobili, gli esperti Gartner raccomandano di investire in soluzioni abbastanza agili da evolvere di pari passo.Secondo Jonathan Care senior research director per Gartner “Molteplici aziende sprecano il loro tempo con delle soluzioni e tecnologie ormai sorpassate, la cui efficacia è ormai ridotta”.
SECURITY FEATURES NECESSARIE PER PROTEGGERE I TERMINALI MOBILI
| Endpoint Detection & Response | Mobile Threat Defense | |
|---|---|---|
| Prevenzione | ||
| App threat | ||
| Network threat | ||
| OS threat | ||
| Detezione | ||
| Tempo medio necessario all’identificazione di una minaccia | 197 giorni* | Tempo-reale |
| Applicazioni Leaky / intrusive | ||
| Malware sconosciuto (95% overall) | ||
| Malware presente nei database antivirali (5% overall) | ||
| Network attack | ||
| OS exploit | ||
| Remediation | ||
| Tempo medio necessario al contenimento di un attacco | 69 giorni* | Tempo-reale |
| Automatizzazione | ||
| Analytics | ||
| Threat hunting | ||
| Analisi profonda delle applicazioni | ||
| Compatibilità | ||
| Sicurezza Multiprofilo per i terminali Android Enterprise | ||
| Integrazione avanzata con gli UEMs |
* IBM Security-Ponemon Institute 2018: Cost of a Data Breach Study