L’industria della sicurezza non è esattamente nota per la sua trasparenza e la chiarezza dei messaggi. È un mercato affollato e competitivo, pieno di fornitori che sentono la pressione di doversi differenziare e di tenere il passo con i concorrenti. Al giorno d’oggi si tende a parlare di protezione multistrato o “all-in-one”, ma le caratteristiche esatte di questa protezione variano e il confronto tra le offerte può creare confusione.
Inoltre, non aiuta il fatto che la terminologia in merito alla sicurezza può presentarsi in modo molto complicato.
Uno degli acronimi che si vedono spesso in giro è EDR, che sta per endpoint detection & response. Quasi tutti i fornitori di soluzioni di sicurezza dichiarano di offrire una qualche forma di EDR, quindi cerchiamo di definire che cos’è e di spiegare cosa fa in relazione agli altri prodotti del tuo stack di sicurezza.
Che cos’è l’EDR?
Il termine EDR (Endpoint Detection and Response) si riferisce al software progettato per aiutare le organizzazioni a identificare, bloccare e reagire alle minacce che hanno aggirato le altre difese.
Come altri software per la sicurezza degli endpoint, l’EDR viene distribuito installando agenti sugli endpoint e viene gestito tramite un portale SaaS cloud-based.
Nota: Questo post del blog tratta dell’EDR ad alto livello, ma se sei interessato ad avere maggiori dettagli e a imparare a valutare i prodotti di endpoint detection and response, consulta la nostra nuova Guida “Hype-free” per MSP alle soluzioni EDR. Si tratta di 26 pagine ricche di ricerche e di informazioni che offriamo gratuitamente.
Cosa fanno gli strumenti EDR?
Ad alto livello, le soluzioni di endpoint detection and response raccolgono dati dagli endpoint, li utilizzano per identificare potenziali minacce alla sicurezza e forniscono metodi utili per indagare e reagire a tali potenziali minacce. 
Storicamente, queste capacità erano in larga misura a disposizione solo delle grandi aziende enterprise che potevano permettersi di avere team di analisti di sicurezza esperti che operavano da un centro operativo di sicurezza (SOC). La selezione di migliaia di dati, l’identificazione di attività sospette e la capacità di comprendere come reagire rapidamente agli incidenti hanno richiesto tempo, sforzi e competenze considerevoli.
Nel tentativo di rendere queste funzionalità più accessibili, i fornitori di sicurezza hanno lavorato per introdurre offerte EDR meno complesse e più incentrate su flussi di lavoro semplificati e automazione. L’obiettivo di queste soluzioni “Lite” è quello di abbassare la barriera all’ingresso e di portare le funzionalità di endpoint detection and response in un segmento di mercato che ne ha un gran bisogno: Le PMI. 
Dove si colloca l’EDR in un moderno stack di sicurezza?
Come funzionalità, l’endpoint detection and response si colloca a un livello diverso rispetto alle soluzioni di sicurezza incentrate sulla prevenzione. Il suo scopo principale è quello di consentire il rilevamento e la risposta alle minacce una volta che queste hanno aggirato altre difese come i firewall e gli antivirus (AV).
Detto questo, la funzionalità di endpoint detection and response viene venduta raramente da sola. Spesso, invece, viene abbinata a tecnologie di prevenzione come NGAV per fornire una sicurezza degli endpoint più unificata. Sebbene il termine “EDR” si riferisca a un insieme ben definito di funzionalità, le linee che separano gli strumenti di endpoint detection and response da altri strumenti di sicurezza degli endpoint sono diventate incredibilmente sfumate. 
Come afferma Gartner nel suo Competitive Landscape: Piattaforme di protezione degli endpoint, in tutto il mondo, report 2019:
“Sul fronte del marketing, molti dei fornitori sul [endpoint security] mercato sono ormai davvero simili gli uni agli altri, con concetti legati al machine learning e all’analisi basata sul comportamento, e questa somiglianza rende più difficile per le organizzazioni prendere decisioni consapevoli sui diversi prodotti. Gartner ritiene che ciò stia causando una certa confusione nel mercato”.
Parliamo sul serio.
In particolare, la convergenza dei prodotti AV/NGAV con i prodotti EDR in un’unica offerta ha portato a pensare (comprensibilmente) che gli strumenti di endpoint detection and response siano AV potenziati. Non è corretto. Sebbene molti strumenti di endpoint detection and response offrano attualmente funzionalità NGAV, la funzionalità EDR non è stata progettata per tenere lontane le minacce. È stata progettata per avvisare l’utente quando qualcosa di potenzialmente dannoso si è introdotto e per aiutarlo a reagire.
La verità è che la maggior parte dei fornitori non è finanziariamente motivata a fare chiarezza sull’endpoint detection and response. Se i potenziali clienti sono interessati perché pensano che bloccherà più attacchi, non li correggeranno. Ma questo rende complicata la ricerca e la valutazione delle soluzioni di endpoint detection and response: per aiutarti, abbiamo messo a punto una nuova guida che illustra tutto in termini chiari e diretti.
Desideri ulteriori informazioni sull’EDR e suggerimenti per la valutazione delle soluzioni?
Scarica le nostre 26 pagine gratuite della Guida “Hype-free” per MSP alle soluzioni EDR. Risponde a tutte le domande che ti dovresti porre sull’EDR, in modo che quando i tuoi clienti, il tuo capo o i potenziali clienti ti chiederanno informazioni, avrai tutte le risposte. 
