Se la tua strategia di endpoint security si basa ancora su un antivirus tradizionale basato su firme, sei vulnerabile. Non e un'opinione - e matematica. I laboratori di malware producono centinaia di migliaia di nuove varianti al giorno. L'antivirus tradizionale le rileva solo dopo che qualcuno le ha catalogate e ha distribuito la firma - il che significa che per le prime ore (o giorni) sei esposto. La differenza tra EDR e antivirus tradizionale non e solo tecnologica - e concettuale.
Perche l'antivirus non basta
Il malware moderno usa tecniche che l'antivirus non puo rilevare: fileless malware che vive solo in memoria e non tocca mai il disco, LOLBins (Living Off the Land Binaries) che usano tool legittimi del sistema operativo per attivita malevole, malware polimorfico che cambia il proprio codice ad ogni esecuzione, e attacchi supply chain che arrivano attraverso aggiornamenti software legittimi. Un antivirus basato su firme e cieco a tutto questo.
EDR: la risposta evolutiva
Un EDR (Endpoint Detection and Response) funziona in modo fondamentalmente diverso. Invece di confrontare file con un database di firme, monitora il comportamento: un processo che enumera le credenziali in memoria (Mimikatz-like), PowerShell che scarica ed esegue codice dalla rete, un processo figlio anomalo di un'applicazione Office, movimenti laterali via WMI o PsExec. Il mio stack usa Velociraptor come EDR - e la combinazione con Wazuh per la correlazione centralizzata e il vero punto di forza.
La transizione per una PMI non deve essere traumatica. Fase 1: deploya un EDR in modalita monitoring accanto all'antivirus esistente. Fase 2: dopo un mese di tuning (riduci i falsi positivi), attiva le capacita di response. Fase 3: rimuovi l'antivirus tradizionale. Il costo di un EDR open source come Velociraptor e zero per le licenze - il costo reale e nelle competenze per gestirlo. Ma e un investimento che vale ogni centesimo.
Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.
Parliamone →