La maggior parte delle soluzioni di sicurezza per piccole e medie imprese blocca semplicemente l’esecuzione di malware su una workstation o un server e, per anni, questo metodo è sembrato sufficiente. Se un’azienda riusciva a rilevare le minacce informatiche sui dispositivi finali, poteva arrestare la diffusione dell’infezione sulla rete e proteggere l’infrastruttura aziendale.
Tuttavia, i tempi cambiano. Un tipico attacco informatico moderno non è più un incidente isolato sul computer di un dipendente ma un’operazione complessa che colpisce una porzione considerevole dell’infrastruttura. Pertanto, ridurre al minimo i danni di un cyberattacco di oggi richiede non solo di bloccare il malware, ma anche di capire rapidamente cosa è successo, come è successo e dove potrebbe accadere di nuovo.
Cosa è cambiato?
Il cybercrimine moderno si è evoluto a tal punto che anche una piccola azienda potrebbe ragionevolmente essere preda di un attacco mirato e su tutti i fronti. In certa misura, questa evoluzione è il risultato della crescente disponibilità degli strumenti che consentono di portare a termine un attacco complesso e in più fasi. Inoltre, i cybercriminali cercano sempre di massimizzare il rapporto sforzo-profitto e i creatori di ransomware si contraddistinguono davvero in questo senso. Ultimamente, abbiamo notato un loro crescente impegno in esaustive ricerche e in lunghi preparativi; a volte, si appostano silenziosamente nella rete obiettivo per settimane, esplorando l’infrastruttura e rubando informazioni vitali prima di colpire con la cifratura dei dati e la successiva richiesta di riscatto.
Una piccola impresa può anche servire come obiettivo intermedio in un attacco alla supply chain; i criminali informatici a volte usano l’infrastruttura di un appaltatore, un provider di servizi online o di un piccolo partner per assaltare un’impresa più grande. In questi casi, possono anche sfruttare le vulnerabilità zero-day, tattica normalmente più costosa.
Capire cosa è successo
Porre fine a un attacco complesso e multilivello richiede un quadro chiaro di come il cybercriminale sia riuscito a penetrare nell’infrastruttura, quanto tempo vi abbia trascorso, a quali dati possa aver avuto accesso e così via. Eliminare semplicemente il malware sarebbe come curare i sintomi di una malattia senza affrontarne le cause.
Nelle aziende di grandi dimensioni, ad occuparsi delle indagini c’è il SOC, il dipartimento di sicurezza informatica o un servizio esterno dedicato a questo scopo. Le grandi aziende usano soluzioni di classe EDR per questo: budget e personale limitati fanno sì che spesso le piccole aziende scartino a priori queste opzioni. Eppure, le piccole imprese hanno comunque bisogno di strumenti specializzati che le aiutino a rispondere prontamente alle minacce complesse.
Kaspersky Endpoint Security Cloud con EDR
Per configurare la nostra soluzione per PMI con funzionalità EDR non serve un esperto in sicurezza poiché l’aggiornamento di Kaspersky Endpoint Security Cloud Plus offre una migliore visibilità dell’infrastruttura. L’amministratore può identificare rapidamente i percorsi che utilizza una minaccia per diffondersi, ottenere informazioni dettagliate sui dispositivi colpiti, visualizzare rapidamente i dettagli dei file dannosi e vedere dove vengono utilizzati. Tutto ciò aiuta gli amministratori a rilevare prontamente tutti i “punti caldi” delle minacce, bloccare l’esecuzione dei file pericolosi e isolare i dispositivi colpiti, riducendo al minimo i potenziali danni.
Mentre stiamo monitorando l’utilizzo di questo strumento per determinare la sua rilevanza in questo settore, quest’anno abbiamo reso disponibile la funzionalità EDR in modalità di prova per gli utenti di Kaspersky Endpoint Security Cloud Plus. Per saperne di più e richiedere la versione di prova potete consultare questo link.