Homepage
Torna alla panoramica

Endpoint Detection & Response (EDR)

L'Endpoint Detection & Response (EDR) indica una categoria di soluzioni di sicurezza che monitorano continuamente le attività su dispositivi finali come laptop, smartphone o server, rilevano comportamenti sospetti in tempo reale e consentono misure di risposta automatizzate e manuali. L'EDR va quindi ben oltre i classici programmi antivirus, che si limitano a identificare malware noti tramite firme senza tenere sotto controllo il comportamento complessivo del dispositivo.

Il nucleo tecnico dell'EDR è l'analisi comportamentale. Invece di bloccare solo le minacce note, una soluzione EDR registra continuamente quali processi sono in esecuzione su un dispositivo, quali connessioni di rete vengono stabilite e quali accessi ai file avvengono, per rilevarne anomalie e potenziali schemi di attacco. In caso di attacco, questa base di dati consente un'analisi forense dettagliata che mostra come un aggressore è entrato nel sistema e quali sistemi sono stati compromessi.

Per aziende ed enti pubblici con un parco dispositivi ampio ed eterogeneo, l'EDR diventa particolarmente rilevante quando i dispositivi mobili vengono utilizzati al di fuori della rete aziendale. Un'amministrazione comunale che dota il personale sul campo di smartphone di servizio può utilizzare l'EDR per garantire che anche i dispositivi in uso esterno siano monitorati continuamente per le minacce e, in caso di emergenza, possano essere isolati o bloccati automaticamente prima che un attacco si diffonda ad altri sistemi.

Il vantaggio fondamentale dell'EDR rispetto alle soluzioni di sicurezza classiche risiede nella capacità di rilevare anche metodi di attacco finora sconosciuti. Poiché la valutazione non si basa su un database statico di firme, ma sul comportamento effettivo dei dispositivi in funzione, l'EDR è particolarmente rilevante di fronte alla crescente diffusione di exploit zero-day e attacchi fileless, che non lasciano tracce classiche di malware.

L'EDR esprime il suo pieno potenziale quando i dispositivi monitorati sono anche configurati in modo uniforme e possono essere bloccati o ripristinati da remoto all'occorrenza. Entrambe le cose possono essere garantite tramite una gestione centralizzata dei dispositivi.