Rilevamento e risposta degli endpointIl rilevamento e risposta degli endpoint (abbreviato EDR, dall'inglese endpoint detection and response) è una tecnologia per la cibersicurezza che consiste in uno strumento (di solito un software) che monitora costantemente un "endpoint", ovvero un dispositivo che è connesso alla Rete e che può diventare l'obiettivo di un attacco informatico, come ad esempio personal computer, server, dispositivi mobili e per l'Internet delle cose.[1][2] Le piattaforme di EDR analizzano il funzionamento dei dispositivi che monitorano, in particolare raccolgono e analizzano continuamente dati su eventi significativi, come la creazione di nuovi processi, le modifiche del registro, l'utilizzo della memoria e del disco e le connessioni di rete,[3][4] di solito utilizzando strumenti di apprendimento automatico per determinare il comportamento di tali parametri durante il normale utilizzo dei dispositivi monitorati.[5] Quando rilevano un comportamento anomalo in un dispositivo, come ad esempio modifiche delle chiavi di registro o avvio di processi inusuali,[6] lo segnalano agli addetti alla sicurezza[7] o, nei casi più critici, possono anche isolare automaticamente il dispositivo sospetto.[8] La differenza tra un software antivirus e un EDR risulta quindi essere nella modalità di identificazione delle minacce: l'antivirus analizza il dispositivo in cerca di malware basandosi su un database interno che consente di identificare il codice dannoso quando presente, mentre l'EDR monitora il comportamento del dispositivo per rilevare delle anomalie che possono suggerire la presenza di un problema di sicurezza.[9] Note
Voci correlateCollegamenti esterni
|