L'antivirus, così come lo conosciamo, è diventato uno strumento dalla scarsissima utilità, soprattutto in ambito aziendale.
Il motivo è semplice: le minacce si sono evolute ed oggi riescono in buona parte a superare i sistemi di difesa messi in campo dai tradizionali antivirus. Questo è dovuto al fatto che un tradizionale antivirus basa il proprio sistema di analisi sulle "firme": in sostanza, ad ogni minaccia è associato una sorta di codice univoco (una firma). Uno volta che l'antivirus riconosce tale firma entra in azione bloccando (o tendando di bloccare) l'attività malevola.
Ma cosa succede se la minaccia, quindi il malware, non ha un "firma" riconosciuta dall'antivirus? E' il caso dei così detti 0-day, ovvero malware che vengono modificati proprio per non essere riconosciuti da questi sistemi.
In questo caso l'antivirus non può fare nulla o quasi. Quando ci si accorge del problema è oramai troppo tardi.
Sono così nati gli EDR (Endpoint Detection & Response), sistemi più evoluti che, oltre al "tradizionale" controllo con le firme per intercettare un software malevolo, analizzano il comportamento dell'endpoint: in questo modo possono essere rilevate anche minacce nuove e al momento sconosciute.
Il concetto quindi è semplice: l'antivirus oggi non serve più a nulla, anzi. E' un "peso" in più per la macchina. E' necessaria una veloce e rapida migrazione verso un sistema di difesa più moderno, come un EDR.
E qui nascono i dubbi: quale scegliere?
Due sono i fattori a mio avviso da valutare, soprattutto in organizzazioni medio-piccole, ovvero con un numero di postazioni da proteggere che varia da 10 a 100: le prestazioni ed il prezzo.
Come funziona l'EDR? Proteggersi dai cyberattacchi.
Lasciamo parlare Gartner, che pone SentinelOne davanti a soluzioni più blasonate (Bitdefender, Kaspersky, CheckPoint, per citarne alcune). Addirittura SentinelOne si posiziona solo dietro a Trend Micro, Microsoft e Crowd Strike.
Entrando un poco nel dettaglio, SentinelOne ha alcuni vantaggi che possono essere toccati con mano:
- client molto "leggero".
- soluzione full cloud quindi non necessita di installazioni on premise e di conseguenza tutti gli aggiornamenti e la manutenzione è fatta direttamente da SentinelOne.
- modalità di analisi avanzate e rollback - in caso di incidente - veloce e semplice da ripristinare.
Prezzo.
Prima di parlare del prezzo, una precisazione fondamentale: il servizio Fast Security Advanced Protection - per il quale faccio consulenza e vendita con Fastweb - prevede la fornitura al cliente sia di SentinelOne ma anche di una componente SOC, ovvero Security Operation Center.
A cosa serve il SOC e perché supera l'antivirus? Perché è importante?
La questione è semplice: gli EDR, proprio per la loro natura di analisi dei "comportamenti" delle macchine, producono una quantità di report e di alert molto alta. Chi si occupa di verificarli?
Nelle aziende di piccole e medie dimensioni non c'è - quasi mai - una persona che può svolgere questo lavoro. A questo serve il SOC. Nella soluzione Fast Security Advanced Protection, il SOC monitora tutti gli alert prodotti da SentinelOne, lasciando così molto più tempo libero al personale IT dell'azienda e sollevandola da questo problema.
Pensiamoci un attimo: se scattasse un attacco durante la notte e l'EDR lo rilevasse inviando un alert... molto probabilmente ce ne accorgeremmo troppo tardi, quando il danno orami è fatto.
Per questo motivo il SOC e quindi la gestione dell'ERD è fondamentale: non ha senso implementare un servizio evoluto se poi non viene presidiato correttamente.
Certo, tutto questo ha un costo, ma grazie ad una partneship nazionale, Fastweb propone un servizio accessibile anche a strutture che hanno un budget limitato, che parte da €42 all'anno ad endpoint (SCO compreso). Sono possibili anche preventivi personalizzati.
Quanto stai spendendo ora per il tuo antivirus o EDR?
Per ulteriori informazioni (o una semplice chiacchierata!) puoi lasciare i tuoi dati, ti contatterò personalmente: