Secondo l’indagine “IT Security Risks” di Kaspersky, il 28% delle aziende che ha implementato una soluzione Endpoint Detection and Response (EDR) è riuscita a rilevare gli attacchi cyber nell’arco di poche ore o, in alcuni casi, subito dopo l’incidente. Si tratta di una percentuale più alta rispetto a quella complessiva, poiché in media solo il 19% delle aziende intervistate ha dato questa risposta.
Il rilevamento tempestivo di un incidente informatico è essenziale per ridurre le perdite che derivano da un attacco cyber.
Il sondaggio di Kaspersky condotto nel 2019 tra i decision maker IT ha coinvolto 2.961 aziende di tutto il mondo per conoscere il tempo impiegato dalle imprese intervistate per scoprire un attacco cyber. L’analisi dettagliata delle risposte fornite ha rivelato che esiste una forte correlazione tra l'implementazione di una soluzione EDR e il tempo di permanenza.
Tra le aziende che utilizzano una soluzione EDR, il 28% ha confermato che ci sono volute alcune ore o anche meno per rilevare un attacco. Di questi, il 14% ha rilevato un attacco quasi immediatamente, un risultato superiore alla media del 9%. Mentre un altro 14% ha scoperto l’incidente nel giro di poche ore, contro il 10% degli intervistati complessivi. Solo l’8% degli utenti di soluzioni EDR ha dichiarato che ci sono voluti diversi mesi per identificare che si trattasse di un attacco.Tuttavia, il maggior numero di intervistati ha dichiarato che il rilevamento ha richiesto diversi giorni, indipendentemente dal fatto di possedere una soluzione EDR.
“Una soluzione EDR consente maggiori probabilità di scoperta, maggiore visibilità dell’infrastruttura endpoint, un’analisi semplificata delle cause alla base dell’attacco, la threat hunting e la risposta rapida agli incidenti”, afferma ha commentato Yana Shevchenko, Senior Product Marketing Manager di Kaspersky. “Allo stesso tempo, la soluzione EDR automatizza i compiti di routine che gli analisti potrebbero dover affrontare nelle attività di rilevamento e di elaborazione della risposta. Tuttavia, come dimostrano le statistiche, per alcuni intervistati la soluzione EDR non sembra essere di aiuto per ridurre il “tempo di permanenza” di un attacco. La ragione può risiedere nel fatto che gli alert sulle attività sospette richiedano agli analisti di sicurezza di indagare e prendere decisioni in merito alla pericolosità delle azioni. Quindi, all’interno delle aziende che non dispongono di competenze interne per gestire incidenti complessi, l’uso di una soluzione professionale complessa potrebbe non dare l’effetto desiderato”.