L'antivirus tradizionale e morto. Non lo dico io — lo dicono i dati: il 60% degli attacchi moderni usa tecniche che aggirano l'antivirus basato su firme (malware fileless, living off the land, zero-day). L'EDR (Endpoint Detection and Response) e la risposta: monitora il comportamento dei processi in tempo reale, rileva attivita anomale e puo rispondere automaticamente bloccando la minaccia.
Per la NIS2, un EDR su tutti gli endpoint e di fatto una misura minima per le organizzazioni con un profilo di rischio significativo. Non e esplicitamente richiesto, ma dimostrare capacita di rilevamento e risposta alle minacce sugli endpoint e molto difficile senza uno.
Come funziona un EDR
L'EDR installa un agente leggero su ogni endpoint (PC, server, laptop) che monitora continuamente: processi in esecuzione, connessioni di rete, modifiche al file system, operazioni sul registro, comportamenti anomali. Quando rileva un'attivita sospetta, genera un alert e puo intervenire automaticamente: isolare l'endpoint dalla rete, terminare il processo malevolo, bloccare la connessione verso un C2. Il tutto in millisecondi.
EDR vs antivirus: le differenze
| Aspetto | Antivirus tradizionale | EDR |
|---|---|---|
| Metodo rilevamento | Firme note | Comportamento + ML + firme |
| Malware fileless | Non rileva | Rileva |
| Risposta automatica | Quarantena file | Isolamento endpoint, kill processo, rollback |
| Visibilita | File scansionati | Tutta l'attivita dell'endpoint |
| Threat hunting | No | Si |
| Forensic | Minima | Completa |
Le soluzioni EDR sul mercato
- CrowdStrike Falcon — leader di mercato, cloud-native, eccellente threat intelligence
- SentinelOne — forte automazione, rollback ransomware, buon rapporto qualita/prezzo
- Microsoft Defender for Endpoint — integrato nell'ecosistema Microsoft, incluso in alcune licenze M365
- Sophos Intercept X — ottimo per le PMI, facile da gestire, prezzo competitivo
- Cortex XDR (Palo Alto) — si integra con il firewall Palo Alto per una visibilita unificata
- Trend Micro Vision One — forte su server e workload cloud
EDR, XDR e MDR: le evoluzioni
L'EDR si sta evolvendo. L'XDR (Extended Detection and Response) estende la visibilita oltre l'endpoint, integrando rete, email, cloud e identita. L'MDR (Managed Detection and Response) e un servizio gestito dove un team esterno monitora e risponde agli alert EDR per conto dell'azienda — ideale per le PMI che non hanno un SOC interno.