Axitea » Approfondimenti » L’incidente CrowdStrike-Microsoft, un caso studio sulla sicurezza EDR

Approfondimenti

L’incidente CrowdStrike-Microsoft, un caso studio sulla sicurezza EDR

Interessato alle soluzioni di sicurezza di Axitea?

Autore

Redazione Axitea

L’incidente che ha coinvolto CrowdStrike e Microsoft il 19 luglio 2024 ha evidenziato in modo lampante le potenziali complessità e i rischi associati alle soluzioni di Endpoint Detection and Response (EDR) se non sono gestite in modo appropriato e senza una strategia di sicurezza informatica ben definita.

In sintesi, un aggiornamento difettoso del software di CrowdStrike ha causato un conflitto con il sistema operativo di Microsoft, portando a un arresto anomalo di milioni di dispositivi Windows.

Ciò ha sollevato interrogativi cruciali sulla sicurezza informatica e anche sulla gestione delle soluzioni EDR.

Fattori critici nella sicurezza degli endpoint

Ogni evento di sicurezza così importante (e così impattante in tutto il mondo), porta a effettuare alcune considerazioni, che mettono in luce i seguenti aspetti critici:

  • interdipendenza tra software: anche piccole modifiche a un software di sicurezza possono avere impatti significativi su altri componenti del sistema;
  • importanza degli aggiornamenti: gli aggiornamenti sono essenziali per la sicurezza, ma è altrettanto importante testarli accuratamente per evitare conseguenze indesiderate;
  • gestione degli incidenti: la risposta rapida e coordinata tra fornitori e utenti è fondamentale per minimizzare l’impatto di un incidente di questo tipo.

Il ruolo degli MSSP

In questo contesto, i Managed Security Service Provider (MSSP) rappresentano un valore aggiunto nella strategia di cyber security e in particolare nell’adozione di soluzioni di protezione degli endpoint. Gli MSSP sono specializzati nella gestione di soluzioni di sicurezza informatica, tra cui l’EDR. Grazie alla loro esperienza e alle loro risorse, possono:

  • monitorare costantemente la rete aziendale: gli MSSP utilizzano strumenti avanzati per monitorare continuamente l’ambiente IT e rilevare eventuali anomalie o minacce;
  • gestire gli aggiornamenti: un Managed Security Service Provider si occupa di pianificare e implementare gli aggiornamenti in modo sicuro e controllato;
  • rispondere agli incidenti: in caso di incidente, possono intervenire rapidamente per mitigare i danni e ripristinare le operazioni per garantire la continuità delle operazioni;
  • fornire consulenza: consulenza strategica per migliorare la cyber security posture di un’organizzazione.

Considerazioni sulla sicurezza degli endpoint

Gli EDR sono strumenti cruciali in ambito IT e occorre personale certificato per eseguire le configurazioni e manutenerle. Per tanti clienti è utile avere un presidio H24 di supporto e di comunicazione diretta con l’azienda che produce i software di protezione degli endpoint, cosa che un MSSP può fare.

In ogni caso, le soluzioni EDR da sole non sono sufficienti, questi strumenti come anche i servizi MDR (Managed Detection and Response) hanno una visione limitata di ciò che accade nel perimetro protetto ed è necessario avere un Security Operation Center che riesca ad avere una visione d’insieme dell’infrastruttura IT per avere la massima visibilità su cosa sta accadendo.

Infine, sebbene esistano guide e strumenti di pubblico accesso molto utili per la scelta delle tecnologie, ogni soluzione deve essere valutata per la realtà che si va a proteggere: occorre un advisor (come un MSSP) per avere qualcuno che ha visione approfondita delle diverse tecnologie per effettuare la scelta più adeguata al tipo di problema da affrontare.

 

Ico-pos-Rilevazione intrusione

Interessato alle soluzioni di sicurezza di Axitea?

Scroll to Top
Torna su