Negli ultimi anni il numero e il tipo di dispositivi che comunicano con le reti aziendali è aumentato continuamente. Il maggiore utilizzo dello smart working (home office) e l’accesso alle risorse dell’azienda via internet, spesso tramite dispositivi mobili, hanno reso essenziale garantire la sicurezza degli endpoint. Le minacce alla sicurezza infatti si stanno sempre più concentrando sui punti deboli dei dispositivi finali per riuscire a penetrare nelle reti aziendali e fanno leva anche sui comportamenti disattenti degli utenti.

Molti ransomware e malware si sono dimostrati in grado di aggirare le normali difese perimetrali (firewall) sfruttando le vulnerabilità degli endpoint e i comportamenti scorretti degli utenti finali.

Anche i tradizionali antivirus progettati per proteggere da attacchi basati su firme si stanno rivelando uno strumento necessario ma non più sufficiente, soprattutto se si vuole mettere in atto una strategia che tenga in considerazione le vulnerabilità degli endpoint e i comportamenti degli utenti.

L’attività di individuazione delle minacce (detection) va quindi potenziata mediante strumenti che consentano di prevedere comportamenti anomali di utenti e dispositivi. Le soluzioni Endpoint Detection and Response (EDR) devono quindi spingersi oltre i meccanismi di individuazione delle minacce basate su firma. Le soluzioni EDR effettuano un monitoraggio continuo di tutti i file e applicazioni in un dispositivo e, attraverso capacità di machine learning e correlazione degli eventi, analizzano l’attività degli endpoint in rete per individuare eventuali comportamenti sospetti.

Alcuni malware sono capaci di mimetizzarsi come dei file innocui per poter entrare nella rete per poi trasformarsi in file capaci di attività malevola una volta superato il punto di entrata.