Interessante lettura estiva…
Quasi tutte le aziende Enterprise utilizzano degli agent EDR (Endpoint Detection and Response) per monitorare dispositivi e sistemi nella propria rete ICT alla ricerca di segnali o evidenze di un attacco informatico, ma questo non significa necessariamente che ogni analista InfoSec, piuttosto che ogni sistemista, comprenda dalla A alla Z come funzionino effettivamente questi strumenti. Questo libro ha come focus centrale il mondo degli EDR, e capitolo dopo capitolo si apprende che un EDR non è una scatola magica perfetta, ma un’applicazione software (sicuramente non banale) programmata per interagire con pochi componenti essenziali che influenzano a loro volta il sistema operativo e le applicazioni.
L’autore del saggio – che si occupa da anni di Red Teaming – indaga su ciascuno dei componenti degli agent più comuni: ne discute gli scopi, ne illustra le implementazioni e mostra i modi in cui questi strumenti raccolgono dati dai sistemi operativi Microsoft. Oltre a divulgare la teoria alla base della progettazione degli EDR, vengono discusse anche strategie di evasione per aggirare i più comuni controlli effettuati dagli agent.
Perché vale la pena leggerlo? Per chi lavora già nell’ambito InfoSec è l’ennesima conferma che EDR / XDR / NDR e strumenti affini non sono affatto la panacea contro tutti i possibili attacchi informatici, e che vanno affiancati ad altri fondamentali strumenti del mestiere; per tutti gli altri lettori, questo testo apre gli occhi su una grande verità di cui forse si parla poco (e non a caso): anche gli strumenti di Cybersecurity si possono ingannare, violare, compromettere se i progettisti non fanno bene il loro dovere ingegneristico, e se gli agent non vengono testati in maniera approfondita prima di essere commercializzati.
dmzware.com 