Attuare strategie di endpoint security protection è dunque importante per prevenire accessi non autorizzati e, perciò, per non esporre l’infrastruttura IT e tutta l’organizzazione a rischi di ampia portata.
Con endpoint security si intende un insieme di policy organizzative e soluzioni tecnologiche adeguatamente orchestrato e realizzato per proteggere i dispositivi endpoint.
Ma cosa si intende con endpoint? Esso è un qualsiasi device connesso alla rete, dai pc ai dispositivi IoT – Internet of things. Tutti questi possono diventare porte di ingresso per i sistemi informatici e strumenti preziosi per gli attaccanti per sottrarre o compromettere dati sensibili.
Proteggere tutti gli endpoint, ciascuno singolarmente, in modo efficace ma senza rallentarne le prestazioni, consente di impedire tutte le possibilità di intrusione tramite hardware e, quindi, di non minare la sicurezza informatica generale e la continuità operativa dell’infrastruttura IT.
I dispositivi corrono tantissimi tipi di pericoli. Da quelli che riguardano strettamente il device stesso (essere rubato o manomesso) a quelli determinati da azioni di cyber attack.
Pc, laptop, tablet, smartphone lasciati incustoditi oppure oggetto di furto possono rappresentare fonti preziose di dati quali password, credenziali di accesso così come occasione per fare spionaggio aziendale di informazioni riservate.
Per mettersi al riparo da queste chance più o meno fortuite le aziende devono ricorrere a:
Accanto a quelli strettamente legati all’intervento fisico sui dispositivi, vi sono tutte le minacce digitali. Si tratta di pericoli legati a vulnerabilità software o a errori comportamentali che consentono agli attaccanti di infiltrarsi nei sistemi. Le principali minacce a tal proposito sono:
Per ostacolare queste e tanti altri tentativi di attacchi, magari meno diffusi ma altrettanto dannosi, serve implementare soluzioni EDR (Endpoint detection and response) capaci di rilevare e impedire (o quanto meno mitigare) le conseguenze di attacchi.
Per far fronte a tutti questi pericoli è importante anche riflettere sull’eventualità di adottare policy di segmentazione di rete, ossi di limitare il movimento laterale degli attaccanti all’interno della rete. Ciò significa che quando è stato compromesso un device risulta complicato accedere ad altre parti della rete e, dunque, contenere le violazioni evitando di propagare gli effetti nocivi.
I software di Endpoint Detection and Response (EDR) sono sviluppati per rilevare, analizzare e, nel caso, rispondere a minacce avanzate che possono colpire gli end point. Essi hanno la facoltà di lavorare in tempo reale, monitorando costantemente l’attività compiuta sui dispositivi e, d’altra parte, i dati inerenti a file in esecuzione e ai comportamenti di reti e processi.
Se si verificano anomalie, i sistemi EDR più evoluti sfruttano algoritmi avanzati e tecniche di machine learning per comprendere l’entità della minaccia. Essi poi possono essere preimpostati per avviare in automatico azioni di risposta che vanno dal contenimento alla neutralizzazione, passando per l’isolamento dell’endpoint per mitigare i rischi ed evitare compromissioni estese.
I tool hanno la prerogativa anche di condurre analisi approfondite per fornire dati agli amministratori di sistema per individuare la catena di attacco e predisporre misure proattive di protezione.
Antivirus Vs endpoint security, a cosa serve una piattaforma di protezione degli endpoint?
Per implementare una strategia di protezione informatica completa servono più strumenti. Guardando, in particolare, agli endpoint è utile avere entrambe le soluzioni, sia l’antivirus sia EDR.
L’antivirus ha, infatti, il compito di fermare o rimuovere malware noti e utilizza tecniche di rilevamento basate su firme (cioè di confrontare i file presenti nel dispositivo con un database di virus conosciuti). È, dunque, indispensabile per questa tipologia di attacchi. È meno efficace rispetto a problemi sconosciuti e ancora non catalogati, quali gli zero-day attack, o malware fileless, cioè che non lasciano tracce evidenti.
In quest’ultimo scenario ha un ruolo più importante l’endpoint security che garantisce protezione multilivello. Essa può anche comprendere funzionalità di antivirus, ma soprattutto integra tecniche avanzate quali quelle cui si è accennato ossia per il rilevamento e la risposta. Può anche vantare funzioni di controllo delle applicazioni, prevenzione della perdita di dati e controllo del Web.
Tutto ciò contribuisce a creare una linea di difesa robusta e adattabile nei confronti di un elevato numero di rischi.
La garanzia di poter contare su endpoint security è direttamente correlata alla capacità di una infrastruttura IT di essere resiliente. I sistemi IT devono assicurare continuità operativa, nessuna organizzazione si può permettere interruzioni di servizi, fuga di datti e tutti i danni reputazionali che ne derivano.
Anche in caso di incidenti e attacchi informatici ai dispositivi, le aziende sono tenute a continuare a lavorare reagendo velocemente o, quanto meno, minimizzare gli impatti.
È immediatamente evidente, quindi, quanto l’endpoint security sia imprescindibile per le organizzazioni. Quanto più i sistemi utilizzati per garantire la sicurezza dei device saranno all’avanguardia, tanto più risulteranno capaci di promuovere un approccio proattivo alla sicurezza, consentiranno monitoraggio continuo e dimostreranno abilità di rilevazione e analisi per contrastare l’attuazione di cyber attack con tutte le loro conseguenze catastrofiche.
La resilienza favorita dai sistemi di protezione degli endpoint si esprime anche con il fatto che essi aiutano le aziende a riprendersi velocemente in seguito a un attacco (oltre a contenerne gli effetti). Combinando l’uso di EDR e la possibilità di poter contare sul back up dei dati, praticamente, anche in caso di attacco andato a buon fine, l’organizzazione non subirà perdite.
Infine, una strategia di endpoint security protection che si basi anche sull’analisi e il reporting fa sì che i team di sicurezza capiscano nello specifico cosa accade in ambito sicurezza e si inneschi un circolo virtuoso di continuo miglioramento delle difese dell’azienda nel suo complesso.
Prevenzione degli accessi non autorizzati, trafugamento di informazioni, appropriazione di proprietà intellettuale sono solo alcune delle terribili ripercussioni riconducibili alla violazione di anche solo un endpoint aziendale. Basta, come abbiamo visto, un unico anello debole della catena per agevolare l’entrata e la diffusione di codici malevoli che producono danni su tutte le componenti delle infrastrutture IT. Gli attaccanti sono ben consapevoli di questa opportunità e spesso fanno partire così le loro attività malevole.
Tutte le organizzazioni per essere davvero efficaci nelle loro politiche di sicurezza informatica devono perciò tutelare tutti i dispositivi in mano ai propri addetti, o comunque che si trovano ai limiti esterni della rete (per esempio i device IoT), ma parallelamente porre in atto azione di protezione dei sistemi critici che stanno al cuore dell’ecosistema applicativo su cui si basano servizi e processi.
Endpoint security manager esperti e referenziati come quelli di DigitelNET, che possono contare su una proposta tecnologica completa e su competenze specifiche, sono in grado di coniugare questi due aspetti per costruire un piano di protezione avanzata.