Gli endpoint, ovvero i dispositivi mobili, i computer, i server e gli apparecchi OT, sono fondamentali per moltissime operazioni aziendali, tuttavia questi endpoint sono particolarmente vulnerabili a comportamenti dannosi e ad attacchi informatici, soprattutto se la connessione al Web è fatta da reti domestiche non protette. Per questo è importante garantire la sicurezza degli endpoint tramite strumenti efficaci. Le soluzioni tipiche di sicurezza includono i software antivirus tradizionali, strumenti di gestione degli endpoint, VPN e software di rilevamento delle minacce.
Questi strumenti di protezione sono raggruppati nelle piattaforme EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response), essenziali per lo sviluppo di una efficace strategia di cyber security. Usando funzionalità di rilevamento adattativo delle minacce informatiche e l’intelligenza artificiale, questi sistemi possono riconoscere e rispondere automaticamente alle minacce informatiche, prima che queste ultime possano danneggiare l’organizzazione.
I componenti principali della sicurezza degli endpoint si concentrano tutti sulla protezione e sul controllo della rete, dei dati, delle applicazioni e così via. Le caratteristiche principali di un software tipico per la sicurezza degli endpoint sono:
- Protezione dei dispositivi
- Controllo della rete
- Controllo delle applicazioni
- Prevenzione della perdita di dati
- Protezione del browser
- Crittografia
EDR per la protezione degli endpoint
Riconosciuto per la prima volta da Gartner nel 2013, EDR gode oggi di un’ampia adozione da parte delle aziende. Sebbene antivirus, antimalware, firewall e altre soluzioni tradizionali di sicurezza degli endpoint si siano evoluti nel tempo, sono ancora limitati al rilevamento delle minacce note, basate su file o su firma. Sono molto meno efficaci, ad esempio, nel bloccare gli attacchi di ingegneria sociale, come i messaggi di phishing (il metodo di diffusione più comune per il ransomware) che inducono le vittime a divulgare dati sensibili o a visitare siti Web falsi contenenti codice dannoso. Sono inoltre impotenti contro un numero crescente di attacchi informatici “senza file”, che operano esclusivamente nella memoria del computer per evitare del tutto la scansione di file o firme.
Una soluzione EDR offre funzionalità di rilevamento delle minacce, analisi e risposta (spesso senza intervento umano), per individuare e contenere potenziali minacce penetrate nel perimetro della rete, prima che possano causare gravi danni. EDR fornisce inoltre strumenti che i team di sicurezza possono utilizzare per scoprire, indagare e prevenire autonomamente le minacce sospette ed emergenti.
In sostanza l’EDR combina cinque funzionalità principali: raccolta costante di dati sugli endpoint, analisi e rilevamento delle minacce in tempo reale, risposta automatizzata alle minacce, isolamento delle minacce e correzione, supporto per il rilevamento delle minacce.
XDR per la protezione dell’intera struttura IT
L’XDR integra gli strumenti di sicurezza in tutta l’infrastruttura di un’organizzazione. Non solo gli endpoint quindi, ma anche le reti, le e-mail, le applicazioni, i workload cloud e altro ancora, in modo che questi strumenti possano interagire e coordinarsi sulla prevenzione, il rilevamento e la risposta alle minacce informatiche. L’XDR è una tecnologia recente e in rapida evoluzione, in grado di rendere i centri operativi per la sicurezza molto più efficienti ed efficaci, unificando in un solo sistema centrale i punti di controllo della sicurezza, la telemetria, l’analisi e le operazioni.
© Allied Telesis
Le soluzioni XDR estendono il rilevamento delle minacce informatiche a più livelli dello stack di sicurezza, ad esempio applicazioni e dispositivi IoT, e la raccolta dei dati di analisi è di conseguenza più ampia. Inoltre, poiché i sistemi XDR possono connettersi a più livelli dello stack, queste soluzioni sono più facili da ridimensionare e modellare in base alle esigenze di sicurezza dell’azienda rispetto ai sistemi EDR.
In sintesi, l’XDR offre diversi vantaggi rispetto all’EDR:
- Visibilità migliorata tra diversi livelli dello stack di sicurezza
- Rilevamento avanzato delle minacce informatiche in più domini di sicurezza
- Correlazione e analisi semplificate degli eventi imprevisti
- Migliori scalabilità e adattabilità
- Protezione da attacchi informatici avanzati, ad esempio ransomware
Il patching: aggiornamenti software degli endpoint
Gli strumenti di patching aiutano a rintracciare e implementare con efficienza gli aggiornamenti software degli endpoint, per rafforzare il profilo di sicurezza. Questi aggiornamenti sono importanti, perché attaccanti e cyber criminali esperti sono sempre alla ricerca di vulnerabilità di sicurezza da sfruttare nelle applicazioni e nei sistemi operativi. Di conseguenza i fornitori di software rilasciano continuamente patch per risolvere le vulnerabilità note. L’aggiornamento delle applicazioni e dei sistemi operativi è quindi fondamentale per stare un passo avanti rispetto ai malintenzionati.
La gestione degli aggiornamenti delle applicazioni è complicata per molte organizzazioni, soprattutto le più grandi. Il reparto IT può impiegare in media un mese per applicare le patch alle vulnerabilità più gravi. Le soluzioni di patching delle applicazioni contribuiscono all’eliminazione dei processi manuali, che sono impegnativi, soggetti a errori e richiedono molto tempo.
La maggior parte delle soluzioni di patching delle applicazioni offre:
- Sistemi di scansione dell’inventario per scoprire tutte le applicazioni disseminate nell’azienda
- Dashboard e reportistica di stato per identificare le applicazioni a cui sono state applicate patch e quelle vulnerabili
- Strumenti per automatizzare l’approvazione e la distribuzione delle patch e i relativi processi di installazione
Anche gli aggiornamenti al sistema operativo sono molto importanti. È possibile ridurre le vulnerabilità implementando aggiornamenti automatici del sistema operativo o attivando altri sistemi e pratiche per garantire che tutti i desktop, laptop e server aziendali utilizzino le release più recenti.
Ciascun fornitore ha il proprio approccio al rilascio delle patch per il sistema operativo. Ad esempio, Microsoft rilascia gli aggiornamenti della sicurezza per Windows Server e Windows per desktop il secondo martedì di ogni mese. Queste patch possono essere installate automaticamente tramite Windows Update. Se si preferisce testare gli aggiornamenti prima di distribuirli in produzione, è possibile utilizzare Windows Server Update Services (WSUS) o uno strumento di patching delle applicazioni di terzi per distribuire e implementare gli update in base alle proprie preferenze. Apple rilascia macOS periodicamente, con eventuali aggiornamenti di sicurezza. È possibile configurare un Mac in modo che gli update macOS siano installati manualmente o automaticamente.
© Paessler
Manutenzione predittiva e proattiva
La manutenzione predittiva dei sistemi IT aggiunge un ulteriore valore a quella proattiva, che a sua volta supera i limiti della manutenzione reattiva, più costosa e meno efficiente. L’intervento predittivo si basa su un approccio data driven per prevedere il momento giusto per l’esecuzione di un update, ad esempio un aggiornamento o l’applicazione di patch di sicurezza.
Grazie all’uso intelligente di strumenti di analisi dei dati, la manutenzione predittiva rileva in modo autonomo eventuali anomalie nei sistemi o errori nei processi, per intervenire con correzioni prima che ci siano impatti sulla sicurezza o sulla produttività.
L’obiettivo è quello di limitare al minimo indispensabile la frequenza degli interventi di manutenzione, riducendo allo stesso tempo quelli imprevisti – propri dell’approccio reattivo – ed evitando il rischio di incorrere nei costi elevati tipici della manutenzione preventiva.
Con i dispositivi connessi in remoto cresce il rischio di minacce e attacchi informatici. Secondo Infosecurity Magazine, la previsione è di un netto aumento degli attacchi di phishing da siti Web e malware rivolti agli utenti in remoto.
in definitiva, le soluzioni di manutenzione predittiva a elevata automazione consentono di:
- Conoscere i dispositivi, grazie a strumenti di controllo e IT governance
- Correggere eventuali anomalie prima che abbiano un impatto sull’operatività
- Proteggere i dispositivi, la rete e i dati grazie a servizi di self secure a disposizione degli utenti