Endpoint security significa orchestrare la molteplicità di dispositivi a supporto della produttività aziendale e individuale, coniugando agilità operatività e sicurezza. Risolvere l’equazione diversificata di piattaforme operative, applicazioni e servizi associati all’uso di smartphone, tablet, notebook, pc, server e tutto l’installato che supporta la business continuity delle organizzazioni in modo conforme alle politiche aziendali e alle normative, implica diversi punti di attenzione.

sicurezza-endpoint-report

Purtroppo, le soluzioni di endpoint security oltre a diventare rapidamente obsolete, rischiano di frenare la produttività degli utenti. Blindare la sicurezza dei dispositivi attivi dentro all’azienda e fuori dall’azienda si traduce mediamente nell’implementazione di una decina di agenti distinti. Questi agenti, che diventano parte integrante del corredo su cui la governance imposta l’endpoint security, vengono collegati a una serie di operazioni di verifica degli accessi. La conseguenza è che gli utenti spesso disabilitano questi agenti e ancora più spesso si dimenticano di effettuare gli aggiornamenti (Fonte: Forrester. Pollard, J. 2018. Justify Security Budget By Its Impact On Maturity).

Endpoint security: i trend fotografati dagli analisti

Secondo i ricercatori, il 70% delle violazioni aziendali ha come causa principale la numerosità variegata di dispositivi fissi e mobili utilizzati dagli utenti. A fronte di questa consapevolezza, rispetto a una spesa globale per la sicurezza IT di 128 miliardi di dollari, nel 2018 solo il 24% degli investimenti è andato alla protezione degli endpoint. Gartner, in particolare, sottolinea come il 28% degli endpoint aziendali risulta non protetta, mentre il 42% dei dispositivi non ha una protezione adeguata e il 21% utilizza antivirus e antimalware non aggiornati (Fonte: Gartner. IT Key Metrics Data 2019: Key IT Security Measures).

costi-attacchi-agli-endpoint

Secondo le analisi condotte dai ricercatori del Ponemon Institute per proteggere gli endpoint quasi 8 aziende su 10 (76%) usa gli antivirus, quasi 6 aziende su 10 (57%) si affida alla gestione delle patch, 3 aziende su 10 usa una soluzione EDR mentre il 23% usa antivirus di ultima generazione che integrano machine learning e behavioral analysis.

Come garantire la continuità operativa degli endpoint

La gestione degli endpoint presuppone un ampliamento notevole a livello di vision. Soprattutto considerando la propensione dei lavoratori a utilizzare indistintamente più dispositivi per navigare, scrivere, scambiare mail o chattare. Non a caso, cosa chiedono gli utenti alle imprese? Di poter avere sui propri dispositivi personali gli accessi non solo alla posta elettronica, ma anche ai gestionali aziendali, ai database e a tutte le applicazioni di supporto alla condivisione delle informazioni e dei progetti aziendali. Tecnicamente parlando, lavorare sul pc dell’ufficio o da qualunque altra parte utilizzando un portatile, un tablet o uno smartphone non fa più differenza per loro. La sfida per le organizzazioni è garantire servizi e applicazioni in un’unica soluzione di continuità, presidiando gli accessi alla rete, ai dati e alle applicazioni per supportare la produttività dei lavoratori ovunque si trovino, ogni volta che ne hanno bisogno, dandogli libertà di scegliere il dispositivo a loro più congeniale. Immaginando l’ulteriore moltiplicarsi di dispositivi connessi e comunicanti che la smartificazione associata alla Internet of Things continuerà a portare dentro alle aziende e fuori dalle aziende.

Endpoint-Security

Endpoint security: quali sono i dispositivi più a rischio

Abilitare una cultura aziendale che sensibilizzi gli utenti del rischio di furti aziendali e personali che hanno come conseguenza la perdita di dati sensibili è diventata un’azione strategica. Secondo i dati statistici ogni anno vengono smarriti 70 mila laptop nel mondo (Fonte: IlSole24Ore). Ma attenzione, avvertono gli esperti: endpoint sono anche tantissimi altri dispositivi come i telefoni IP, le telecamere IP per la videosorveglianza e tutti i dispositivi che hanno accesso alle reti aziendali. Per non parlare di tutti i dispositivi collaterali: nelle sole lavanderia britanniche vengono trovate ogni anno 22mila chiavette USB sempre più piccole ma con memorie ormai nell’ordine di moltissimi GB. Anche gli hard disk utilizzati sempre più spesso come back-up di sicurezza dagli utenti contengono informazioni nell’ordine dei Therabyte. E, nel mare magnum dei dati, ci sono spesso password e user ID che abilitano l’accesso alla qualunque, dai conti bancari ai progetti aziendali.

endpoint-management

Come migliorare le funzionalità di protezione degli endpoint

Le tipiche soluzioni di sicurezza degli endpoint offrono un approccio su due fronti, prevedendo un software di sicurezza installato su un server centrale con una console di gestione insieme a un software installato su singoli dispositivi. Rispetto al passato, infatti, l’endpoint security non include solo l’adozione di antivirus, ma integra funzionalità di protezione diversificate:

  • Crittografia: i dati inattivi e in movimento vengono crittografati, in modo che altri non possano accedervi o manipolarli.
  • Accesso alle informazioni sulle minacce basate su cloud: le aziende possono ricevere aggiornamenti in tempo reale da una rete globale di analisti della sicurezza che contribuiscono ad aggiornare continuamente la letteratura relative a qualsiasi tipo di minaccia, aiutando le organizzazioni a identificare e bloccare gli attacchi, arginando le vulnerabilità
  • Data Loss Prevention: funzionalità di endpoint security che contrassegna, notifica e blocca la trasmissione di dati sensibili al di fuori del controllo dell’organizzazione.
  • Whitelisting delle applicazioni: consente di eseguire solo applicazioni e servizi specifici su ogni sistema operativo utilizzato da ciascun endpoint inserito nel perimetro di protezione aziendale.
  • Controllo dei privilegi in base al ruolo: funzione per concedere o negare l’accesso a file o applicazioni specifici in base al ruolo assegnato a un utente.
  • Controllo dell’accesso basato sul comportamento: consente agli utenti di accedere a una modalità di blocco o accesso limitato da un endpoint quando le attività eseguite sul dispositivo superano una soglia normale in base alle linee di base di apprendimento automatico.
  • Gestione centralizzata del cloud: ciò implica che gli amministratori della sicurezza abbiano la possibilità di aggiungere o modificare la politica di protezione degli endpoint aziendali e di aggiornare i dispositivi sulla LAN aziendale o su Internet.
  • Integrazioni con altri strumenti di sicurezza: questa importante funzionalità di sicurezza degli endpoint consente al software di comunicare e condividere informazioni con altri componenti di sicurezza, quali firewall, sistemi di prevenzione delle intrusioni e piattaforme di monitoraggio della sicurezza.

gestione-degli-endpoint

Esempi di insicurezza degli endpoint

Esistono numerosi exploit che consentono a un utente malintenzionato di accedere a un computer fisso o mobile di un utente e utilizzarlo come risorsa per lanciare un attacco contro altre risorse di rete. Pertanto, gli sforzi di pianificazione della sicurezza devono concentrarsi pesantemente sui controlli degli endpoint. Qualche esempio?

Movimento laterale: il modello di attacco prevede che il cybercriminale una volta atterrato su un endpoint della rete, passa all’endpoint successivo, sfruttando l’intero ecosistema web-based che vede le aziende sempre più fortemente interconnesse, con supply chain estese, diversificate e ramificate a livello world wide. Una volta effettuata una dettagliata ricognizione, l’attaccante è in grado di costruire un itinerario che gli permette di arrivare dove vuole.

Island hopping attack: ispirato a una tattica bellica della seconda guerra mondiale, la tecnica degli hacker di passare da un’isola all’altra consiste nello sfruttare le terze parti che hanno un certo grado di accesso alle reti di quelle imprese che sono il vero obiettivo finale dell’attacco. Gli attacchi di island hopping avvengono attraverso l’accesso a VDI (Virtual Desktop Infrastructure) o collegamenti a reti private VPN (Virtual Private Network).
Nel caso di reverse BEC (Business Email Compromise), il criminale informatico requisisce un server di posta per poi inviare e-mail con malware. Il risultato finale di tutti questi attacchi è un assedio a lungo termine, con l’attaccante che imposta i comandi in tutta la rete, minandone la sicurezza nel profondo.

Minacce-endpoint

Shadow IT: proteggere gli endpoint è difficile quando gli utenti sono ormai abituati a utilizzare strumenti e applicazioni al di fuori del processo di protezione definito dall’azienda. Lo shadow IT imperante nelle organizzazioni, infatti, è un altro fattore estremamente sfidante per chi si occupa di sicurezza degli endpoint. Oltre al download di applicazioni varie ed eventuali non presidiate, le attività che gli utenti svolgono nell’ombra sono le più variegate: si va dalla sincronizzazione e condivisione dei dati (ad esempio le email sincronizzate tra i dispositivi mobile personali dell’utente e il client desktop utilizzato in azienda) all’utilizzo di piattaforme di backup alternative a quelle implementate dall’azienda (chiavette o dischi USB o servizi di cloud) per arrivare a progetti di business che prevedo la condivisione di file, tramite allegati, con alcuni clienti utilizzando Whatsapp o qualsiasi altro social media. Il tutto senza alcun presidio informatico.

minacce agli endpoint

Endpoint Detection and Response (EDR): vantaggi e limiti

Molte aziende scelgono di distribuire prodotti di rilevamento e risposta degli endpoint (EDR – Endpoint Detection and Response) che abilitano strategie complete di gestione della sicurezza degli endpoint, piuttosto che tentare di gestire un miscuglio di prodotti antivirus, di prevenzione del malware e di rilevamento delle intrusioni.

A livello teorico, un EDR può fornire al team di sicurezza delle informazioni un controllo di sicurezza centralizzato sui punti più vulnerabili della rete, specialmente quando il perimetro aziendale sta diventando sempre più poroso nelle reti moderne che collegano una raccolta sempre mutevole di BYOD, mobile e IoT dispositivi utilizzati da dipendenti, interinali, appaltatori e altre terze parti.

Le organizzazioni che usano un EDR, però, denunciano una mancanza di protezione proattiva ma anche i tempi necessari alla loro adozione. La maggior parte delle organizzazioni che adottano queste soluzioni le usa per rilevare i primi segni di un attacco e bloccarli. Tuttavia, in media, le funzionalità utilizzate sono meno della metà (46%) mentre il 47% degli intervistati afferma che la distribuzione ha richiesto più di tre mesi.

Endpoint-security-2020

Gestione agile e sicurezza nativa per tutti gli endpoint

Una soluzione che aiuta le aziende a risolvere la gestione di dispositivi diversi e sistemi operativi diversi, proteggendo i dati e gli accessi sia sui dispositivi di proprietà aziendale che su quelli personali è Microsoft 365. Oltre a essere una suite completa a supporto della produttività aziendale e personale, la suite permette di impostare criteri di sicurezza, come il blocco del PIN a livello di dispositivo nonché il rilevamento di jailbreak, per impedire a utenti non autorizzati di accedere all’e-mail e ai dati aziendali in un dispositivo smarrito o rubato.

Indipendentemente da dove vengono archiviati i dati o dagli utenti con cui vengono condivise le informazioni, la piattaforma abilita un Unified Endpoint Management tale da consentire una protezione costante. Semplificando la governance, Microsoft 365 offre alle direzioni IT elevatissimi livelli di personalizzazione. Ad esempio, è possibile creare criteri di prevenzione della perdita dei dati per identificare, monitorare e proteggere le informazioni riservate e, al tempo stesso, aiutano a soddisfare gli standard di adeguamento normativo.

bottone-Microsoft365

Endpoint security: le linee guida

L’endpoint security è molto più che una tecnologia, uno strumento, una suite di prodotti o una soluzione. Ai CISO e ai CIO gli esperti ribadiscono da più parti che prima di tutto è importante rispondere ad alcune domande chiave per tutti i dispositivi interni ed esterni gestiti. In particolare, domande come:

  • Le politiche e i controlli di sicurezza degli endpoint che abbiamo implementato funzionano?
  • Come lo stiamo dimostrando / misurando nel tempo?
  • Ci confrontiamo ogni tanto con gli altri colleghi del settore?
  • Cosa dovremmo fare per migliorare?
  • Non potendo fare tutto quel che si dovrebbe fare, quali sono le attività prioritarie?

Rispondere periodicamente a queste domande dovrebbe essere una voce importante dell’agenda ideale della direzione aziendale.

@RIPRODUZIONE RISERVATA



Source link

You must be logged in to post a comment.