Cybersecurity

Endpoint Protection: perché è importante, come funziona e cosa considerare

17 Febbraio 2022

Non passa giorno senza che venga data notizia di un attacco informatico, di un nuovo malware o un nuovo ransomware.

Il mercato, consapevole di questo scenario, sforna prodotti in continuazione, introducendo nuove tecnologie e buone “sigle”.

In maniera particolare nel mondo della protezione degli endpoint si sono avvicendati, e lo continuano a fare, una serie di acronimi che se da un lato rappresentano nuove tecnologie, dall’altro rischiano di lasciare chi si occupa di IT in uno stato di incertezza.

Una delle espressioni più diffuse è EDR, da qui l’idea di fare chiarezza in un episodio di RadioAchab, ma possiamo trovare anche AV, EPP, MDR, XDR: in questo articolo ci concentreremo su EPP (ma non solo).

L’endpoint protection, per gli amici endpoint security, prevede l’uso di strumenti e processi di sicurezza avanzati per proteggere i vari endpoint connessi a una rete aziendale come server, workstation e dispositivi mobili. L’obiettivo dell’endpoint protection è impedire ai criminali informatici di rubare o alterare dati e applicazioni aziendali preziosi o di manomettere la rete aziendale. Secondo IBM, il costo totale medio di un data breach ha raggiunto i 4,24 milioni di dollari nel 2021, il più alto degli ultimi sette anni.

Gli strumenti di protezione degli endpoint odierni combinano le funzionalità di antivirus e antimalware con le capacità delle tecnologie di nuova generazione come l’automazione, il cloud computing e il monitoraggio remoto, così da fornire una sicurezza della rete e degli endpoint completa.

In questo articolo, faremo luce sul motivo per cui la sicurezza degli endpoint è un requisito essenziale per le aziende, soprattutto in tempi come questi dove gli attacchi informatici sono dilaganti e catastrofici. Parleremo anche dei vantaggi dell’endpoint protection, discuteremo di come funziona e approfondiremo le funzionalità che deve avere buona soluzione di protezione degli endpoint.

Che cos’è l’Endpoint Protection?

Gli endpoint possono essere usati dai criminali informatici come porte per accedere alla rete di un’azienda. Man mano che le aziende crescono e collegano più dispositivi alla loro rete, anche il rischio di un attacco informatico aumenta proporzionalmente.

Ecco perché le aziende dovrebbero monitorare tutti i loro endpoint alla ricerca di anomalie e comportamenti sospetti al fine di contenere le minacce prima che si trasformino in un disastro e interrompano le attività aziendali.

Per fortuna, le aziende possono acquistare sofisticati strumenti di sicurezza integrati in grado di monitorare in remoto i processi di esecuzione e i file log presenti sui vari endpoint, analizzare le varianze e correggere automaticamente gli incidenti. Questi strumenti sono comunemente noti come Endpoint Protection Platform (EPP) e combinano in un unico pacchetto le funzionalità di vari prodotti di sicurezza come antivirus e antimalware, firewall, antispyware e sistemi di prevenzione delle intrusioni. Si prevede che il mercato globale della sicurezza degli endpoint continuerà a crescere fino a superare i 19 miliardi di dollari nel 2025.

Inoltre, per permettere alle aziende una più facile gestione dei vari componenti di sicurezza, alcune piattaforme EPP sono in grado di gestire le vulnerabilità, le patch e le configurazioni; in più hanno funzionalità di crittografia e di backup e disaster recovery, solo per citarne alcune. Fornendo una protezione completa degli endpoint, una buona soluzione EPP non solo impedisce a malware, worm, trojan e altri software intrusivi di penetrare negli endpoint, ma aiuta anche a mantenerne un livello elevato di salute e funzionalità.

Un esempio di Endpoint?

Gli endpoint sono dispositivi connessi a una rete aziendale e possono comunicare con essa e con gli altri endpoint presenti. Tra gli endpoint più comuni possiamo trovare: laptop, desktop, server, workstation, tablet, smartphone, dispositivi IOT, switch di rete, modem, router, stampanti, sistemi POS e dispositivi BYOD (Bring your own device).

Perché l’Endpoint Protection è importante?

Con l’aumento del lavoro a distanza e dei modelli di lavoro ibridi, gli endpoint non sono più limitati all’ufficio. I dipendenti si connettono ai server aziendali utilizzando una varietà di reti (Wi-Fi, 4G) e da varie postazioni remote. Negli ultimi anni gli endpoint sono diventati più vulnerabili alla criminalità informatica e i criminali informatici hanno sfruttato queste vulnerabilità per eseguire codice dannoso e lanciare attacchi. Secondo un report di IBM, il costo totale medio di un data breach legato al lavoro a distanza è stato superiore di oltre 1 milione di dollari rispetto agli incidenti in cui il lavoro remoto non ha influito.

I criminali prendono di mira gli endpoint per:

  • usarli come punti di ingresso e di uscita da una rete aziendale;
  • accedere alle informazioni archiviate sugli endpoint;
  • lanciare attacchi DDoS che sovraccaricano i server, bloccando le aziende per ore.

Il perimetro di sicurezza è sempre meno definito, quindi le aziende hanno bisogno di maggiore visibilità e controllo sui propri endpoint. Richiedono strumenti che consentano loro di monitorare, supervisionare e proteggere anche gli endpoint off-premise. Inoltre, l’endpoint protection è importante tanto per le piccole e medie imprese (PMI) quanto per le grandi aziende. I criminali informatici spesso sfruttano il fatto che le PMI non si considerano potenziali bersagli degli attacchi e quindi non implementano misure di sicurezza adeguate, lasciando i loro endpoint vulnerabili e non protetti.

Secondo il report Verizon 2021 Data Breach Investigations, nel 2020 le piccole aziende hanno rappresentato meno della metà del numero di violazioni rispetto alle grandi. Tuttavia, nel 2021, il divario tra le due è diminuito con le grandi aziende che hanno subito 307 violazioni rispetto alle 263 delle piccole. Qualsiasi azienda, indipendentemente dalle dimensioni o dal settore, dovrebbe dare la priorità alla protezione degli endpoint.

I criminali informatici possono sfruttare un endpoint non protetto per entrare in una rete e rubare informazioni riservate. Oltre al furto, gli hacker possono spiare l’azienda e/o chiedere un riscatto per dati rubati o crittografati, ma le attività criminali che potrebbero influire negativamente sul business di un’azienda e sulla sua reputazione sono numerose.

Quali sono i vantaggi dell’Endpoint Protection?

Uno strumento di protezione degli endpoint presenta numerosi e fondamentali vantaggi per garantire la business continuity. Le aziende possono beneficiare della protezione degli endpoint nei seguenti modi:

  • Gestione unificata della sicurezza. Il moderno sistema di protezione degli endpoint elimina i tradizionali sistemi di sicurezza in “silos” in cui gli endpoint sono gestiti separatamente. Oltre a richiedere molto tempo, il vecchio processo creava notevoli lacune nella sicurezza, difficili da identificare. Un moderno strumento di endpoint security consente agli amministratori di sistema di gestire centinaia di endpoint da un’unica interfaccia. Con una maggiore comprensione degli endpoint e della mappa di rete, i punti deboli possono essere identificati e affrontati rapidamente.
  • Protezione contro i principali vettori di minacce. Esistono diversi vettori di attacco che i criminali informatici utilizzano per inviare payload dannosi al sistema di una vittima. Credenziali compromesse, email di phishing e crittografia errata o mancante sono esempi di vettori di attacco. Uno strumento di protezione degli endpoint può identificarli e neutralizzarli efficacemente.
  • Gestione semplificata della sicurezza. Grazie alla potenza dell’automazione, gli strumenti di endpoint protection possono eseguire svariate attività di sicurezza senza richiedere l’intervento umano. Questi strumenti consentono ai tecnici di fornire, registrare, gestire e aggiornare centinaia di endpoint con un semplice clic. Questo non solo rende l’intero processo di sicurezza molto più efficiente e con maggiore percentuale di successo, ma consente anche agli esperti IT di concentrarsi su attività di alto valore e business-critical.
  • Migliore resilienza aziendale. Per rimanere competitive, le aziende devono implementare misure di sicurezza rigorose, soprattutto quando la forza lavoro è dispersa, gli ambienti di lavoro sono vari e la criminalità informatica aumenta a un ritmo senza precedenti. Gli attacchi informatici sono inevitabili. I giusti strumenti di protezione degli endpoint possono aiutarti a proteggere i tuoi dati e i Digital Forensics & Incident Response (DFIR) possono anche aiutarti a recuperare rapidamente i dati interessati.
  • Reputazione aziendale: secondo il Ponemon Institute, un data breach costa in media circa 4 milioni di dollari. Tuttavia, il danno che una violazione può causare al tuo business o alla tua reputazione è di gran lunga maggiore. In seguito a un data breach, il 60% delle aziende fallisce o va in bancarotta.

Nell’attuale clima economico, i clienti preferiscono fare affari con aziende che dispongono di misure di sicurezza efficaci e conformi alle principali linee guida. L’uso di uno strumento di endpoint protection non è più un’opzione ma una necessità.

Come funziona l’Endpoint Protection?

I requisiti di sicurezza di un’azienda variano a seconda della sua attività. Uno strumento di EPP può consentire alle aziende di sfruttare le policy per raggiungere il livello di sicurezza richiesto. Ad esempio, gli amministratori IT possono utilizzare gli strumenti di endpoint protection per bloccare l’accesso ai siti che ospitano malware o altri contenuti dannosi. Inoltre, in caso di attacco informatico, ad esempio, quando un dipendente scarica un file dannoso da un’email di phishing, una soluzione endpoint identifica rapidamente l’endpoint infetto e lo isola dal resto della rete mentre tenta di risolvere il problema.

Con la digitalizzazione in rapida crescita, la svolta saranno quelle soluzioni di gestione degli endpoint basate su cloud che monitorano, proteggono e prevengono continuamente le minacce su ciascun endpoint. Le ultime funzionalità di euristica comportamentale analizzano file ed eseguibili, bloccando le minacce in modo proattivo e predittivo in tempo reale. Pertanto, le soluzioni di nuova generazione sono significativamente più efficaci nella protezione degli endpoint rispetto a quelle più tradizionali e reattive.

Endpoint Protection vs. Antivirus

Gli antivirus utilizzano funzionalità di rilevamento e prevenzione delle minacce basate sulle firme per impedire a malware, come virus, spyware, bot e trojan, di accedere alla rete di un’azienda. Una firma è qualsiasi tipo di pattern o footprint lasciato da un attacco dannoso. Questi strumenti abbinano le firme ai comportamenti insoliti come l’esecuzione di software non autorizzati, l’accesso alla rete, l’accesso alla directory o la sequenza di byte di un file. Il passo successivo è neutralizzare l’attacco se le firme corrispondono.

Le aziende che producono antivirus continuano ad aggiornare i loro database delle firme in modo che la loro soluzione possa fornire protezione contro un’ampia gamma di minacce. Tuttavia, i progressi tecnologici hanno reso gli attacchi informatici privi di firme e file. È qui che gli AV falliscono ed è qui che soluzioni di endpoint protection intervengono per salvare la situazione. Una soluzione di gestione degli endpoint combina funzionalità di sicurezza antivirus con altre funzioni di sicurezza come sandboxing, prevenzione della perdita di dati, firewall di nuova generazione e data recovery avanzato.

Endpoint Protection vs. Endpoint Detection & Response (EDR)

EDR è il successore dei software di sicurezza EPP e AV. Rispetto a EPP, EDR fa un ulteriore passo in avanti nelle procedure di sicurezza grazie alle sue capacità forensi e di analisi dei dati.

Gli strumenti EDR identificano e rispondono alle minacce informatiche prima che si verifichino o mentre sono in corso. Inoltre, sono in grado di rilevare malware con codici polimorfici che possono non essere rilevati dagli strumenti di sicurezza tradizionali. L’obiettivo di una soluzione EDR è identificare le minacce attive e potenziali che non vengono rilevate dagli antivirus tradizionali, come gli attacchi zero-day e gli attacchi malware senza file, e rispondere rapidamente.

Gli EDR sono inoltre dotati di machine learning e strumenti di analisi integrati in grado di identificare e neutralizzare una minaccia nelle prime fasi di un attacco. Questa funzionalità gli consente di studiare i comportamenti delle minacce nuove ed emergenti e di prepararsi in anticipo.

Cosa devo cercare in un’Endpoint Protection?

Può essere fonte di confusione capire quale soluzione endpoint scegliere tra quelle presenti sul mercato. Per prima cosa dovrebbe operare in background senza interferire con le attività quotidiane dell’azienda.

Di seguito ti elenco alcune delle altre funzionalità che dovresti cercare quando acquisti una soluzione endpoint.

  • Scegli la soluzione giusta per la tua attività: le soluzioni basate sul cloud sono moderne e ideali per le aziende che desiderano scalare ed espandersi rapidamente. Queste soluzioni sono flessibili da usare e ideali per ambienti remoti e ibridi. In alternativa, le soluzioni on-premise sono ideali per le aziende che operano nei settori finanziario, governativo, sanitario e in tutti quei settori dove i requisiti normativi e di privacy sono critici. È anche possibile combinare i due per ottenere i risultati migliori.
  • Ottima capacità di prevenzione del rischio: gli strumenti di endpoint detection dovrebbero disporre di funzionalità di rilevamento del malware di nuova generazione, in modo che gli attacchi informatici possano essere rilevati e bloccati già in fase di ingresso. Inoltre, le capacità di prevenzione analizzano i rischi a cui i tuoi endpoint sono più vulnerabili e adottano misure rigorose per prevenirli. Dopotutto, prevenire è meglio che curare.
  • Ottima capacità di rilevamento del rischio: esistono attacchi informatici sofisticati che possono eludere anche gli strumenti di nuova generazione che utilizziamo ogni giorno. Puoi verificare il tasso di rilevamento della tua soluzione di endpoint protection osservando i test condotti e pubblicati da altre aziende. Diversi fornitori offrono anche dei malware per testare le capacità di rilevamento del tuo strumento di sicurezza degli endpoint.
  • Tempo di rilevamento rapido: il tempo di rilevamento è importante tanto quanto le capacità di rilevamento. Un buon sistema di protezione degli endpoint dovrebbe rilevare rapidamente violazioni e incidenti. Un ritardo in questa fase potrebbe comportare danni irreparabili all’infrastruttura IT, ai database e alle applicazioni, traducendosi in una perdita economica e di reputazione.
  • Bassi tassi di falsi positivi: un falso positivo si verifica quando un sistema di sicurezza genera un avviso per un file non dannoso. Ciò significa che il file deve essere esaminato e studiato, il che richiederà risorse. Un prodotto che continua a segnalare falsi positivi ti costringerà a perdere tempo per delle minacce inesistenti e a ripristinare sistemi che non ne hanno bisogno. Porterà inoltre a una perdita di fiducia nella soluzione.
  • Automazione: secondo il Cost of Data Breach Report di IBM, nel 2021 le aziende senza un’automazione della sicurezza hanno riscontrato una media dei costi di violazione di 6,71 milioni di dollari rispetto ai 2,90 milioni delle aziende con automazione della sicurezza integrata. L’automazione gestisce diverse attività che in precedenza venivano eseguite manualmente, rendendo il lavoro più semplice e privo di errori e facendo quindi risparmiare alle aziende una grande quantità di denaro. Le funzionalità di automazione nell’endpoint protection consentono agli amministratori di automatizzare varie attività di sicurezza, dando ai tecnici più tempo per concentrarsi sulle attività business-critical.
  • Funzionalità di sandbox: questa tecnica identifica e separa i file sospetti per analizzarli in un ambiente in quarantena. In sostanza, il sandboxing è come mettere i file dannosi dietro le sbarre per impedirgli di contaminare una rete IT o un’intera infrastruttura.
  • Funzionalità di monitoraggio costante: le soluzioni di endpoint detection dovrebbero fornire lo stesso livello di sicurezza ogni giorno e a ogni ora, poiché gli attacchi informatici sono imprevedibili e possono verificarsi in qualsiasi momento.
  • Interfaccia facile da usare: le moderne soluzioni per endpoint offrono un’interfaccia utente centralizzata che consente ai tecnici IT di gestire tutto da un’unica schermata. Detto questo, se l’interfaccia è piena di problemi e glitch, ostacola la gestione degli endpoint e di conseguenza compromette la sicurezza.

Per concludere, possiamo dire con certezza che, nel mondo degli MSP, la proattività gioca un ruolo fondamentale, sempre. E nel mondo degli antivirus e della sicurezza, giocare d’anticipo è necessario per non essere “bucati”.

Anche se una soluzione di endpoint protection è solitamente considerata uno strumento preventivo, ci sono dei casi in cui un MSP può usarla in maniera efficace per fare un’analisi accurata di quanto è già successo.

Abbiamo preparato un webinar on demand per parlare proprio di come usare questa soluzione nei casi in cui i clienti hanno già fatto danni.

Guarda il Webinar On Demand

Fonte: blog di Kaseya

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per restare aggiornato su tutte le nostre iniziative