Che cos'è l'endpoint security?

Che cos'è l'endpoint security?

La endpoint security, la prima linea di difesa della cybersecurity di una rete, protegge gli utenti finali e i dispositivi endpoint (desktop, laptop, dispositivi mobili, server e altri) dagli attacchi informatici.

La endpoint security protegge inoltre la rete dagli avversari che tentano di utilizzare i dispositivi endpoint per lanciare attacchi informatici ai dati sensibili e ad altri asset della rete.

Gli endpoint restano il principale punto di accesso alla rete aziendale per gli attacchi informatici. Diversi studi stimano che circa il 90% degli attacchi informatici andati a buon fine e il 70% delle violazioni dei dati andate a buon fine abbiano origine nei dispositivi endpoint. Secondo il report Cost of a Data Breach di IBM, una violazione dei dati costa in media alle aziende 4,88 milioni di dollari.

Oggi le aziende devono proteggere più endpoint e più tipologie di endpoint rispetto al passato. Le politiche Bring-Your-Own-Device (BYOD), l'aumento del lavoro da remoto e la crescita del numero di dispositivi IoT, di dispositivi rivolti ai clienti e di prodotti connessi alla rete, hanno moltiplicato gli endpoint che gli hacker possono sfruttare e le vulnerabilità che i team di sicurezza devono proteggere.

Newsletter Think

Il tuo team sarebbe in grado di rilevare in tempo il prossimo zero-day?

Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'informativa sulla privacy IBM.

https://www.ibm.com/it-it/privacy

Software antivirus

Il software di sicurezza degli endpoint originale, ovvero il software antivirus, protegge gli endpoint dalle forme note di malware: trojan, worm, adware e altro.

Il software antivirus tradizionale analizzava i file su un dispositivo endpoint alla ricerca di firme di malware, ovvero stringhe di byte caratteristiche di virus o malware noti. Il software avvisava l'utente o l'amministratore quando veniva rilevato un virus e forniva strumenti per isolare e rimuovere il virus e riparare eventuali file infetti.

I software antivirus moderni, spesso chiamati antivirus di nuova generazione (NGAV), sono in grado di identificare e combattere i nuovi tipi di malware, incluso il malware che non lascia alcuna firma. Ad esempio, un NGAV è in grado di rilevare malware fileless, ovvero malware che risiede nella memoria e inietta script dannosi nel codice di applicazioni legittime. Un NGAV è anche in grado di identificare attività sospette utilizzando l'euristica, che confronta i modelli di comportamento sospetto con quelli dei virus noti, e la scansione di integrità, che scansiona i file alla ricerca di segni di infezione da virus o malware.

Piattaforme di protezione degli endpoint (EPP)

Un software antivirus da solo può essere sufficiente a proteggere un numero limitato di endpoint. Tutto ciò che va oltre richiede in genere una piattaforma di protezione aziendale, o EPP. Una EPP combina l'NGAV con altre soluzioni di endpoint security, tra cui:

  • Controllo web: talvolta chiamato filtro web, questo software protegge gli utenti e l'organizzazione da codice dannoso nascosto nei siti web o nei file scaricati dagli utenti. Il software di controllo web include anche funzionalità di whitelist e blacklist che consentono a un team addetto alla sicurezza di controllare quali siti possono visitare gli utenti.

  • Classificazione dei dati e prevenzione della perdita di dati: queste tecnologie documentano dove vengono archiviati i dati sensibili, sia nel cloud che on-premise, e impediscono l'accesso non autorizzato o la divulgazione di tali dati.

  • Firewall integrati: questi firewall sono hardware o software che rafforzano la sicurezza della rete impedendo il traffico non autorizzato in entrata e in uscita dalla rete.

  • E-mail gateway: questi gateway sono software che controllano le e-mail in arrivo per bloccare gli attacchi di phishing e ingegneria sociale.

  • Controllo delle applicazioni: questa tecnologia consente ai team di sicurezza di monitorare e controllare l'installazione e l'uso delle applicazioni sui dispositivi e può bloccare l'uso e l'esecuzione di app non sicure o non autorizzate.

Una EPP integra queste soluzioni per gli endpoint in una console di gestione centrale, in cui i team di sicurezza o gli amministratori di sistema possono monitorare e gestire la sicurezza di tutti gli endpoint. Ad esempio, una EPP può assegnare gli strumenti di sicurezza appropriati a ciascun endpoint, aggiornare o applicare patch a tali strumenti secondo necessità e amministrare le politiche di sicurezza aziendali.

Le EPP possono essere on-premise o basate sul cloud. Tuttavia, l'analista di settore Gartner (link esterno a ibm.com), che per primo ha definito la categoria EPP, osserva che "le soluzioni EPP ideali sono principalmente gestite nel cloud e consentono il monitoraggio e la raccolta continui di dati sulle attività, oltre a offrire la possibilità di intraprendere azioni di correzione da remoto, indipendentemente dal fatto che l'endpoint si trovi sulla rete aziendale o al di fuori dell'ufficio".

EDR (Endpoint Detection and Response)

Le EPP si concentrano sulla prevenzione di minacce note o di minacce che si comportano in modi noti. Un'altra classe di soluzioni di endpoint security, chiamata rilevamento e risposta degli endpoint (EDR), consente ai team addetti alla sicurezza di rispondere alle minacce che sfuggono agli strumenti preventivi di endpoint security.

Le soluzioni EDR monitorano continuamente i file e le applicazioni che entrano in ogni dispositivo, alla ricerca di attività sospette o dannose che indichino malware, ransomware o minacce avanzate. Inoltre, l'EDR raccoglie continuamente dati di sicurezza e telemetria dettagliati, memorizzandoli in un data lake dove possono essere utilizzati per analisi in tempo reale, analisi della causa principale, rilevamento delle minacce e molto altro.

L'EDR include in genere analisi avanzate, analisi comportamentale, intelligenza artificiale (AI) e machine learning, funzionalità di automazione, avvisi intelligenti e funzionalità di analisi e correzione che consentono ai team di sicurezza di:

  • Correlare gli indicatori di compromissione (IOC) e altri dati di endpoint security con i feed di threat intelligence per rilevare le minacce avanzate in tempo reale.

  • Ricevere notifiche di attività sospette o di minacce effettive in tempo reale, insieme a dati contestuali che possono aiutare a isolare le cause principali e accelerare l'analisi delle minacce.

  • Eseguire l'analisi statica (analisi del codice che si sospetta sia dannoso o infetto) o l'analisi dinamica (esecuzione del codice sospetto in isolamento).

  • Impostare delle soglie per i comportamenti degli endpoint e degli avvisi quando tali soglie vengono superate.

  • Automatizzare le risposte, come la disconnessione e la messa in quarantena di singoli dispositivi o il blocco di processi, per limitare i danni fino alla risoluzione della minaccia.

  • Determinare se altri dispositivi endpoint sono stati colpiti dallo stesso affatto informatico.

Molte EPP più recenti o più avanzate includono alcune funzionalità EDR, ma per una protezione completa degli endpoint che comprenda prevenzione e risposta, la maggior parte delle aziende dovrebbe utilizzare entrambe le tecnologie.

Rilevamento e risposta estesi (XDR)

Extended detection and response, o XDR, estende il modello EDR di rilevamento e risposta alle minacce a tutte le aree o livelli dell'infrastruttura, proteggendo non solo i dispositivi endpoint ma anche le applicazioni, i database e lo storage, le reti e i workload sul cloud. XDR è un'offerta SaaS (Software-as-a-Service) che protegge le risorse on-premise e nel cloud. Alcune piattaforme XDR integrano prodotti di sicurezza di un unico fornitore o provider di servizi cloud, ma le migliori consentono anche alle organizzazioni di aggiungere e integrare le soluzioni di sicurezza che preferiscono.
Soluzioni correlate
Soluzioni di sicurezza aziendale

Trasforma il tuo programma di sicurezza con le soluzioni offerte dal più grande provider di sicurezza aziendale.

 Esplora le soluzioni di cybersecurity
Servizi di cybersecurity

Trasforma il tuo business e gestisci i rischi con la consulenza sulla cybersecurity, il cloud e i servizi di sicurezza gestiti.

         Scopri i servizi di sicurezza informatica
    Cybersecurity dell'intelligenza artificiale (AI)

    Migliora la velocità, l'accuratezza e la produttività dei team di sicurezza con soluzioni di cybersecurity basate sull'AI.

         Esplora la cybersecurity dell'AI
    Fai il passo successivo

    Che tu abbia bisogno di soluzioni di sicurezza dei dati, di gestione degli endpoint, o di gestione delle identità e degli accessi (IAM), i nostri esperti sono pronti a collaborare con te per farti raggiungere un solido livello di sicurezza.Trasforma il tuo business e gestisci i rischi con un leader a livello globale nel campo della consulenza per la cybersecurity, del cloud e dei servizi di sicurezza gestiti.

         Esplora le soluzioni di cybersecurity Scopri i servizi di cybersecurity