My IBM Accedi Iscriviti

Home

topics

Sicurezza degli endpoint

Che cos'è l'endpoint security?

Che cos'è l'endpoint security?

Esplora la soluzione di endpoint security di IBM Registrati per ricevere aggiornamenti sulla sicurezza
Illustrazione con collage di pittogrammi di nuvole, telefono cellulare, impronta digitale, segno di spunta
Che cos'è l'endpoint security?

Che cos'è l'endpoint security?

La endpoint security, la prima linea di difesa della cybersecurity di una rete, protegge gli utenti finali e i dispositivi endpoint (desktop, laptop, dispositivi mobili, server e altri) dagli attacchi informatici.

La endpoint security protegge inoltre la rete dagli avversari che tentano di utilizzare i dispositivi endpoint per lanciare attacchi informatici ai dati sensibili e ad altri asset della rete.

Gli endpoint restano il principale punto di accesso alla rete aziendale per gli attacchi informatici. Diversi studi stimano che circa il 90% degli attacchi informatici riusciti e il 70% delle violazioni dei dati riuscite abbiano origine nei dispositivi endpoint. Secondo il report Cost of a Data Breach di IBM, una violazione dei dati costa in media alle aziende 4,88 milioni di dollari.

Oggi le aziende devono proteggere più endpoint e più tipologie di endpoint rispetto al passato. Le politiche Bring-Your-Own-Device (BYOD), l'aumento del lavoro da remoto e la crescita del numero di dispositivi IoT, di dispositivi rivolti ai clienti e di prodotti connessi alla rete, hanno moltiplicato gli endpoint che gli hacker possono sfruttare e le vulnerabilità che i team di sicurezza devono proteggere.

 

Gestione unificata degli endpoint e protezione

Gli analisti senior di ESG spiegano come le organizzazioni possono assicurarsi di effettuare i giusti investimenti per una soluzione di unified endpoint management (UEM) e di sicurezza che funzioni per tutti i team e in tutti i luoghi.

Contenuti correlati Registrati per il report Cost of a Data Breach
Scopri di più sull'UEM per i lavoratori in prima linea
Software antivirus

Software antivirus

Il software originale di endpoint security, il software antivirus, protegge gli endpoint dalle forme note di malware, come trojan, worm, adware e altro ancora.

Il software antivirus tradizionale analizzava i file su un dispositivo endpoint alla ricerca di firme di malware, ovvero stringhe di byte caratteristiche di virus o malware noti.  Il software avvisava l'utente o l'amministratore quando veniva rilevato un virus e forniva strumenti per isolare e rimuovere il virus e riparare eventuali file infetti.

I software antivirus odierni, spesso chiamati antivirus di nuova generazione (NGAV), sono in grado di identificare e combattere i nuovi tipi di malware, inclusi i malware che non lasciano alcuna firma. Ad esempio, un NGAV è in grado di rilevare malware fileless, ovvero malware che risiedono nella memoria e iniettano script dannosi nel codice di applicazioni legittime. L'NGAV è anche in grado di identificare attività sospette utilizzando l'euristica, che confronta i modelli di comportamento sospetto con quelli dei virus noti, e la scansione di integrità, che analizza i file alla ricerca di segni di infezione da virus o malware.

Piattaforme di protezione degli endpoint (EPP)

Piattaforme di protezione degli endpoint (EPP)

Un software antivirus da solo può essere sufficiente a proteggere un numero limitato di endpoint. Tutto ciò che va oltre richiede in genere una piattaforma di protezione aziendale, o EPP. Una EPP combina l'NGAV con altre soluzioni di endpoint security, tra cui:

  • Controllo web: talvolta chiamato filtro web, questo software protegge gli utenti e l'organizzazione da codice dannoso nascosto nei siti web o nei file scaricati dagli utenti. Il software di controllo web include anche funzionalità di whitelist e blacklist che consentono a un team di sicurezza di controllare quali siti possono visitare gli utenti.
  • Classificazione dei dati e prevenzione della perdita di dati: queste tecnologie documentano dove vengono archiviati i dati sensibili, sia nel cloud che on-premise, e impediscono l'accesso non autorizzato o la divulgazione di tali dati.
  • Firewall integrati: questi firewall sono hardware o software che rafforzano la sicurezza della rete impedendo il traffico non autorizzato in entrata e in uscita dalla rete.
  • E-mail gateway: questi gateway sono software che controllano le e-mail in arrivo per bloccare gli attacchi di phishing e ingegneria sociale.
  • Controllo delle applicazioni: questa tecnologia consente ai team di sicurezza di monitorare e controllare l'installazione e l'uso delle applicazioni sui dispositivi e può bloccare l'uso e l'esecuzione di app non sicure o non autorizzate.

Una EPP integra queste soluzioni per gli endpoint in una console di gestione centrale, in cui i team di sicurezza o gli amministratori di sistema possono monitorare e gestire la sicurezza di tutti gli endpoint. Ad esempio, una EPP può assegnare gli strumenti di sicurezza appropriati a ciascun endpoint, aggiornare o applicare patch a tali strumenti secondo necessità e amministrare le politiche di sicurezza aziendali.

Le EPP possono essere on-premise o basate sul cloud. Ma l'analista del settore Gartner (link esterno a ibm.com), che per primo ha definito la categoria EPP, osserva che "le soluzioni EPP ideali sono principalmente gestite nel cloud e consentono il monitoraggio e la raccolta continui di dati sulle attività, oltre a offrire la possibilità di intraprendere azioni di correzione da remoto, indipendentemente dal fatto che l'endpoint si trovi sulla rete aziendale o al di fuori dell'ufficio".

 

EDR (Endpoint Detection and Response)

EDR (Endpoint Detection and Response)

Le EPP si concentrano sulla prevenzione di minacce note o di minacce che si comportano in modi noti. Un'altra classe di soluzioni di endpoint security, chiamata rilevamento e risposta degli endpoint (EDR), consente ai team di sicurezza di rispondere alle minacce che sfuggono agli strumenti preventivi di endpoint security. 

Le soluzioni EDR monitorano continuamente i file e le applicazioni che entrano in ogni dispositivo, alla ricerca di attività sospette o dannose che indichino malware, ransomware o minacce avanzate. Inoltre, l'EDR raccoglie continuamente dati di sicurezza e telemetria dettagliati, memorizzandoli in un data lake dove possono essere utilizzati per analisi in tempo reale, analisi della causa principale, rilevamento delle minacce e altro ancora.

L'EDR include in genere analisi avanzate, analisi comportamentale, intelligenza artificiale (AI) e machine learning, funzionalità di automazione, avvisi intelligenti e funzionalità di analisi e correzione che consentono ai team di sicurezza di:

  • Correlare gli indicatori di compromissione (IOC) e altri dati di endpoint security con i feed di threat intelligence per rilevare le minacce avanzate in tempo reale.
  • Ricevere notifiche di attività sospette o di minacce effettive in tempo reale, insieme a dati contestuali che possono aiutare a isolare le cause principali e accelerare l'analisi delle minacce. 
  • Eseguire l'analisi statica (analisi del codice che si sospetta sia dannoso o infetto) o l'analisi dinamica (esecuzione del codice sospetto in isolamento).
  • Impostare delle soglie per i comportamenti degli endpoint e degli avvisi quando tali soglie vengono superate.
  • Automatizzare le risposte, come la disconnessione e la messa in quarantena di singoli dispositivi o il blocco di processi, per limitare i danni fino alla risoluzione della minaccia.
  • Determinare se altri dispositivi endpoint sono stati colpiti dallo stesso affatto informatico.

Molte EPP più recenti o più avanzate includono alcune funzionalità EDR, ma per una protezione completa degli endpoint che comprenda prevenzione e risposta, la maggior parte delle aziende dovrebbe utilizzare entrambe le tecnologie.

Rilevamento e risposta estesi (XDR)

Rilevamento e risposta estesi (XDR)

Extended detection and response, o XDR, estende il modello EDR di rilevamento e risposta alle minacce a tutte le aree o livelli dell'infrastruttura, proteggendo non solo i dispositivi endpoint ma anche le applicazioni, i database e lo storage, le reti e i workload sul cloud. XDR è un'offerta SaaS (Software-as-a-Service) che protegge le risorse on-premise e nel cloud. Alcune piattaforme XDR integrano prodotti di sicurezza di un unico fornitore o provider di servizi cloud, ma le migliori consentono anche alle organizzazioni di aggiungere e integrare le soluzioni di sicurezza che preferiscono.

Soluzioni correlate

Soluzioni correlate

Servizi di gestione della sicurezza degli endpoint

Gestione evoluta degli endpoint per proteggere gli utenti finali e i loro dispositivi dalle più recenti minacce alla sicurezza informatica.

Esplora i servizi di gestione della sicurezza degli endpoint
MSS (Managed Security Services)

Gli specialisti di IBM Security sono i tuoi consulenti di fiducia, capaci di soddisfare le tue esigenze di sicurezza, dalle più semplici alle più complesse.

Esplora i servizi per la sicurezza gestiti
Soluzioni di gestione unificata degli endpoint (UEM)

Un'unica soluzione UEM offre un accesso più sicuro, un rischio di vulnerabilità ridotto e un'esperienza utente soddisfacente.

Esplora le soluzioni UEM
Risorse

Risorse

MDM e MAM: le 5 principali differenze

Scopri le differenze tra mobile device management (MDM) e mobile application management (MAM), due componenti fondamentali dell’unified endpoint management (UEM).

Workshop IBM Security Framing and Discovery

Comprendi lo scenario di sicurezza della tua azienda e assegna priorità alle iniziative insieme ad architetti e consulenti IBM esperti in una sessione gratuita di design thinking, virtuale o di persona, della durata di tre ore.

X-Force Threat Intelligence Index

Conoscere le tattiche degli hacker è fondamentale per proteggere persone, dati e infrastrutture.

Fai il passo successivo

Poiché i modelli di lavoro flessibile sono diventati la nuova norma, i dipendenti devono rimanere produttivi ovunque lavorino e con qualsiasi dispositivo, in modo protetto. Dalla gestione degli endpoint alla sicurezza nativa, IBM Security MaaS360 offre una soluzione UEM

Scopri MaaS360 Prenota una demo live