Home
topics
Sicurezza degli endpoint
La endpoint security, la prima linea di difesa della cybersecurity di una rete, protegge gli utenti finali e i dispositivi endpoint (desktop, laptop, dispositivi mobili, server e altri) dagli attacchi informatici.
La endpoint security protegge inoltre la rete dagli avversari che tentano di utilizzare i dispositivi endpoint per lanciare attacchi informatici ai dati sensibili e ad altri asset della rete.
Gli endpoint restano il principale punto di accesso alla rete aziendale per gli attacchi informatici. Diversi studi stimano che circa il 90% degli attacchi informatici riusciti e il 70% delle violazioni dei dati riuscite abbiano origine nei dispositivi endpoint. Secondo il report Cost of a Data Breach di IBM, una violazione dei dati costa in media alle aziende 4,88 milioni di dollari.
Oggi le aziende devono proteggere più endpoint e più tipologie di endpoint rispetto al passato. Le politiche Bring-Your-Own-Device (BYOD), l'aumento del lavoro da remoto e la crescita del numero di dispositivi IoT, di dispositivi rivolti ai clienti e di prodotti connessi alla rete, hanno moltiplicato gli endpoint che gli hacker possono sfruttare e le vulnerabilità che i team di sicurezza devono proteggere.
Gli analisti senior di ESG spiegano come le organizzazioni possono assicurarsi di effettuare i giusti investimenti per una soluzione di unified endpoint management (UEM) e di sicurezza che funzioni per tutti i team e in tutti i luoghi.
Il software originale di endpoint security, il software antivirus, protegge gli endpoint dalle forme note di malware, come trojan, worm, adware e altro ancora.
Il software antivirus tradizionale analizzava i file su un dispositivo endpoint alla ricerca di firme di malware, ovvero stringhe di byte caratteristiche di virus o malware noti. Il software avvisava l'utente o l'amministratore quando veniva rilevato un virus e forniva strumenti per isolare e rimuovere il virus e riparare eventuali file infetti.
I software antivirus odierni, spesso chiamati antivirus di nuova generazione (NGAV), sono in grado di identificare e combattere i nuovi tipi di malware, inclusi i malware che non lasciano alcuna firma. Ad esempio, un NGAV è in grado di rilevare malware fileless, ovvero malware che risiedono nella memoria e iniettano script dannosi nel codice di applicazioni legittime. L'NGAV è anche in grado di identificare attività sospette utilizzando l'euristica, che confronta i modelli di comportamento sospetto con quelli dei virus noti, e la scansione di integrità, che analizza i file alla ricerca di segni di infezione da virus o malware.
Un software antivirus da solo può essere sufficiente a proteggere un numero limitato di endpoint. Tutto ciò che va oltre richiede in genere una piattaforma di protezione aziendale, o EPP. Una EPP combina l'NGAV con altre soluzioni di endpoint security, tra cui:
Una EPP integra queste soluzioni per gli endpoint in una console di gestione centrale, in cui i team di sicurezza o gli amministratori di sistema possono monitorare e gestire la sicurezza di tutti gli endpoint. Ad esempio, una EPP può assegnare gli strumenti di sicurezza appropriati a ciascun endpoint, aggiornare o applicare patch a tali strumenti secondo necessità e amministrare le politiche di sicurezza aziendali.
Le EPP possono essere on-premise o basate sul cloud. Ma l'analista del settore Gartner (link esterno a ibm.com), che per primo ha definito la categoria EPP, osserva che "le soluzioni EPP ideali sono principalmente gestite nel cloud e consentono il monitoraggio e la raccolta continui di dati sulle attività, oltre a offrire la possibilità di intraprendere azioni di correzione da remoto, indipendentemente dal fatto che l'endpoint si trovi sulla rete aziendale o al di fuori dell'ufficio".
Le EPP si concentrano sulla prevenzione di minacce note o di minacce che si comportano in modi noti. Un'altra classe di soluzioni di endpoint security, chiamata rilevamento e risposta degli endpoint (EDR), consente ai team di sicurezza di rispondere alle minacce che sfuggono agli strumenti preventivi di endpoint security.
Le soluzioni EDR monitorano continuamente i file e le applicazioni che entrano in ogni dispositivo, alla ricerca di attività sospette o dannose che indichino malware, ransomware o minacce avanzate. Inoltre, l'EDR raccoglie continuamente dati di sicurezza e telemetria dettagliati, memorizzandoli in un data lake dove possono essere utilizzati per analisi in tempo reale, analisi della causa principale, rilevamento delle minacce e altro ancora.
L'EDR include in genere analisi avanzate, analisi comportamentale, intelligenza artificiale (AI) e machine learning, funzionalità di automazione, avvisi intelligenti e funzionalità di analisi e correzione che consentono ai team di sicurezza di:
Molte EPP più recenti o più avanzate includono alcune funzionalità EDR, ma per una protezione completa degli endpoint che comprenda prevenzione e risposta, la maggior parte delle aziende dovrebbe utilizzare entrambe le tecnologie.
Extended detection and response, o XDR, estende il modello EDR di rilevamento e risposta alle minacce a tutte le aree o livelli dell'infrastruttura, proteggendo non solo i dispositivi endpoint ma anche le applicazioni, i database e lo storage, le reti e i workload sul cloud. XDR è un'offerta SaaS (Software-as-a-Service) che protegge le risorse on-premise e nel cloud. Alcune piattaforme XDR integrano prodotti di sicurezza di un unico fornitore o provider di servizi cloud, ma le migliori consentono anche alle organizzazioni di aggiungere e integrare le soluzioni di sicurezza che preferiscono.
Gestione evoluta degli endpoint per proteggere gli utenti finali e i loro dispositivi dalle più recenti minacce alla sicurezza informatica.
Gli specialisti di IBM Security sono i tuoi consulenti di fiducia, capaci di soddisfare le tue esigenze di sicurezza, dalle più semplici alle più complesse.
Un'unica soluzione UEM offre un accesso più sicuro, un rischio di vulnerabilità ridotto e un'esperienza utente soddisfacente.
Scopri le differenze tra mobile device management (MDM) e mobile application management (MAM), due componenti fondamentali dell’unified endpoint management (UEM).
Comprendi lo scenario di sicurezza della tua azienda e assegna priorità alle iniziative insieme ad architetti e consulenti IBM esperti in una sessione gratuita di design thinking, virtuale o di persona, della durata di tre ore.
Conoscere le tattiche degli hacker è fondamentale per proteggere persone, dati e infrastrutture.