Sicurezza degli endpoint, la prima linea critica di difesa della sicurezza informatica di una rete, protegge gli utenti finali e i dispositivi endpoint – desktop, laptop, dispositivi mobili, server – dagli attacchi informatici. La sicurezza degli endpoint protegge la rete anche da avversari che tentano di utilizzare i dispositivi endpoint per avviare attacchi informatici rivolti a dati sensibili e altri asset sulla rete.
Gli endpoint rimangono il punto di ingresso principale della rete aziendale per gli attacchi informatici. Diversi studi calcolano che fino al 90% degli attacchi informatici attuati con successo e fino al 70% delle violazioni di dati altrettanto riuscite hanno origine nei dispositivi endpoint. Secondo l'IBM® Security Cost of a Data Breach Report 2021, una violazione dei dati costa alle aziende in media 4,24 milioni di dollari.
Oggi, le aziende devono proteggere un numero di endpoint e di tipi di endpoint senza precedenti. Le politiche BYOD (Bring-your-own-device), l'aumento del lavoro da remoto e il numero crescente di dispositivi IoT, dispositivi visualizzabili dai clienti e prodotti connessi alla rete hanno moltiplicato gli endpoint che gli hacker possono sfruttare e le vulnerabilità che i team della sicurezza devono eliminare.
Il software originale di sicurezza degli endpoint, il software antivirus, protegge gli endpoint da forme conosciute di malware: trojan, worm e altro ancora.
Il software antivirus tradizionale eseguiva una scansione dei file su un dispositivo endpoint alla ricerca di firme di malware: stringhe di byte caratteristiche per virus o malware noti. Il software avvisava l'utente o l'amministratore quando veniva rilevato un virus e forniva strumenti per isolare e rimuovere il virus e riparare eventuali file infettati.
Il software antivirus di oggi, spesso chiamato NGAV (next-generation antivirus - antivirus di nuova generazione) è in grado di individuare e combattere i tipi di malware più recenti, compreso il malware che non lascia firma. Ad esempio, NGAV può rilevare malware fileless, cioè malware che risiede in memoria e inserisce script dannosi nel codice di applicazioni legittime. NGAV può anche individuare attività sospetta utilizzando l'euristica, che mette a confronto modelli di funzionamento sospetti con quelli di virus noti, e la scansione dell'integrità, che esegue la scansione dei file alla ricerca di segni di virus o infezione da malware.
Il software antivirus da solo può essere adeguato a proteggere un numero esiguo di endpoint. Per superare questo limite, è necessaria di solito una piattaforma di protezione degli endpoint o EPP. Una EPP combina NGAV con altre soluzioni per la sicurezza degli endpoint, tra cui:
- Controllo web: A volte definito filtro web, questo software protegge gli utenti e la tua organizzazione dal rischio che codice nocivo sia nascosto nei siti web o nei file scaricati dagli utenti. Il software di controllo web include anche funzionalità di whitelist e blacklist che consentono al team della sicurezza di controllare quali siti possono visitare gli utenti.
- Classificazione dei dati e prevenzione della perdita di dati: queste tecnologie documentano dove sono memorizzati i dati sensibili, nel cloud oppure on-premise, e impediscono l'accesso non autorizzato a tali dati o la loro divulgazione.
- Firewall integrati: questi firewall sono hardware o software che applicano la sicurezza delle rete impedendo il traffico non autorizzato in entrata e in uscita dalla rete.
- Gateway email: questi gateway sono software che esaminano le email in entrata per bloccare attacchi di phishing e social engineering.
- Controllo dell'applicazione: questa tecnologia consente ai team della sicurezza di monitorare e controllare l'installazione e l'uso di applicazioni su dispositivi e può bloccare l'uso e l'esecuzione di app non sicure o non autorizzate.
Un'EPP integra queste soluzioni endpoint in una console di gestione centrale, dove i team della sicurezza o gli amministratori di sistema possono monitorare e gestire la sicurezza per tutti gli endpoint. Ad esempio, un'EPP può assegnare strumenti di sicurezza appropriati ad ogni endpoint, applicare aggiornamenti o patch a quegli strumenti, secondo necessità, e amministrare politiche di sicurezza aziendali.
Le EPP possono essere installate on-premise o basate su cloud. Ma l'analista del settore d'industria Gartner (link esterno a ibm.com), che per primo ha definito la categoria EPP, sottolinea che 'Soluzioni EPP desiderabili sono principalmente gestite su cloud, il che consente il monitoraggio e la raccolta continui di dati dell'attività, insieme alla capacità di intraprendere azioni di correzione da remoto, nel caso in cui l'endpoint si trovi sulla rete aziendale o fuori della sede di lavoro.'
Le EPP si concentrano sulla prevenzione delle minacce note o delle minacce che si comportano in modi conosciuti. Un'altra classe di soluzioni per la sicurezza degli endpoint, denominata EDR (Endpoint detection and response - Rilevamento degli endpoint e risposta), consente ai team della sicurezza di rispondere alle minacce che si insinuano negli strumenti preventivi per la sicurezza degli endpoint.
Le soluzioni EDR monitorano continuamente i file e le applicazioni che accedono ad ogni dispositivo, alla ricerca di attività sospetta o malevola che indichi malware, ransomware o minacce avanzate. Inoltre, l'EDR raccoglie continuamente dati e telemetria relativi alla sicurezza, archiviandoli in un data lake dove possono essere utilizzati per l'RTA (real-time analysis - analisi in tempo reale), l'indagine sulla causa principale, il threat hunting e altro ancora.
L'EDR include normalmente advanced analyitics, analisi comportamentale, intelligenza artificiale e machine learning, capacità di automazione, intelligent alerting e funzionalità di indagine e correzione che consentono ai team della sicurezza di:
- Mettere in correlazione gli IOC (indicators of compromise - indicatori di compromissione) e altri dati relativi alla sicurezza dell'endpoint con i feed di threat intelligence per rilevare minacce avanzate in tempo reale
- Ricevere notifiche di attività sospetta o minacce effettive in tempo reale, insieme a dati contestuali, che possono aiutare ad isolare le cause principali e accelerare l'indagine sulla minaccia
- Eseguire l'analisi statica (analisi di codice sospetto, malevolo o infetto) o l'analisi dinamica (esecuzione di codice sospetto in isolamento)
- Impostare soglie per i comportamenti dell'endpoint e avvisi nel caso in cui tali soglie vengano superate
- Automatizzare le risposte, ad esempio la disconnessione e l'isolamento in quarantena di singoli dispositivi o il blocco di processi, per mitigare il danno fino a quando la minaccia non potrà essere risolta
- Determinare se altri dispositivi endpoint sono interessati dallo stesso attacco informatico.
Molte EPP più recenti o più avanzate includono alcune funzionalità EDR, ma, per una protezione completa dell'endopoint, che comprende prevenzione e risposta, la maggior parte delle aziende dovrebbe utilizzare entrambe le tecnologie.
Extended detection and response (Rilevamento e risposta estesi), o XDR, estende il modello EDR di rilevamento e risposta in caso di minacce a tutte le aree o i livelli dell'infrastruttura, proteggendo non solo i dispositivi endpoint ma anche applicazioni, database e storage, reti e carichi di lavoro cloud. L'offerta SaaS (software-as-a-service) XDR protegge risorse installate on-premise e su cloud. Alcune piattaforme XDR integrano prodotti per le sicurezza da un singolo vendor o provider di servizi cloud, ma le migliori consentono anche alle organizzazioni di aggiungere e integrare le soluzioni di sicurezza che preferiscono.