Che cos'è l'endpoint security?

Il software originale di endpoint security, il software antivirus, protegge gli endpoint dalle forme note di malware, come trojan, worm, adware e altro ancora.

Il software antivirus tradizionale analizzava i file su un dispositivo endpoint alla ricerca di firme di malware, ovvero stringhe di byte caratteristiche di virus o malware noti.  Il software avvisava l'utente o l'amministratore quando veniva rilevato un virus e forniva strumenti per isolare e rimuovere il virus e riparare eventuali file infetti.

I software antivirus odierni, spesso chiamati antivirus di nuova generazione (NGAV), sono in grado di identificare e combattere i nuovi tipi di malware, inclusi i malware che non lasciano alcuna firma. Ad esempio, un NGAV è in grado di rilevare malware fileless, ovvero malware che risiedono nella memoria e iniettano script dannosi nel codice di applicazioni legittime. L'NGAV è anche in grado di identificare attività sospette utilizzando l'euristica, che confronta i modelli di comportamento sospetto con quelli dei virus noti, e la scansione di integrità, che analizza i file alla ricerca di segni di infezione da virus o malware.

Un software antivirus da solo può essere sufficiente a proteggere un numero limitato di endpoint. Tutto ciò che va oltre richiede in genere una piattaforma di protezione aziendale, o EPP. Una EPP combina l'NGAV con altre soluzioni di endpoint security, tra cui:

• Controllo web: talvolta chiamato filtro web, questo software protegge gli utenti e l'organizzazione da codice dannoso nascosto nei siti web o nei file scaricati dagli utenti. Il software di controllo web include anche funzionalità di whitelist e blacklist che consentono a un team di sicurezza di controllare quali siti possono visitare gli utenti.
• Classificazione dei dati e prevenzione della perdita di dati: queste tecnologie documentano dove vengono archiviati i dati sensibili, sia nel cloud che on-premise, e impediscono l'accesso non autorizzato o la divulgazione di tali dati.
• Firewall integrati: questi firewall sono hardware o software che rafforzano la sicurezza della rete impedendo il traffico non autorizzato in entrata e in uscita dalla rete.
• E-mail gateway: questi gateway sono software che controllano le e-mail in arrivo per bloccare gli attacchi di phishing e ingegneria sociale.
• Controllo delle applicazioni: questa tecnologia consente ai team di sicurezza di monitorare e controllare l'installazione e l'uso delle applicazioni sui dispositivi e può bloccare l'uso e l'esecuzione di app non sicure o non autorizzate.

Una EPP integra queste soluzioni per gli endpoint in una console di gestione centrale, in cui i team di sicurezza o gli amministratori di sistema possono monitorare e gestire la sicurezza di tutti gli endpoint. Ad esempio, una EPP può assegnare gli strumenti di sicurezza appropriati a ciascun endpoint, aggiornare o applicare patch a tali strumenti secondo necessità e amministrare le politiche di sicurezza aziendali.

Le EPP possono essere on-premise o basate sul cloud. Ma l'analista del settore Gartner (link esterno a ibm.com), che per primo ha definito la categoria EPP, osserva che "le soluzioni EPP ideali sono principalmente gestite nel cloud e consentono il monitoraggio e la raccolta continui di dati sulle attività, oltre a offrire la possibilità di intraprendere azioni di correzione da remoto, indipendentemente dal fatto che l'endpoint si trovi sulla rete aziendale o al di fuori dell'ufficio".

Le EPP si concentrano sulla prevenzione di minacce note o di minacce che si comportano in modi noti. Un'altra classe di soluzioni di endpoint security, chiamata rilevamento e risposta degli endpoint (EDR), consente ai team di sicurezza di rispondere alle minacce che sfuggono agli strumenti preventivi di endpoint security. 

Le soluzioni EDR monitorano continuamente i file e le applicazioni che entrano in ogni dispositivo, alla ricerca di attività sospette o dannose che indichino malware, ransomware o minacce avanzate. Inoltre, l'EDR raccoglie continuamente dati di sicurezza e telemetria dettagliati, memorizzandoli in un data lake dove possono essere utilizzati per analisi in tempo reale, analisi della causa principale, rilevamento delle minacce e altro ancora.

L'EDR include in genere analisi avanzate, analisi comportamentale, intelligenza artificiale (AI) e machine learning, funzionalità di automazione, avvisi intelligenti e funzionalità di analisi e correzione che consentono ai team di sicurezza di:

• Correlare gli indicatori di compromissione (IOC) e altri dati di endpoint security con i feed di threat intelligence per rilevare le minacce avanzate in tempo reale.
• Ricevere notifiche di attività sospette o di minacce effettive in tempo reale, insieme a dati contestuali che possono aiutare a isolare le cause principali e accelerare l'analisi delle minacce. 
• Eseguire l'analisi statica (analisi del codice che si sospetta sia dannoso o infetto) o l'analisi dinamica (esecuzione del codice sospetto in isolamento).
• Impostare delle soglie per i comportamenti degli endpoint e degli avvisi quando tali soglie vengono superate.
• Automatizzare le risposte, come la disconnessione e la messa in quarantena di singoli dispositivi o il blocco di processi, per limitare i danni fino alla risoluzione della minaccia.
• Determinare se altri dispositivi endpoint sono stati colpiti dallo stesso affatto informatico.

Molte EPP più recenti o più avanzate includono alcune funzionalità EDR, ma per una protezione completa degli endpoint che comprenda prevenzione e risposta, la maggior parte delle aziende dovrebbe utilizzare entrambe le tecnologie.

Extended detection and response, o XDR, estende il modello EDR di rilevamento e risposta alle minacce a tutte le aree o livelli dell'infrastruttura, proteggendo non solo i dispositivi endpoint ma anche le applicazioni, i database e lo storage, le reti e i workload sul cloud. XDR è un'offerta SaaS (Software-as-a-Service) che protegge le risorse on-premise e nel cloud. Alcune piattaforme XDR integrano prodotti di sicurezza di un unico fornitore o provider di servizi cloud, ma le migliori consentono anche alle organizzazioni di aggiungere e integrare le soluzioni di sicurezza che preferiscono.