La gestione del rischio richiede una cultura della sicurezza adattiva e agile, che unisca processi, tecnologia e persone in modo efficace e che permetta all'organizzazione di agire in modo più intelligente.
Implementare i giusti prodotti per la sicurezza è essenziale, ovviamente, ma quando si tratta di aggiungere soluzioni all’ambiente aziendale, come fai a sapere se ciò che stai acquistando sarà efficace e utile?
Il confronto delle specifiche richiede tempo e competenza e fornitori diversi, a volte, usano gli stessi termini per fare riferimento ad aspetti diversi di una soluzione. L'ultima innovazione del tuo fornitore abituale è effettivamente nuova o è una versione rinominata della tecnologia esistente? La parte nuova del kit di un fornitore che non hai mai usato prima è effettivamente in grado di fare tutto ciò che promette?
Un modo per iniziare a selezionare le soluzioni migliori è dare uno sguardo di alto livello alle capacità principali del prodotto offerto. Sebbene non esista una soluzione “one-size-fits-all”, garantire che il prodotto abbia determinate caratteristiche ti darà la certezza che possa soddisfare le esigenze della tua organizzazione non solo per oggi ma anche per il futuro, poiché i requisiti interni ed esterni della tua organizzazione si evolvono nel tempo.
Quindi quali sono esattamente le caratteristiche più importanti di un ottimo sistema di sicurezza degli endpoint?
Cos’è un Endpoint nelle Aziende di Oggi?
Naturalmente, il termine "endpoint" fa riferimento a molti più dispositivi oggi rispetto a quando è entrato in uso per la prima volta. Una volta le organizzazioni avevano postazioni di lavoro, server e un firewall e acquistavano prodotti per adattarsi a quell'infrastruttura.
Al giorno d'oggi, le organizzazioni hanno una rete di dispositivi composta solitamente da:
- Laptop;
- Desktop;
- Telefoni cellulari;
- Macchine virtuali;
- Container cloud;
- Tablet;
- Server;
- Dispositivi IoT.
In breve, un endpoint è tutto ciò che funziona come estremità di un canale di comunicazione. Il termine si riferisce a parti di una rete che non si limitano a trasmettere le comunicazioni lungo i canali o a commutare tali comunicazioni da un canale all'altro. Piuttosto, un endpoint è il luogo in cui hanno origine le comunicazioni e dove vengono ricevute.
Tali endpoint possono essere connessi tramite una intranet locale o utilizzando piattaforme cloud SaaS o persino Internet pubblico. Potresti avere Single-Sign-On (SSO) e Zero Trust Architecture (ZTA), forse stai trasferendo o hai già spostato i dati su un cloud pubblico, locale o ibrido, con endpoint che si connettono alla tua rete da più posizioni in tutto il mondo.
Cosa Devono Fare le Aziende per Rimanere al Sicuro?
La realtà che le imprese devono affrontare è più impegnativa che mai. Da un lato, c'è una crescente necessità di sicurezza, mentre dall'altro, una crescente domanda di continuità aziendale, supportando grandi volumi di endpoint e origini dati che possono essere ovunque, in qualsiasi momento.
La nuova realtà della nostra cultura del lavoro, in cui gli endpoint possono accedere ai dati sensibili indipendentemente da dove sono connessi, costringe i CISO e altri leader della sicurezza a fare affidamento sulla consapevolezza della sicurezza dei propri utenti e sull'integrità dell'endpoint come ultime, e talvolta uniche, modalità di difesa.
Il fallimento di tale strategia, purtroppo, è diventato quasi la normalità. Violazioni di dati come quella di T-Mobile, che la società ha recentemente descritto come "umilianti per tutti noi di T-Mobile", hanno portato alla compromissione dei dati appartenenti a milioni di suoi clienti, passati, presenti e potenziali.
In che Modo i Criminali Informatici Stanno “Cogliendo l'Attimo”
Quello che è successo a T-Mobile accade alle organizzazioni di tutte le dimensioni e, nonostante vent'anni di fornitori di prodotti per la sicurezza degli endpoint aziendali, la frequenza degli attacchi di successo è in continuo aumento.
Com'è possibile che la sicurezza informatica sia stata un disastro così assoluto e che nel 2021 anche il Presidente degli Stati Uniti abbia affermato che risolverla è una priorità assoluta ed essenziale per la sicurezza internazionale ed economica?
Ci sono alcuni fattori trainanti dietro il successo del crimine informatico, in particolare il ransomware. Innanzitutto, Microsoft Windows, su cui si fa affidamento nella maggior parte delle organizzazioni, ha molte vulnerabilità.
Che si tratti di Windows Defender, del servizio spooler della stampante, dell'autenticazione NTLM, del server Exchange o di un numero qualsiasi di altri prodotti software MS, gli aggressori hanno investito e trovato modi per sfruttare le falle in questi prodotti software per attaccare le organizzazioni.
Anche se sei una di quelle rare organizzazioni che non utilizzano strumenti Windows, ci sono buone probabilità che qualcuno nella tua supply chain li utilizzi.
Nel frattempo, i criminali informatici sono spronati dall’incentivo di ottenere ricompense con un rischio minimo, nascondendosi in paesi in cui le autorità non sono interessate ad arrestare per attacchi ai paesi occidentali, incassando criptovalute impunemente.
Ad aggravare questi problemi, ci sono altri fattori come il mercato clandestino di malware per armi e la proliferazione di Ransomware-as-a-service venduti a prezzi bassi in quantità ingenti.
Ma forse fino ad ora il più grande problema in questo nuovo panorama di minacce è che le organizzazioni stanno provando a difendersi con soluzioni legacy in alcuni casi, e con l’approccio sbagliato in altri: fare affidamento su antivirus legacy che i criminali informatici sanno come bypassare o su soluzioni di “nuova generazione” che richiedono l’intervento di un’analista per far fronte ad una minaccia.
Il breach SolarWinds ha mostrato che le aziende che fanno affidamento su uno di questi approcci non sono in grado di difendersi.
5 Caratteristiche di un Ottimo Sistema di Sicurezza degli Endpoint
Gli endpoint sono al centro di ogni organizzazione e difenderli è l'unico modo per vincere la battaglia sulla sicurezza informatica. Esistono prodotti che hanno fatto fronte agli ultimi 20 anni di criminalità informatica e che si sono dimostrati efficaci anche contro le minacce più sofisticate.
Ma come distinguere il prodotto giusto dal prodotto sbagliato? Analizziamo cinque caratteristiche essenziali secondo SentinelOne, necessarie per la corretta soluzione di sicurezza.
1. Un Approccio Proattivo alle Nuove Minacce
Di gran lunga la più grande debolezza dei prodotti di sicurezza del passato era la dipendenza dalle firme del malware. Il problema principale con queste minacce, ovviamente, è che sono reattive.
Il processo di creazione di una firma inizia dal vedere una minaccia attiva (il che significa che le aziende vengono compromesse da essa) prima che venga implementata qualsiasi protezione.
Quindi, c'è una corsa contro il tempo per scrivere la firma e inviarla come aggiornamento a tutti gli endpoint. Di fronte a una nuova minaccia, l'intero prodotto diventa un peso morto.
Se gli ultimi cinque anni di ransomware ci hanno insegnato qualcosa, è che questo approccio, sviluppato negli anni '90 e 2000, non è in grado di proteggere le organizzazioni oggi.
Per questo motivo, alcuni fornitori si sono rivolti a modelli di machine learning e intelligenza artificiale comportamentale per consentire di identificare modelli e somiglianze comuni a file e comportamenti dannosi, indipendentemente dall'origine.
I modelli di machine learning possono essere addestrati per gestire efficacemente la maggior parte dei malware di base visti oggi, molti dei quali non sono stati scritti da zero ma spesso riutilizzano il codice di successo da campioni precedenti.
Sebbene non si possa fare affidamento sul solo ML per rilevare tutte le pre-esecuzioni di malware, è un ottimo modo per proteggere gli endpoint da attacchi comuni senza fare affidamento sulla necessità di aggiornamenti frequenti delle firme di sicurezza.
L'IA comportamentale integra i modelli ML identificando i modelli di comportamento tipici degli attacchi informatici. Ad esempio, quasi tutti i ransomware, a un certo punto, mostreranno una combinazione dei seguenti comportamenti:
- Rilevare e provare a rimuovere backup e copie shadow;
- Criptare un gran numero di file;
- Inviare una richiesta all’utente (ad es. richiesta di riscatto);
- Comunicare con un server remoto.
L'IA comportamentale cerca di riconoscere tali modelli di comportamento anche se l'attività sembra provenire dall'interno della rete o da qualche altra fonte che non è basata su file.
Assicurarsi che la soluzione di sicurezza abbia la capacità di rilevare in modo proattivo minacce sconosciute tramite machine learning e intelligenza artificiale comportamentale è la prima caratteristica da cercare in un ottimo prodotto per la sicurezza, ma c'è un avvertimento: evitare soluzioni che si affidano alla connettività cloud per offrire quelle funzionalità in quanto i criminali informatici possono facilmente disconnettere un dispositivo durante l'implementazione del loro attacco.
È importante selezionare un prodotto con motori IA e ML comportamentali che funzionino localmente sull'endpoint e siano in grado di prendere decisioni alla velocità della macchina per la massima protezione degli endpoint.
2. Mitigazione Automatica Senza Intervento Umano
Il rilevamento è solo metà del puzzle che deve essere risolto per una sicurezza affidabile degli endpoint. Una soluzione in grado di rilevare le minacce ma che si affida all'intervento umano per proteggere è di scarsa utilità nell'impresa.
È necessaria una soluzione in grado di mitigare e correggere automaticamente le attività dannose sul dispositivo, in modo che l'utente possa continuare a lavorare senza difficoltà.
Molti prodotti per la sicurezza lottano contro questo aspetto, inclusi alcuni dei leader di mercato. Alcuni fornitori offrono strumenti di accesso remoto integrati nella soluzione di sicurezza degli endpoint che possono alleviare in qualche modo il carico IT, ma che richiedono comunque un flusso manuale con ritardi e interruzioni.
E se la soluzione potesse rilevare gli incidenti di sicurezza ed eliminarli senza la necessità di alcun intervento umano? I computer sono stati costruiti per automatizzare le attività noiose e ripetitive e la mitigazione autonoma delle minacce rilevate non dovrebbe essere al di là di un cosiddetto prodotto di “nuova generazione".
3. Flessibilità Multi-Site, Multi-Tenancy
L'arte di gestire grandi volumi di dispositivi e data point non è un compito facile. Se aggiungiamo a ciò posizioni geografiche remote, diversi fusi orari e, nel caso di team globali, a volte anche barriere linguistiche, avrete una complessità che non può essere gestita efficacemente inserendola nella rigida visione di un fornitore di sicurezza.
Per gestire, rispondere e raccogliere dati dai siti globali è necessario un prodotto che supporti architetture multi-tenancy e multi-site, consentendo ai team locali di ereditare dalla policy principale, ma anche di gestire localmente quando ha senso farlo, supportando le esigenze locali senza compromettere i bisogni degli altri nell'organizzazione.
La multi-tenancy non è solo un'esigenza per grandi team globali. Nel modo in cui le aziende moderne stanno crescendo oggi, questa flessibilità è più che mai richiesta anche per i team più piccoli e in rapida crescita.
4. Colmare le Lacune con l’Auto-Deploy
Uno dei modi più semplici per scendere a compromessi sono i dispositivi senza un'adeguata protezione degli endpoint e, nelle aziende di oggi, è purtroppo una realtà comune che gli amministratori IT e gli amministratori della sicurezza semplicemente non sappiano quanti dispositivi sono presenti sulle loro reti.
Si sono verificate molte compromissioni semplicemente perché un utente malintenzionato ha trovato un server non protetto da qualche parte di cui tutti all'interno dell'organizzazione si erano dimenticati.
Con una vasta organizzazione che copre più siti e più sottoreti, l'unica soluzione efficace è assicurarsi di poter mappare la rete e la device fingerprint in modo tale da poter determinare non solo ciò che è connesso, ma anche ciò che non è protetto.
Armati di questa conoscenza, è necessaria una soluzione di sicurezza in grado di svolgere il lavoro pesante di distribuzione di agent per colmare il divario di copertura. I team di sicurezza sono spesso troppo ristretti e hanno bisogno di un'automazione ragionevole per aiutarli a svolgere il proprio lavoro in modo più efficace.
Pertanto, è necessario assicurarsi che il prodotto per la sicurezza degli endpoint offra un mezzo automatizzato per trovare in modo rapido e affidabile le lacune di distribuzione e installare la soluzione.
5. Visibilità
Anche quando tutte le esigenze di cui sopra sono soddisfatte, c'è ancora molto da scoprire su ciò che sta accadendo su un endpoint. Il problema della visibilità non è nuovo, ma con il passaggio a uno stile di vita più digitale, la quantità di dati che tutti generiamo richiede modi più efficienti per indicizzare, correlare e identificare le attività dannose su larga scala.
Questo è il motivo per cui i migliori sistemi di sicurezza degli endpoint stanno andando oltre l'EDR e verso soluzioni XDR, che consentono alle organizzazioni di affrontare le sfide della sicurezza informatica da un punto di vista unificato.
Con un unico pool di dati grezzi che comprende informazioni provenienti dall'intero ecosistema, XDR consente un rilevamento e una risposta alle minacce più rapidi, approfonditi ed efficaci, raccogliendo e confrontando dati da una gamma più ampia di fonti.
Quando si valutano i fornitori che offrono funzionalità XDR, ci sono alcuni aspetti a cui prestare attenzione. Una piattaforma XDR efficace deve funzionare perfettamente nello stack di sicurezza, utilizzando strumenti nativi con API avanzate.
Dovrebbe offrire una correlazione cross-stack, prevenzione e correzione pronte all'uso e consentire agli utenti di scrivere le proprie regole personalizzate cross-stack per il rilevamento e la risposta.
In Conclusione
Il mercato della sicurezza degli endpoint è in forte espansione. Gartner prevede che la spesa per la sicurezza informatica supererà i 150 miliardi di dollari solo quest'anno. D'altra parte, quasi ogni giorno sentiamo parlare di organizzazioni che subiscono attacchi.
Colmare questo divario richiede strumenti migliori, ma anche una migliore collaborazione.
Se vuoi avere maggiori informazioni sulla soluzione XDR di SentinelOne invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo.
In alternativa, puoi compilare il form sottostante con la tua domanda.