Endpoint protection: cos’è, come funziona e perché è importante
Una piccola e, si spera, preziosa guida pratica al centro di una rivoluzione, quella dello spazio di lavoro distribuito, che mai come in questo momento vede proprio negli smartphone, i notebook, i pc, i tablet… insomma negli endoint, un centro di gravità permanente dell’operatività ma anche, e inevitabilmente, degli attacchi e delle truffe cyber che piovono soprattutto sulle imprese del nostro Paese (i dati Clusit sono chiarissimi in questo senso ).
Le organizzazioni spesso concentrano i loro sforzi di sicurezza sul data center e investono un capitale finanziario e intellettuale significativo per proteggere i server e lo storage centralizzati che guidano la loro produttività, ma potrebbero trascurare l’endpoint protection.
Le risorse del data center però, mai come in questo momento, sono inutili senza endpoint utente che possono accedere e manipolare dati aziendali vitali da quasi ovunque sia disponibile una connessione di rete.
Pertanto, gli amministratori IT devono proteggere adeguatamente questi endpoint e includerli nelle valutazioni di sicurezza proprio come qualsiasi infrastruttura di data center. Sfortunatamente, molte organizzazioni considerano l’endpoint protection come un tema secondario mentre i leader IT e aziendali fanno supposizioni errate su infrastruttura, strumenti e personale. È uno scenario con tutte le caratteristiche di una potenziale e pericolosa tempesta, digitale, perfetta
Endpoint protection, i numeri di un rischio crescente
Qualsiasi dispositivo, come uno smartphone, un tablet o un laptop, fornisce un punto di accesso per le minacce. La sicurezza degli endpoint mira a proteggere adeguatamente tutti gli endpoint che si connettono a una rete per bloccare i tentativi di accesso e altre attività rischiose in questi punti di ingresso. Mentre sempre più aziende adottano pratiche come il BYOD (Bring Your Own Device) e dipendenti remoti / mobili, il perimetro di sicurezza della rete aziendale si è sostanzialmente sciolto.
Un trend vero e consistente già prima del 2020 ma che nel pieno della recente emergenza sanitaria ha inevitabilmente raggiunto un livello senza precedenti e, oggi, con l’esplosione del lavoro distribuito, rischia di essere un problema enorme per ogni forma e dimensione di impresa.
Tutti, nessuno escluso, oggi pretendiamo di poter lavorare quando volgiamo, dove vogliamo, se lo vogliamo con la stessa esperienza di utilizzo… tutti (quasi) nessuno escluso chiediamo ai nostri dispositivi personali di fare un lavoro sempre più professionale, un trend che ha scatenato le minacce informatiche e portato il phishing, dati Clusit alla mano, a crescere solo nel maggio 2022 di oltre il 200% rispetto al 2019.
Più nel dettaglio il confronto tra i numeri del primo semestre 2018 con quelli del 2022 rivela una crescita degli attacchi pari al 53% (da 745 a 1.141). Nel medesimo periodo, la media mensile di attacchi gravi a livello globale è cresciuta da 129 a 190. Dal punto di vista qualitativo, anche l’impatto (severity) è aumentato in maniera molto significativa. Per quanto riguarda le tipologie di attaccji, che prendono semrpe più di mira gli utenti “mobili” il malware continua a dominare la scena, pur in leggera flessione rispetto al 2021 (-4,6%). In particolare, gli attacchi Ransomware continuano a contribuire in maniera determinante al primato di questa tipologia, che totalizza il 38% degli attacchi complessivi. Le tecniche sconosciute (categoria Unknown) rappresentano l’insidiosa incognita al secondo posto (+10% rispetto al primo semestre 2021), superando la categoria Vulnerabilità (-26,8%) e Phishing / Social Engineering, in netta crescita con il +63,8% rispetto all’anno precedente. Non solo, gli utili rilevamenti i dati del 2023 sono anche peggio perché si parla di punte oltre il 200 %. Un trend inarrestabile e chiaro.
Perchè l’endpoint protection in azienda è importante
Il modello di elaborazione client-server è un approccio collaudato negli anni a ogni latitudine. L’idea è di concentrare o centralizzare le risorse in un data center in modo che l’IT possa gestirle centralmente.
Un esempio tradizionale di questo paradigma è la posta elettronica aziendale, in cui gli utenti utilizzano applicazioni client di posta elettronica come Outlook per scambiare messaggi tramite l’applicazione del server di posta elettronica come Exchange.
Questi componenti vengono eseguiti su un server fisico situato nel data center.
In un simile scenario gli endpoint pongono particolari rischi e sfide per la sicurezza per qualsiasi organizzazione e, se gli aggressori ottengono l’accesso all’endpoint tramite un nome utente e una password, possono potenzialmente devastare qualsiasi organizzazione.
Cinque principali rischi per chi non gestisce l’endpoint protection e qualche possibile rimedio
Ecco dunque cinque tra i principali e più pericolosi rischi che corre chi dimentica di affrontare la sfida della protezione degli endpoint.
Credenziali leggere
Nella maggior parte dei casi, tutto ciò che serve a un endpoint per accedere a un data center aziendale è un nome utente e una password validi.
Troppo spesso gli utenti compromettono le proprie credenziali aprendo la porta a metodi di attacco comuni come il social engineering.
Una volta che un utente malintenzionato ha accesso, è relativamente semplice leggere, copiare o eliminare i file e i dati importanti autorizzati da tale accesso.
Tecniche di autenticazione avanzate come Single Sign-On (SSO) possono esacerbare il rischio essenzialmente accedendo a ogni applicazione autorizzata con le stesse credenziali anziché richiedere credenziali diverse per ciascuna applicazione. Oggi, le organizzazioni stanno affrontando i rischi delle credenziali degli endpoint con politiche di sicurezza degli endpoint più aggressive come la forzatura di modifiche periodiche della password, l’autenticazione a più fattori (MFA) – come il riconoscimento di un accesso tramite lo smartphone personale di un utente – la registrazione completa delle attività dell’utente e altre analisi.
Ciò semplifica l’identificazione e la gestione degli accessi non autorizzati. Tuttavia, le organizzazioni devono affrontare la sfida di bilanciare la produttività e la facilità d’uso di un utente con le esigenze di sicurezza dell’azienda.
Perimetri di sicurezza privi di senso e utilità
Il software di sicurezza ha tradizionalmente utilizzato un approccio perimetrale in cui gli endpoint che operano all’interno di un dato perimetro, appunto, come la rete locale di un’organizzazione, possono accedere ad applicazioni e dati. D’altra parte, gli endpoint che operano al di fuori del perimetro, ad esempio gli endpoint che si connettono tramite un gateway Internet, non possono farlo. L’endpoint locale era connesso a una porta di rete nota, utilizzava un indirizzo IP locale noto e doveva essere un endpoint noto e autorizzato. Oggi, la sicurezza intrinseca di un perimetro è sostanzialmente priva di significato. La proliferazione di dispositivi endpoint connessi a Internet consente agli utenti di operare praticamente ovunque sia disponibile una rete.
Gli utenti possono accedere da desktop al lavoro, laptop da casa, tablet da hotel, dispositivi smart dalla strada e così via.
Ciò significa che un’organizzazione deve gestire i dispositivi endpoint con tattiche di sicurezza più versatili e intelligenti come VPN, convalida dell’endpoint (controllo dell’endpoint per un sistema operativo e una versione minimi di antimalware) e registrazione completa delle attività dell’utente.
Eterogeneità degli endpoint
Gli endpoint rappresentano, storicamente, un problema per l’IT aziendale a causa delle loro personalizzazioni.
A meno che le organizzazioni non preconfigurino i dispositivi endpoint, gli utenti aggiungeranno le proprie personalizzazioni a ciascun dispositivo o addirittura lavoreranno dai propri dispositivi. Ciascuno di questi dispositivi avrà impostazioni e configurazioni univoche che potrebbero non supportare le esigenze di sicurezza di un’organizzazione.
Gli endpoint personalizzati e diversificati presentano una gamma infinita di potenziali minacce come versioni del sistema operativo senza patch, strumenti antimalware mancanti o obsoleti e malware già presenti sull’endpoint. E questi problemi non tengono nemmeno conto dei rischi delle minacce zero-day.
Oggi, gli amministratori IT aziendali utilizzano VPN e controlli di convalida degli endpoint per garantire che un endpoint che tenta di accedere soddisfi i requisiti minimi di installazione, configurazione e altri criteri di integrità del sistema.
Ciò consente all’azienda di verificare che un endpoint stia utilizzando un sistema operativo con patch e un anti-malware aggiornato prima di consentire la connessione dell’endpoint.
Quando utilizzarlo
PaaS viene utilizzato di frequente in molti ambiti che prevedono l’impiego di applicazioni moderne, basate su architettura a microservizi. Tra questi possiamo citare:
- Sviluppo API: il PaaS rappresenta a tutti gli effetti l’habitat naturale per lo sviluppo di applicazioni moderne. Grazie a PaaS, i developer possono trovare l’ambiente di sviluppo più indicato per le loro applicazioni, per creare, eseguire e gestire in sicurezza le API e i componenti dell’architettura a microservizi su cui si basa il software moderno.
- Business Analytics (Big Data) e IoT: le moderne applicazioni di analisi dei dati, basate su tecnologie di intelligenza artificiale, vengono sviluppate su piattaforme PaaS. Altre tecnologie emergenti trovano di frequente le loro applicazioni in PaaS, come nel caso della Internet of Things (IoT).
Automazione non presidiata
L’automazione si è rivelata, e si sta rivelando, sempre più preziosa per i data center: può garantire coerenza e ridurre gli errori per molte attività di routine. Tuttavia, l’automazione ha i suoi limiti e le minacce agli endpoint possono essere difficili da prevedere. Due problemi con l’automazione sono l’obsolescenza delle regole e la gestione degli errori.
Ad esempio, proviamo a considerare uno strumento di automazione che controlla la configurazione degli endpoint e forza un aggiornamento o una patch del sistema operativo.
L’obiettivo è garantire che l’endpoint soddisfi uno standard di configurazione minimo prima di consentirgli di accedere alla rete aziendale.
Ma le regole e le policy codificate nell’automazione richiedono aggiornamenti regolari, che possono rappresentare una notevole quantità di lavoro per i professionisti IT. Un secondo problema è che le regole di automazione possono restituire un errore come una patch o un aggiornamento che non viene installato correttamente. L’IT deve assicurarsi che l’automazione informi l’utente dell’endpoint e un amministratore IT quando si verifica un errore. Riceveranno i dettagli necessari per rimediare, ma la componente di segnalazione è essenziale per questo processo. Qualsiasi problema con la segnalazione lascerà gli utenti confusi e gli amministratori IT non saranno in grado di aiutare.
Comportamenti degli utenti
I rischi posti dai dispositivi endpoint sono spesso esacerbati dagli stessi utenti. Le aziende spesso fanno affidamento su policy e regole scritte – policy di utilizzo – che delineano i requisiti e le aspettative degli utenti degli endpoint quando accedono alle risorse aziendali.
Il problema qui è che l’azienda essenzialmente rinvia i problemi di sicurezza critici agli utenti finali. Affidarsi a dipendenti, clienti, partner e altri utenti per mantenere gli endpoint configurati, patchati e aggiornati correttamente può portare ad alcune vulnerabilità aggiuntive, l sfida dell’endpoint protection non può essere lasciata nelle loro mani.
Sebbene sia sempre utile per gli utenti comprendere i termini di utilizzo accettabile ed essere consapevoli delle best practice, è rischioso per le organizzazioni affidarsi a utenti con un background IT minimo o nullo per assumere un ruolo attivo nella gestione dell’endpoint protection.
Le organizzazioni possono gestire gli endpoint in modo più efficace con strumenti progettati per convalidare la configurazione di ciascun sistema prima dell’approvazione dell’accesso e monitorare le attività degli utenti per comportamenti sospetti mentre l’utente è connesso.
Diversi approcci all’endpoint protection
Conoscendo i rischi più gravi, gli amministratori IT possono lavorare per rafforzare la sicurezza dei sistemi endpoint utilizzati per accedere al data center aziendale.
Un’organizzazione adotterà in genere una serie di strategie e strumenti per fornire quella viene definita una “postura” di sicurezza completa e flessibile.
Crittografia dei dati
Cosa succede se un utente malintenzionato riesce ad accedere o accedere al traffico di rete? La crittografia avanzata dei dati è spesso la risposta a questo scenario di violazione e a molti altri. L’utilizzo di strumenti di crittografia per crittografare e-mail e dati aziendali inattivi e in transito può rendere inutilizzabili i dati sensibili anche se un attore malintenzionato ottiene l’accesso al dispositivo, alla rete o all’archiviazione.
Anche gli endpoint che archiviano e accedono ai dati devono supportare la crittografia.
Formare i dipendenti
Il social engineering è uno dei modi più comuni per un utente malintenzionato di ottenere l’accesso ai dati aziendali. Indurre un utente a rinunciare semplicemente alle proprie credenziali di accesso può essere molto più semplice e rapido di altri sistemi più invasivi. Si tratta in sostanza, di sfruttare al massimo la scarsa percezione del rischio digitale che in questo momento accomuna milioni di utenti aziendali.
La formazione da sola non è sufficiente per garantire una vera strategia di endpoint protection, ma delineare le migliori pratiche di sicurezza, insieme a promemoria e avvisi regolari, può fare molto per aumentare la consapevolezza degli utenti e prevenire un facile vettore di attacco.
Utilizzo di policy di sicurezza degli endpoint
I reparti IT aziendali possono esercitare il controllo sugli endpoint che effettuano il login e accedono ai dati aziendali. Tuttavia, tale controllo non avviene automaticamente; L’IT deve stabilirlo, applicarlo e aggiornarlo regolarmente. Esempi di criteri semplici ma utili includono l’accesso di gruppo e la forzatura di modifiche periodiche della password. L’accesso di gruppo consente all’IT di organizzare gli utenti per tipo e di consentire o negare l’accesso in base a policy di gruppo. Queste politiche dovrebbero sempre seguire pratiche di privilegio minimo.
Allo stesso modo, le modifiche regolari della password rendono molto più difficile per gli aggressori indovinare la password di un utente.
Implementare un'infrastruttura di endpoint protection
La vera endpoint protection si basa sull’uso di strumenti e software, quindi è fondamentale valutare le offerte e selezionare un set di strumenti che soddisfi al meglio le esigenze specifiche dell’organizzazione. L’infrastruttura e i prodotti selezionati devono consentire agli amministratori IT di impostare e applicare aspetti della sicurezza degli endpoint. L’infrastruttura può coinvolgere diversi livelli di strumenti e servizi, incluso il supporto aggiuntivo per la gestione dei dispositivi mobili (MDM, mobile device management) per convalidare dispositivi e app prima di consentire ai dispositivi mobili di entrare nella rete aziendale.
Un esempio semplice e comune è una VPN e un client in grado di applicare i requisiti del sistema operativo e antimalware sull’endpoint prima che l’accesso sia completo.
Come altro esempio, Microsoft Endpoint Manager è uno strumento in grado di impostare criteri per un’ampia gamma di funzionalità degli endpoint, tra cui antivirus, crittografia del disco, firewall, rilevamento e risposta degli endpoint, riduzione della superficie di attacco e protezione dell’account.
Per riassumere
Ecco una checklist con i componenti chiave di un’infrastruttura resiliente e in grado di affrontare una vera endpoint protection
- Crea un piano di protezione del firmware e rimani aggiornato su firmware, UEFI e aggiornamenti del sistema operativo che possono fornire una protezioni aggiuntiva contro le minacce emergenti.
- Accelera l’automazione delle attività manuali come gli aggiornamento remoti e l’attivazione dei dispositivi, lasciando alla forza lavoro IT più tempo per le attività high-touch.
- Attiva una pianificazione per mantenere aggiornati URGI, firmware e aggiornamenti di sicurezza.
- Abilita MFA per tutti gli utenti finali e implementa una strategia di accesso condizionato.
- Implementa la scansione biometrica, ad esempio Windows Hello for Business, per ridurre la dipendenza da codici, scansioni di carte e password.
- Adottare dispositivi considerati essere Secure-core PC o configurare i dispositivi per soddisfare i requisiti simili.
- Riduci le vulnerabilità nei dispositivi endpoint disattivando le funzionalità inutilizzare come il Bluetooth o le videocamere.
Se vuoi farti guidare da noi, scopri i nostri servizi di cybersecurity
• Etica – Crediamo nell’approccio multicloud e nella cultura del dato.
• Innovazione – Lavoriamo con i vendor alla creazione di nuovi servizi utili al mercato.
• Made in Italy – I data center sono su territorio italiano, l’ideale in termini di compliance e responsabilità.
The post Endpoint protection: cos’è, come funziona e perché è importante appeared first on Deda Cloud.