TECNOLOGIA E SICUREZZA

Protezione degli Endpoint: metodi, soluzioni e tecnologie

Nello scenario mondiale della minaccia informatica persistente e progressivamente crescente, la Endpoint Protection costituisce una prassi di sicurezza informatica che non può essere improvvisata e che richiede un approccio multiplo per difendere ogni dimensione di attacco

26 Mag 2020
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor


Gli Endpoint costituiscono lo strumento di connessione fra gli utenti finali e le reti e i sistemi di un’azienda e, come tali, rappresentano anche un’importante fonte di vulnerabilità e un frequente bersaglio di quei malintenzionati informatici che desiderano penetrare in una rete per scopi fraudolenti e criminosi: la protezione degli Endpoint, o Endpoint Security, riguarda tutte quelle prassi di sicurezza informatica che mirano a prevenire e/o individuare prontamente i tentativi di effrazione digitale, permettendo rispettivamente di evitare il problema e/o di attivare immediatamente la difesa più appropriata.

I responsabili della sicurezza devono determinare se i vari dispositivi Endpoint possono presentare carenze di sicurezza nell’ambito della rete aziendale, ma anche quando sono utilizzati esternamente al perimetro della società.

Questo si traduce nel valutare e controllare ogni possibile modalità di accesso all’Endpoint: tramite l’utente (password, keyboard), mediante comunicazioni e traffico di rete (LAN, Wi-Fi, Bluetooth), con e-mail e loro allegati, tramite dispositivi collegati da una porta USB e perfino accessi con comandi fraudolenti via audio.

L’accesso non autorizzato solitamente comporta l’intercettazione di informazioni, la sottrazione di dati importanti o sensibili per rivendita, oppure la loro alterazione e/o la trasformazione in dati non più accessibili dagli aventi diritto per creare un danno.

Partiamo dunque alla scoperta di quelle che sono le metodologie, le soluzioni e le tecnologie che consentono di realizzare una efficace protezione degli Endpoint, facendoci accompagnare in questa analisi da Michele Onorato, Security Office Manager in Westpole, che secondo la sua esperienza ha fornito alcuni utili suggerimenti.

Metodologie di protezione degli Endpoint

Nel documento del NIST Special Publication 800-128 “Guide for Security-Focused Configuration Management of Information Systems” un Endpoint è indicato come l’hardware del PC connesso a Internet su una rete TCP / IP o rete di sistemi di elaborazione distribuiti.

I diversi tipi di rete (LAN, Wi-Fi, 4G, 5G ecc.) hanno i propri tipi di dispositivi Endpoint con cui gli utenti possono accedere alle informazioni: laptop, PC desktop e dispositivi mobili come tablet e smartphone.

Garantire la protezione degli Endpoint rientra nell’ambito delle misure di sicurezza di rete (Sicurezza IT) ed è spesso indicata con “Endpoint Security”. Le modalità e metodologie di protezione passano per l’adozione di diversi strumenti, tipicamente riuniti in un unico framework integrato.

Si parla in questi casi di Piattaforme di Protezione Endpoint (EPP) che sempre secondo il NIST 800-128 possono ricomprendere: sistemi antimalware (antivirus, antispam), firewall, Host-based Intrusion Detection and Prevention System (IDPS), restrizioni a livello di codice Mobile (per evitare attivazioni fraudolente di Active X, Java script ed eseguibili).

Alternativamente esistono anche i sistemi di Endpoint Detection and Response (EDR) che effettuano il rilevamento e la risposta, gestendo le vulnerabilità nell’Endpoint, insieme al monitoraggio continuo e proattivo.

Sia le EPP che le EDR possono incorporare sistemi di machine learning per anomaly detection che richiedono un periodo di apprendimento necessario ad eliminare i falsi positivi. Michele Onorato, interpellato per capire la durata media dell’apprendimento per singolo Endpoint, conferma che “secondo le criticità dell’ambiente cliente possono essere necessari tempi diversi che dipendono anche dai ruoli degli utenti stessi, ma mediamente sono necessarie fra le due e le tre settimane di tempo. In Westpole per evitare i falsi negativi, durante l’apprendimento relativo alla singola postazione (a parte la messa in sicurezza di PC nuovi dove non esiste rischio) utilizziamo anche dei tool di scansione per la valutazione delle vulnerabilità della macchina”.

La scelta di una soluzione di Endpoint protection richiede la verifica di alcune caratteristiche: difese sempre aggiornate rispetto alle nuove minacce e difese Next generation (basate su web protection, e DLP integrate con machine learning), semplicità di deployment e di uso day by day, automazione per ridurre al minimo il tempo operatore, completezza di gestione per non lasciare buchi di protezione, efficacia ed efficienza per non avere falsi positivi e non meno importante la fiducia verso il fornitore della soluzione (fonte: zerounoweb e sceglifornitore.it).

White Paper - Guida pratica all’implementazione efficace dello Smart Working

Operativamente la selezione del fornitore di tecnologia richiede un primo assessment interno per determinare quali informazioni proteggere e chi deve potervi accedere. Secondariamente, è necessario scegliere una soluzione di sicurezza per ogni layer tecnologico della pila ISO OSI soggetta ad attacco, tipicamente il livello rete, il livello protocollo e il livello presentazione.

Dopo la scelta e implementazione della soluzione risultante dallo scouting di mercato, è necessario instaurare un ciclo per il miglioramento. Questo ultimo step prevede l’avvio di un monitoraggio che testi e misuri il rendimento di ciascuna soluzione, determinando se esistono ancora importanti vulnerabilità della rete e nel caso affermativo, chiuderle e per poi riavviare il ciclo dei test.

Sul tema metodologico Michele Onorato suggerisce di “utilizzare un approccio a strati che permetta di “securizzare” il dipendente e le azioni che compie, il dispositivo utilizzato e i servizi che l’azienda utilizza sia che siano in cloud o all’interno della propria infrastruttura. È fondamentale altresì effettuare un monitoraggio continuo in ambito cyber proprio per evitare che l’evoluzione delle minacce e degli attacchi renda inefficaci le soluzioni di protezione che a loro volta devono essere dinamiche tramite l’utilizzo di Machine Learning e Threat Intelligence.”. Questo approccio multilivello si rende necessario perché “Le minacce sono in continua evoluzione e gli attaccanti cercano di sfruttare ogni passo falso compiuto dalle aziende. Prendiamo in considerazione lo smart working che oggi ha avuto una accelerazione incredibile dovuto al Covid-19 e che ha costretto le aziende a cambiare modalità di lavoro velocemente, tralasciando gli aspetti inerenti alla security.

Tecnologie e soluzioni per la protezione degli Endpoint

Sono moltissimi i vendor e fornitori di soluzioni di Endpoint protection e naturalmente sono tutti classificati secondo il Gartner Magic Quadrant aggiornato al 2019. La classificazione che si divide nei noti quattro quadranti di Niche Players (Giocatori di nicchia), Visionaries (Visionari), Challengers (sfidanti) e Leaders, evidenzia il posizionamento secondo una analisi su base annuale rispetto ai due assi: “completezza della vision” e “abilità di esecuzione” (sotto a sinistra).

Il quadrante aggiornato ad agosto 2019 (sotto a destra) evidenzia come leader del quadrante Microsoft, Crowdstrike, Symantec (oggi Broadcom), Trend Micro, e Sophos per la categoria Leaders. Mcafee, Kaspersky, Carbon Black e SentinelOne sono risultati Visionaries, ed Eset unico fra i challengers. Tutti gli altri sono relegati a Niche players.

Per ciascuna azienda della categoria Endpoint Protection Platform, Gartner rende disponibile a tutti anche una scheda dei commenti e feedback ricevuti dagli utenti che forma una classifica di rating aggiornata agli ultimi dodici mesi.

La maggior parte delle aziende medio grandi potrebbero optare per la scelta di uno dei Vendor ed implementare la soluzione nella propria realtà. Tuttavia, alcune di queste e sicuramente le aziende di piccole dimensioni molto spesso optano per un servizio gestito, meglio noto come Managed Service, per mancanza di competenze interne o per disponibilità di budget più limitati che permettono di coprire una sottoscrizione annuale, piuttosto che l’acquisizione di una tecnologia e la sua gestione e ammortamento come asset interno.

Chi fornisce Servizi Managed di Endpoint Protection deve saper garantire SLA e fornire trasparenza sulle modalità di gestione del servizio, rendendosi disponibile ad eventuali clausole contrattuali che il cliente potrebbe voler introdurre a garanzia di “affidabilità attuativa”. Michele Onorato anche in questo caso suggerisce di “richiedere la disponibilità di utilizzare un Cloud europeo perché è soggetto alle leggi comunitarie. Per i servizi che eroghiamo nel Cloud europeo Westpole consentiamo l’auditing da parte del cliente eventualmente il logging, e la comprovata cancellazione dei dati a fine contratto. In generale per gli accordi sui livelli di servizio (SLA), per le garanzie di trattamento e per ogni altra richiesta nel rispetto del GDPR, siamo aperti a considerare clausole contrattuali avendo un ufficio legale appositamente predisposto a gestire queste tematiche”.

Mentre per la scelta dei Vendor tecnologici si può partire dal quadrante Gartner, la scelta del fornitore per un servizio Managed può risultare più complessa. Infatti, fra le caratteristiche suggerite nella metodologia per identificare la migliore soluzione/fornitore, la caratteristica della fiducia e affidabilità costituiscono il punto più difficile da valutare.

In parte questo problema può essere risolto dall’introduzione di garanzie contrattuali, ma analizzare la completezza delle difese rispetto ai rischi, la modularità del framework proposto e la compliance normativa può rappresentare una buona base di partenza.

Contributo editoriale sviluppato in collaborazione con Westpole

@RIPRODUZIONE RISERVATA

Articolo 1 di 5