La diffusione dell’hybrid work come strumento di flessibilità aziendale, così come le necessità di resilienza nei momenti d’emergenza vissuti con la pandemia, ha posto in primo piano il problema della sicurezza degli endpoint.
L’accesso esterno ha ampliato il perimetro fisico della rete aziendale, moltiplicando i potenziali fronti d’attacco per i cyber criminali. La protezione dei dispositivi aziendali o di proprietà dei dipendenti è diventata, quindi, cruciale per la produttività e la continuità del business.
Indice degli argomenti
I rischi di cyber security associati agli endpoint
Stando ai dati dell’ultimo Rapporto Clusit 2022, gli attacchi cyber sono cresciuti del 10% rispetto all’anno precedente, con predilezione per l’Europa dove la quota conta per oltre un quinto del totale. È cresciuto il numero di attacchi con impatto elevato, ora al 79% del totale, contro il 50% dello scorso anno. Quelli con precise finalità criminali sono ora l’86% contro l’81% della rilevazione annuale precedente. I settori più colpiti sono quelli dei servizi governativi e delle società ICT, mentre la maggiore crescita (+93%) ha riguardato l’ambito del transportation/storage. Il Centro Nazionale Anticrimine Informatico ha registrato durante lo scorso anno 5.509 attacchi a infrastrutture critiche italiane e gestito 256 eventi ransomware, in crescita su base annua del 17%.
PC, tablet, smartphone di proprietà aziendale o dei dipendenti (BYOD), ma anche dispositivi IoT, sistemi di videosorveglianza e altri endpoint sono un facile bersaglio per chi vuole sottrarre dati o realizzare estorsioni.
I dispositivi mobili possono essere rubati o usati all’insaputa dell’utente, infettati con malware attraverso una chiavetta USB, una connessione Wi-Fi in luoghi pubblici oppure attraverso la navigazione su siti Web o aprendo allegati e-mail ingannevoli. In modo simile sono vulnerabili dispositivi come telecamere, sensori, macchine utensili in rete che hanno al loro interno sistemi software, difficili da censire, aggiornare e proteggere.
L’esposizione agli attacchi cyber attraverso gli endpoint si traduce in un aumentato rischio di blocco dei sistemi, ma anche in conseguenze economiche e reputazionali per l’azienda. Tra i danni peggiori vi è la perdita d’informazioni critiche, come documentazioni di progetto, proposte per la partecipazione a gare, ma anche dati personali sensibili. Per questi ultimi, la carenza di tutele appropriate o ritardi nella comunicazione delle sottrazioni fraudolente costituiscono una violazione del regolamento europeo GDPR e sono motivo di pesanti sanzioni, calcolate in percentuale sul fatturato, che si aggiungono alle responsabilità verso le terze parti lese.
Le tecnologie al servizio della sicurezza degli endpoint
Per poter difendere la gamma sempre più variegata di dispositivi fissi e mobili, presidiati e non, che oggi si connettono alla rete aziendale, è utile impiegare risorse specifiche di endpoint protection (EPP) unitamente alle altre tecnologie che possono impedire infezioni da malware e sottrazioni di dati sensibili, così come di rilevare gli incidenti già avvenuti per consentire ai responsabili della sicurezza IT di adottare tempestivamente misure adatte alla mitigazione dei danni.
Al pari dei dispositivi da proteggere, anche l’endpoint protection si caratterizza per la varietà di soluzioni che è possibile mettere in campo. È dall’utilizzo congiunto di più tecnologie di difesa, dall’integrazione e correlazione dei dati e delle segnalazioni prodotte da componenti diversi che è si può ottenere la migliore protezione.
Al livello base dell’endpoint protection c’è l’utilizzo dei firewall a protezione della rete e delle componenti antivirus, antispam deputate a riconoscere virus, malware e filtrare e-mail e allegati potenzialmente dannosi. Risorse che possono offrire livelli di protezione accettabili se ben configurate e continuamente aggiornate, ma che da sole non sono sufficienti.
Più sofisticati sono invece i sistemi di rilevazione delle intrusioni IDPS (Intrusion Detection & Prevention System) che riconoscono e bloccano attività illecite sulle reti aziendali, per esempio, intercettando le prospezioni compiute dai criminali prima di procedere agli attacchi veri e propri. Sono specifici per le minacce che arrivano dai client, i tool EDR (Endpoint Detection and Response) che abilitano il riconoscimento dei sistemi connessi. Gli EDR effettuano controlli dettagliati sul dispositivo che possono riguardare la versione del sistema operativo, dell’antivirus e dei programmi usati, in modo da garantire che siano aggiornati o rispondano alle policy aziendali.
Un altro presidio importante di security è dato dai sistemi di Data Loss Prevention (DLP) che entrano in gioco per la protezione dei dati scambiati oppure stoccati nelle memorie dei sistemi endpoint. I DLP consentono agli amministratori di tracciare i dati meritevoli di tutela, evitando che finiscano su chiavette USB, e-mail inviate all’esterno o su servizi di condivisione. Gli agenti software installati sui dispositivi possono effettuare la cancellazione dei dati critici al termine delle sessioni di lavoro oppure in caso di smarrimento o furto dei dispositivi mobili.
Gli approcci più efficaci per la protezione degli endpoint
Per essere efficaci, gli approcci per la tutela degli endpoint devono essere parte integrante di una visione olistica della security IT aziendale. Devono, quindi, far riferimento a una strategia sistemica della sicurezza aziendale e basarsi su metodi efficaci nel mantenere alta la tutela con il passare del tempo e con le evoluzioni dei sistemi aziendali, del business e delle stesse minacce cyber.
Per una protezione efficace, sono fondamentali le analisi degli asset informativi e del rischio associato all’uso di specifici sistemi, archivi di dati o informazioni sensibili per la privacy. L’esposizione al rischio e le conseguenti esigenze di protezione sono differenti a seconda del settore di riferimento – dalle imprese manifatturiere alla pubblica amministrazione, dalla sanità ai servizi finanziari.
Sono importanti i check periodici sulle capacità delle difese aziendali di resistere ai penetration test, effettuati con gli stessi strumenti in mano ad hacker e cybercriminali così come sulla preparazione delle persone nel riconoscere e bloccare attacchi di social engineering effettuati mediante e-mail, siti contraffatti e vulnerabilità dei processi autorizzativi.
Poiché, malgrado tutto, gli attaccanti possono superare una o più difese implementate, è importante predisporre piani di gestione degli incidenti e team multidisciplinari per agire tempestivamente e mitigare i danni sia a livello IT che di business. Disaster recovery, backup, comunicazioni a clienti/fornitori e alle autorità competenti (in linea con le prescrizioni GDPR) sono alcune delle componenti chiamate in causa.
L’errore più grande che spesso viene fatto in tema di difesa degli endpoint, e della security in generale, è quello di affidarsi solo all’acquisto di componenti tecnologiche, sottovalutando l’utilizzo di una metodologia efficace e comprovata.
Scegliere la metodologia per una tutela più efficace
Per ottenere una valida tutela degli endpoint serve la metodologia più idonea a impiegare al meglio le risorse nello specifico contesto d’impresa, Un esempio di approccio metodologico ci è fornito da alcune società specializzate come 4wardPRO, vincitrice per due anni consecutivi del Microsoft Security & Cloud Protection Gold Award, con la metodologia proprietaria S.A.F.E. (acronimo di Scan, Enhance, Acknowledge e Fix).
S.A.F.E. si compone di quattro fasi. La prima (Scan) analizza la situazione attuale dei sistemi, prioritizzando le attività da svolgere in base alla gravità e all’urgenza. La seconda (Acknowledge) consiste nel condividere con tutti i livelli aziendali la strategia e la roadmap delineata sulla base dei risultati dell’analisi della fase precedente. Il terzo step (Fix) sviluppa e implementa le protezioni necessarie per ridurre le vulnerabilità o mitigare gli effetti di un possibile attacco informatico. Enhance, infine, indirizza il tema dell’aumento costante del livello di sicurezza sulla base dell’evoluzione della security posture aziendale e del contesto di riferimento.
Frutto dell’esperienza 4wardPRO, la metodologia S.A.F.E. trae vantaggio dall’effettuazione di cicli continui e iterati per la tutela degli endpoint in un contesto necessariamente olistico di security, capace di adattarsi in modo dinamico all’evoluzione delle minacce portate dal cyber crime.
Contributo editoriale sviluppato in collaborazione con 4wardPRO
