Gli Endpoint costituiscono lo strumento di connessione fra gli utenti finali e le reti e i sistemi di un’azienda e, come tali, rappresentano anche un’importante fonte di vulnerabilità e un frequente bersaglio di quei malintenzionati informatici che desiderano penetrare in una rete per scopi fraudolenti e criminosi: la protezione degli Endpoint, o Endpoint Security, riguarda tutte quelle prassi di sicurezza informatica che mirano a prevenire e/o individuare prontamente i tentativi di effrazione digitale, permettendo rispettivamente di evitare il problema e/o di attivare immediatamente la difesa più appropriata.
I responsabili della sicurezza devono determinare se i vari dispositivi Endpoint possono presentare carenze di sicurezza nell’ambito della rete aziendale, ma anche quando sono utilizzati esternamente al perimetro della società.
Questo si traduce nel valutare e controllare ogni possibile modalità di accesso all’Endpoint: tramite l’utente (password, keyboard), mediante comunicazioni e traffico di rete (LAN, Wi-Fi, Bluetooth), con e-mail e loro allegati, tramite dispositivi collegati da una porta USB e perfino accessi con comandi fraudolenti via audio.
L’accesso non autorizzato solitamente comporta l’intercettazione di informazioni, la sottrazione di dati importanti o sensibili per rivendita, oppure la loro alterazione e/o la trasformazione in dati non più accessibili dagli aventi diritto per creare un danno.
Partiamo dunque alla scoperta di quelle che sono le metodologie, le soluzioni e le tecnologie che consentono di realizzare una efficace protezione degli Endpoint, facendoci accompagnare in questa analisi da Michele Onorato, Security Office Manager in Westpole, che secondo la sua esperienza ha fornito alcuni utili suggerimenti.
Indice degli argomenti
Metodologie di protezione degli Endpoint
Nel documento del NIST Special Publication 800-128 “Guide for Security-Focused Configuration Management of Information Systems” un Endpoint è indicato come l’hardware del PC connesso a Internet su una rete TCP / IP o rete di sistemi di elaborazione distribuiti.
I diversi tipi di rete (LAN, Wi-Fi, 4G, 5G ecc.) hanno i propri tipi di dispositivi Endpoint con cui gli utenti possono accedere alle informazioni: laptop, PC desktop e dispositivi mobili come tablet e smartphone.
Garantire la protezione degli Endpoint rientra nell’ambito delle misure di sicurezza di rete (Sicurezza IT) ed è spesso indicata con “Endpoint Security”. Le modalità e metodologie di protezione passano per l’adozione di diversi strumenti, tipicamente riuniti in un unico framework integrato.
Si parla in questi casi di Piattaforme di Protezione Endpoint (EPP) che sempre secondo il NIST 800-128 possono ricomprendere: sistemi antimalware (antivirus, antispam), firewall, Host-based Intrusion Detection and Prevention System (IDPS), restrizioni a livello di codice Mobile (per evitare attivazioni fraudolente di Active X, Java script ed eseguibili).
Alternativamente esistono anche i sistemi di Endpoint Detection and Response (EDR) che effettuano il rilevamento e la risposta, gestendo le vulnerabilità nell’Endpoint, insieme al monitoraggio continuo e proattivo.
Sia le EPP che le EDR possono incorporare sistemi di machine learning per anomaly detection che richiedono un periodo di apprendimento necessario ad eliminare i falsi positivi. Michele Onorato, interpellato per capire la durata media dell’apprendimento per singolo Endpoint, conferma che “secondo le criticità dell’ambiente cliente possono essere necessari tempi diversi che dipendono anche dai ruoli degli utenti stessi, ma mediamente sono necessarie fra le due e le tre settimane di tempo. In Westpole per evitare i falsi negativi, durante l’apprendimento relativo alla singola postazione (a parte la messa in sicurezza di PC nuovi dove non esiste rischio) utilizziamo anche dei tool di scansione per la valutazione delle vulnerabilità della macchina”.
La scelta di una soluzione di Endpoint protection richiede la verifica di alcune caratteristiche: difese sempre aggiornate rispetto alle nuove minacce e difese Next generation (basate su web protection, e DLP integrate con machine learning), semplicità di deployment e di uso day by day, automazione per ridurre al minimo il tempo operatore, completezza di gestione per non lasciare buchi di protezione, efficacia ed efficienza per non avere falsi positivi e non meno importante la fiducia verso il fornitore della soluzione (fonte: zerounoweb e sceglifornitore.it).
Operativamente la selezione del fornitore di tecnologia richiede un primo assessment interno per determinare quali informazioni proteggere e chi deve potervi accedere. Secondariamente, è necessario scegliere una soluzione di sicurezza per ogni layer tecnologico della pila ISO OSI soggetta ad attacco, tipicamente il livello rete, il livello protocollo e il livello presentazione.
Dopo la scelta e implementazione della soluzione risultante dallo scouting di mercato, è necessario instaurare un ciclo per il miglioramento. Questo ultimo step prevede l’avvio di un monitoraggio che testi e misuri il rendimento di ciascuna soluzione, determinando se esistono ancora importanti vulnerabilità della rete e nel caso affermativo, chiuderle e per poi riavviare il ciclo dei test.
Sul tema metodologico Michele Onorato suggerisce di “utilizzare un approccio a strati che permetta di “securizzare” il dipendente e le azioni che compie, il dispositivo utilizzato e i servizi che l’azienda utilizza sia che siano in cloud o all’interno della propria infrastruttura. È fondamentale altresì effettuare un monitoraggio continuo in ambito cyber proprio per evitare che l’evoluzione delle minacce e degli attacchi renda inefficaci le soluzioni di protezione che a loro volta devono essere dinamiche tramite l’utilizzo di Machine Learning e Threat Intelligence.”. Questo approccio multilivello si rende necessario perché “Le minacce sono in continua evoluzione e gli attaccanti cercano di sfruttare ogni passo falso compiuto dalle aziende. Prendiamo in considerazione lo smart working che oggi ha avuto una accelerazione incredibile dovuto al Covid-19 e che ha costretto le aziende a cambiare modalità di lavoro velocemente, tralasciando gli aspetti inerenti alla security.
Westpole Endpoint protection
Fra le diverse aziende che propongono servizi di Endpoint Protection di tipo Managed troviamo Westpole, azienda spinoff di Hitachi, oggi società Service Provider, Skill Integrator e Partner Tecnologico in ambito Digital Transformation.
L’offerta di Endpoint Protection è parte del framework di protezione che riguarda i tre ambiti: Datacenter, Systems ed Endpoint per le piccole e medie imprese (preferibilmente in cloud) e per le grandi aziende, sia in cloud che on premise. Il partner tecnologico scelto è Trend Micro di cui Westpole è Gold Partner.
La Piattaforma di Protezione Endpoint (EPP) copre sia se l’infrastruttura aziendale è in Cloud o on Premise, quindi, con Endpoint gestiti in Cloud e on Premise. La gestione è sempre centralizzata e per gli Endpoint è previsto l’uso di agent a bordo del device.
L’agent è di tipo modulare il quale, oltre al classico modulo di antivirus basato su firme, può avere capacità di controllo delle app, web reputation, protezione dalle minacce avanzate, DLP (Data Loss Prevention), protezione da vulnerabilità, crittografia, controllo navigazione internet, controllo posta elettronica, quali URL e allegati (per phishing e antispam), oltre al modulo di Endpoint Detection & Response (EDR). Il servizio EDR si occupa di una prima mitigazione (basato su soglia o su base warning, secondo le regole di ingaggio predefinite). La remediation può arrivare fino alla recovery secondo i requisiti concordati. Infatti, sono possibili due livelli di ingaggio: Alerting e/o Remediation con disponibilità del servizio 7×7 x h24.
La protezione Endpoint è realizzata mediante Apex One per le aziende medio/ grandi, mentre Worry Free è utilizzato per le aziende piccole/medio. Entrambe le soluzioni sono basate sulla tecnologia X Gen che consiste in un insieme di tecniche di machine learning e behavioural analysis usate in modo sinergico fra loro, ovvero singolarmente o insieme, secondo convenienza computazionale e casistica di analisi della minaccia per ottimizzare le performance.
Questo significa che ogni tecnologia è usata al momento opportuno per eliminare il cosiddetto “rumore di fondo”, ovvero i casi falsi positivi, applicando le varie tipologie di analisi solo al momento in cui sono realmente utili. Le due soluzioni effettuano monitoraggio e tracciamento di comportamenti anomali che valutati unitamente ai risultati di altre analisi parallele di threat intelligence, permettono di effettuare una correlazione di indizi della potenziale minaccia. Trend Micro rende disponibili dati anonimizzati di threat intelligence provenienti dal suo parco istallato e dai propri laboratori di ricerca e tutti i partner beneficiano della base di conoscenza comune a cui attingono i tool di correlazione e machine learning localmente installati.
Nell’ambito degli elementi distintivi rispetto ai competitor, Michele Onorato sottolinea “Westpole è certificata ISO 27001, ISO 27017, e ISO 27018, (le ultime due consentono di erogare servizi in cloud per la PA). La gestione di protezione degli Endpoint è sempre centralizzata (sia per Cloud che per Endpoint on premise) e l’approccio di protezione è modulare. Le soluzioni Managed si rivolgono ad ogni dimensione aziendale, tuttavia, per le PMI è prevista una scontistica particolare”.
Per quanto riguarda gli eventuali device usati in BYOD policy dagli utenti di una azienda e che devono essere inseriti nel sistema di protezione Endpoint, Westpole si adegua alle policy che normalmente dovrebbero già esistere in azienda e che dovrebbero prevedere norme comportamentali parte degli utenti aziendali fornendo indicazioni per il trattamento dati e le limitazioni appropriate per i PC personali.
Tecnologie e soluzioni per la protezione degli Endpoint
Sono moltissimi i vendor e fornitori di soluzioni di Endpoint protection e naturalmente sono tutti classificati secondo il Gartner Magic Quadrant aggiornato al 2019. La classificazione che si divide nei noti quattro quadranti di Niche Players (Giocatori di nicchia), Visionaries (Visionari), Challengers (sfidanti) e Leaders, evidenzia il posizionamento secondo una analisi su base annuale rispetto ai due assi: “completezza della vision” e “abilità di esecuzione” (sotto a sinistra).
Il quadrante aggiornato ad agosto 2019 (sotto a destra) evidenzia come leader del quadrante Microsoft, Crowdstrike, Symantec (oggi Broadcom), Trend Micro, e Sophos per la categoria Leaders. Mcafee, Kaspersky, Carbon Black e SentinelOne sono risultati Visionaries, ed Eset unico fra i challengers. Tutti gli altri sono relegati a Niche players.
La maggior parte delle aziende medio grandi potrebbero optare per la scelta di uno dei Vendor ed implementare la soluzione nella propria realtà. Tuttavia, alcune di queste e sicuramente le aziende di piccole dimensioni molto spesso optano per un servizio gestito, meglio noto come Managed Service, per mancanza di competenze interne o per disponibilità di budget più limitati che permettono di coprire una sottoscrizione annuale, piuttosto che l’acquisizione di una tecnologia e la sua gestione e ammortamento come asset interno.
Chi fornisce Servizi Managed di Endpoint Protection deve saper garantire SLA e fornire trasparenza sulle modalità di gestione del servizio, rendendosi disponibile ad eventuali clausole contrattuali che il cliente potrebbe voler introdurre a garanzia di “affidabilità attuativa”. Michele Onorato anche in questo caso suggerisce di “richiedere la disponibilità di utilizzare un Cloud europeo perché è soggetto alle leggi comunitarie. Per i servizi che eroghiamo nel Cloud europeo Westpole consentiamo l’auditing da parte del cliente eventualmente il logging, e la comprovata cancellazione dei dati a fine contratto. In generale per gli accordi sui livelli di servizio (SLA), per le garanzie di trattamento e per ogni altra richiesta nel rispetto del GDPR, siamo aperti a considerare clausole contrattuali avendo un ufficio legale appositamente predisposto a gestire queste tematiche”.
Mentre per la scelta dei Vendor tecnologici si può partire dal quadrante Gartner, la scelta del fornitore per un servizio Managed può risultare più complessa. Infatti, fra le caratteristiche suggerite nella metodologia per identificare la migliore soluzione/fornitore, la caratteristica della fiducia e affidabilità costituiscono il punto più difficile da valutare.
In parte questo problema può essere risolto dall’introduzione di garanzie contrattuali, ma analizzare la completezza delle difese rispetto ai rischi, la modularità del framework proposto e la compliance normativa può rappresentare una buona base di partenza.
Contributo editoriale sviluppato in collaborazione con Westpole
