La sicurezza degli endpoint rappresenta un anello importante nella catena difensiva delle aziende: qualunque presidio posto a protezione del perimetro IT, ormai sempre più virtuale e dinamico per via dell’utilizzo massivo di tecnologie cloud e mobile soprattutto in questo periodo di smart working più o meno forzato, avrebbe infatti un’efficacia limitata se non si riuscisse a garantire anche un’elevata difesa degli endpoint dalle sempre più numerose minacce che incombono sulle tecnologie e sugli utenti.
Tutti i dispositivi endpoint in grado di connettersi alla rete aziendale rappresentano, infatti, potenziali punti d’ingresso per le minacce alla sicurezza informatica e hanno bisogno di una protezione efficace perché rappresentano spesso l’anello più debole nella sicurezza di rete.
Indice degli argomenti
Sicurezza degli endpoint: gli scenari di rischio
Sarebbe sbagliato, però, limitare la sicurezza degli endpoint all’adozione di una semplice soluzione di sicurezza. Innanzitutto, perché i software di endpoint security tendono a diventare rapidamente obsoleti e purtroppo i dipendenti tendono a dimenticare di effettuare gli aggiornamenti. E poi perché il classico antivirus e più in generale i software di protezione “standalone” non sono più in grado di garantire un’efficace protezione nei confronti di minacce cyber sempre più evolute e sofisticate.
Il più delle volte, inoltre, le tradizionali soluzioni di sicurezza degli endpoint tendono a “blindare” la sicurezza dei dispositivi attivi all’interno del perimetro aziendale adottando una serie di operazioni di verifica degli accessi che rischiano di frenare la produttività degli utenti.
Senza dire che in condizioni di smart working questi sistemi di sicurezza si rivelano molto meno efficaci in quanto aumenta la superficie di esposizione ad attacchi.
Ad esempio, i dipendenti che accedono da remoto alla rete aziendale spesso preferiscono lavorare sui propri dispositivi e scaricano applicazioni senza prima consultare il team di sicurezza IT. È probabile che si tratti comunque di un’applicazione approvata, ma in ogni caso sposta dati riservati senza monitoraggio e i criminal hacker potrebbero sfruttarla proprio per spostarsi nella rete senza essere individuati.
Sempre più aziende, inoltre, si stanno indirizzando verso soluzioni tecnologiche IoT (Internet of Things) per facilitare le comunicazioni e i flussi di lavoro. I dispositivi IoT, però, raramente possiedono protezioni per la sicurezza informatica sul proprio firmware o software di controllo: è evidente, quindi, che quando si connettono alle reti aziendali, potrebbero trasformarsi in punti ciechi che i criminal hacker potrebbero sfruttare per penetrare nel perimetro aziendale.
È dunque importante, per garantire la migliore postura di cyber security aziendale ed essere nelle migliori condizioni per poter affrontare una sempre maggiore complessità ed estraneità della minaccia (zero-day e APT), affiancare ai classici sistemi di sicurezza informatica verticali come antivirus e firewall in grado di bloccare e prevenire i possibili attacchi conosciuti, anche soluzioni basate su intelligenza artificiale e machine learning in grado di identificare e bloccare non solo le minacce esterne e ancora sconosciute ma anche quelle interne alle organizzazioni stesse.
La sicurezza degli endpoint come processo aziendale
Alla luce di ciò è evidente come la sicurezza della postazione di lavoro diventa di fatto un processo aziendale complesso da sviluppare su cinque pilastri fondamentali nello sviluppo di qualunque sistema di cyber security:
- gestione dell’identità digitale del dipendente;
- valutazione della proprietà della postazione di lavoro (BYOD, CYOD o COPE);
- formazione sulla sicurezza informatica del dipendente;
- informazione e formazione sui software installati;
- gestione delle destinazioni, cioè dei posti in cui si reca il dipendente con la sua postazione di lavoro in termini di servizi, siti e cloud.
Ovviamente, le soluzioni tecnologiche che le aziende adottano nel tempo sono molteplici ed eterogenee tendendo verso una naturale evoluzione e ciò richiede un conseguente adattamento dei cinque ambiti appena visti.
Ciò che è importante è che tutte le soluzioni adottate sulle postazioni di lavoro, siano esse soluzioni dedicate alla sicurezza, come per esempio l’antivirus, le soluzioni di web filtering o i client VPN, piuttosto che generiche applicazioni aziendali, devono essere controllate e coordinate tra loro per garantire un alto livello di sicurezza degli endpoint e quindi dei dati aziendali.
Nelle aziende sempre più data driven che operano in un contesto di digital transformation e smart working caratterizzato dall’utilizzo massivo di tecnologie disruptive come il 5G e il Cloud è sicuramente importante identificare e bloccare immediatamente qualunque possibile minaccia agli endpoint.
Ma al tempo stesso diventa fondamentale anche prevenire con largo anticipo ogni possibile rischio cyber correlato non solo a possibili attacchi informatici e a nuovi o non ancora identificati codici malevoli, ma anche alle azioni dannose più o meno inconsapevoli dei dipendenti sui dati (accessi, spostamenti di file digitali, operazioni di backup in rete o sul cloud ecc.) che potrebbero esporre il prezioso patrimonio informativo aziendale.
Soluzioni per mettere in sicurezza la postazione di lavoro
Uno scenario complesso che richiede l’adozione di soluzioni avanzate in grado di adattarsi alle differenti realtà e quindi realmente in grado di proteggere al meglio il perimetro aziendale.
In questo senso, la Titaan Suite e la Cyber Security Suite di Cyberoo pongono attenzione a ciò che succede ai sistemi aziendali in logiche di smart monitoring la prima e di cyber security la seconda.
Titaan viene definito come un “system behaviour analyser” e rappresenta una piattaforma che supera il paradigma dei classici sistemi di monitoraggio basato sulle soglie statiche. Titaan è infatti in grado di identificare e prevenire le inefficienze dei sistemi, basandosi dunque non su soglie impostate dall’utente, ma sullo studio del comportamento della macchina stessa che avviene attraverso complessi algoritmi di intelligenza artificiale in grado di rilevare puntualmente tutti gli eventuali comportamenti anomali e segnalando reali problematiche, riducendo al minimo il rischio di ottenere dei falsi positivi.
Titaan è inoltre in grado di fare un’analisi predittiva fino a otto settimane dei problemi di sicurezza per individuare cosa e come sta causando i malfunzionamenti del sistema.
Con Titaan Atlaas (uno dei tre componenti fondanti della Titaan Suite) è possibile, così, mantenere sotto controllo ed efficiente lo stato di salute delle postazioni di lavoro e lo stato di aggiornamento di tutti i software installati, ma anche monitorare l’accesso ai dati all’interno dell’azienda mediante le login amministrative o dei singoli utenti, oltre a tutto ciò che in un dominio aziendale può cambiare dal punto di vista dell’identità digitale (creazione di un utente, cambio di una password o appartenenza ad un gruppo di lavoro).
Cypeer (una delle due soluzioni che compongono la Cyber Security Suite), invece, è in grado di integrarsi perfettamente nell’infrastruttura di controllo già in essere nel perimetro aziendale consentendo di porre particolare attenzione a tutti quegli eventi di sicurezza che coinvolgono le soluzioni adottate dall’azienda, gli accessi al patrimonio informativo e l’utilizzo dei servizi cloud.
Nell’ambito specifico della sicurezza degli endpoint gioca un ruolo fondamentale il Cypeer Agent (secondo componente della Cyber Security Suite), in quanto è in grado di “guardare” e interpretare con molta attenzione e granularità tutto ciò che avviene sul sistema, sia esso un server o una postazione di lavoro.
In particolare, il Cypeer Agent si accorge di ciò che succede, lo registra e valuta l’eventuale gravità dell’azione in corso. Qualora non dovesse intervenire direttamente con processi di autoremediation, passa il report all’algoritmo di intelligenza artificiale integrato che a sua volta lo interpreta e lo correla con tutto quello che sta succedendo all’interno e all’esterno dell’azienda.
È evidente, quindi, come l’utilizzo combinato di queste soluzioni di sicurezza consenta non solo di intervenire in tempo reale su tutte le possibili minacce che incombono sugli endpoint, ma anche di prevenirle grazie ad evoluti strumenti di smart monitoring. Ad esempio, l’utilizzo congiunto del Cypeer Agent e di Titaan consente di identificare e bloccare eventuali attacchi di tipo man-in-the-middle, molto pericolosi soprattutto in ambito di smart working.
Ed è proprio nel contesto dello smart working che riveste un’importanza fondamentale il ritrovamento di dati e informazioni riservate sottratte in qualche modo dalla postazione di lavoro. Grazie alla soluzione CSI (Cyber Security Intelligence, il secondo componente della Cyber Security Suite) è possibile rintracciare queste informazioni su Internet, sia esso Clear, Deep o Dark Web.
Conclusioni
È dunque evidente come, di fronte a minacce informatiche sempre più evolute e mirate, le classiche soluzioni di sicurezza verticali (una su tutte, l’antivirus) devono essere necessariamente affiancate da sistemi di controllo evoluti e basati di algoritmi di intelligenza artificiale e machine learning che consentono di avere sempre sotto controllo e addirittura di predire quello che sta succedendo all’interno dei confini fisici e virtuali del perimetro aziendale.
In questo modo è possibile sapere in tempo reale cosa sta succedendo all’endpoint in termini di stato di salute del sistema e delle applicazioni, ma anche e soprattutto in termini di confidenzialità, integrità, disponibilità e affidabilità del dato, oltre che, non trascurabile di privacy e libertà di pensiero che, soprattutto per dispositivi BYOD, rappresentano aspetti che non possono certo essere trascurati.
Contributo editoriale sviluppato in collaborazione con Cyberoo
