Sicurezza degli endpoint, la prima linea critica di difesa della sicurezza informatica di una rete, protegge gli utenti finali e i dispositivi endpoint – desktop, laptop, dispositivi mobili, server – dagli attacchi informatici. La sicurezza degli endpoint protegge la rete anche da avversari che tentano di utilizzare i dispositivi endpoint per avviare attacchi informatici rivolti a dati sensibili e altri asset sulla rete.
Gli endpoint rimangono il punto di ingresso principale della rete aziendale per gli attacchi informatici. Diversi studi calcolano che fino al 90% degli attacchi informatici attuati con successo e fino al 70% delle violazioni di dati altrettanto riuscite hanno origine nei dispositivi endpoint. Secondo l'IBM® Security Cost of a Data Breach Report 2021, una violazione dei dati costa alle aziende in media 4,24 milioni di dollari.
Oggi, le aziende devono proteggere un numero di endpoint e di tipi di endpoint senza precedenti. Le politiche BYOD (Bring-your-own-device), l'aumento del lavoro da remoto e il numero crescente di dispositivi IoT, dispositivi visualizzabili dai clienti e prodotti connessi alla rete hanno moltiplicato gli endpoint che gli hacker possono sfruttare e le vulnerabilità che i team della sicurezza devono eliminare.
Il software originale di sicurezza degli endpoint, il software antivirus, protegge gli endpoint da forme conosciute di malware: trojan, worm e altro ancora.
Il software antivirus tradizionale eseguiva una scansione dei file su un dispositivo endpoint alla ricerca di firme di malware: stringhe di byte caratteristiche per virus o malware noti. Il software avvisava l'utente o l'amministratore quando veniva rilevato un virus e forniva strumenti per isolare e rimuovere il virus e riparare eventuali file infettati.
Il software antivirus di oggi, spesso chiamato NGAV (next-generation antivirus - antivirus di nuova generazione) è in grado di individuare e combattere i tipi di malware più recenti, compreso il malware che non lascia firma. Ad esempio, NGAV può rilevare malware fileless, cioè malware che risiede in memoria e inserisce script dannosi nel codice di applicazioni legittime. NGAV può anche individuare attività sospetta utilizzando l'euristica, che mette a confronto modelli di funzionamento sospetti con quelli di virus noti, e la scansione dell'integrità, che esegue la scansione dei file alla ricerca di segni di virus o infezione da malware.
Il software antivirus da solo può essere adeguato a proteggere un numero esiguo di endpoint. Per superare questo limite, è necessaria di solito una piattaforma di protezione degli endpoint o EPP. Una EPP combina NGAV con altre soluzioni per la sicurezza degli endpoint, tra cui:
- Controllo web: A volte definito filtro web, questo software protegge gli utenti e la tua organizzazione dal rischio che codice nocivo sia nascosto nei siti web o nei file scaricati dagli utenti. Il software di controllo web include anche funzionalità di whitelist e blacklist che consentono al team della sicurezza di controllare quali siti possono visitare gli utenti.
- Classificazione dei dati e prevenzione della perdita di dati: queste tecnologie documentano dove sono memorizzati i dati sensibili, nel cloud oppure on-premise, e impediscono l'accesso non autorizzato a tali dati o la loro divulgazione.
- Firewall integrati: questi firewall sono hardware o software che applicano la sicurezza delle rete impedendo il traffico non autorizzato in entrata e in uscita dalla rete.
- Gateway email: questi gateway sono software che esaminano le email in entrata per bloccare attacchi di phishing e social engineering.
- Controllo dell'applicazione: questa tecnologia consente ai team della sicurezza di monitorare e controllare l'installazione e l'uso di applicazioni su dispositivi e può bloccare l'uso e l'esecuzione di app non sicure o non autorizzate.
Un'EPP integra queste soluzioni endpoint in una console di gestione centrale, dove i team della sicurezza o gli amministratori di sistema possono monitorare e gestire la sicurezza per tutti gli endpoint. Ad esempio, un'EPP può assegnare strumenti di sicurezza appropriati ad ogni endpoint, applicare aggiornamenti o patch a quegli strumenti, secondo necessità, e amministrare politiche di sicurezza aziendali.
Le EPP possono essere installate on-premise o basate su cloud. Ma l'analista del settore d'industria Gartner (link esterno a ibm.com), che per primo ha definito la categoria EPP, sottolinea che 'Soluzioni EPP desiderabili sono principalmente gestite su cloud, il che consente il monitoraggio e la raccolta continui di dati dell'attività, insieme alla capacità di intraprendere azioni di correzione da remoto, nel caso in cui l'endpoint si trovi sulla rete aziendale o fuori della sede di lavoro.'
Le EPP si concentrano sulla prevenzione delle minacce note o delle minacce che si comportano in modi conosciuti. Un'altra classe di soluzioni per la sicurezza degli endpoint, denominata EDR (Endpoint detection and response - Rilevamento degli endpoint e risposta), consente ai team della sicurezza di rispondere alle minacce che si insinuano negli strumenti preventivi per la sicurezza degli endpoint.
Le soluzioni EDR monitorano continuamente i file e le applicazioni che accedono ad ogni dispositivo, alla ricerca di attività sospetta o malevola che indichi malware, ransomware o minacce avanzate. Inoltre, l'EDR raccoglie continuamente dati e telemetria relativi alla sicurezza, archiviandoli in un data lake dove possono essere utilizzati per l'RTA (real-time analysis - analisi in tempo reale), l'indagine sulla causa principale, il threat hunting e altro ancora.
L'EDR include normalmente advanced analyitics, analisi comportamentale, intelligenza artificiale e machine learning, capacità di automazione, intelligent alerting e funzionalità di indagine e correzione che consentono ai team della sicurezza di:
- Mettere in correlazione gli IOC (indicators of compromise - indicatori di compromissione) e altri dati relativi alla sicurezza dell'endpoint con i feed di threat intelligence per rilevare minacce avanzate in tempo reale
- Ricevere notifiche di attività sospetta o minacce effettive in tempo reale, insieme a dati contestuali, che possono aiutare ad isolare le cause principali e accelerare l'indagine sulla minaccia
- Eseguire l'analisi statica (analisi di codice sospetto, malevolo o infetto) o l'analisi dinamica (esecuzione di codice sospetto in isolamento)
- Impostare soglie per i comportamenti dell'endpoint e avvisi nel caso in cui tali soglie vengano superate
- Automatizzare le risposte, ad esempio la disconnessione e l'isolamento in quarantena di singoli dispositivi o il blocco di processi, per mitigare il danno fino a quando la minaccia non potrà essere risolta
- Determinare se altri dispositivi endpoint sono interessati dallo stesso attacco informatico.
Molte EPP più recenti o più avanzate includono alcune funzionalità EDR, ma, per una protezione completa dell'endopoint, che comprende prevenzione e risposta, la maggior parte delle aziende dovrebbe utilizzare entrambe le tecnologie.
Extended detection and response (Rilevamento e risposta estesi), o XDR, estende il modello EDR di rilevamento e risposta in caso di minacce a tutte le aree o i livelli dell'infrastruttura, proteggendo non solo i dispositivi endpoint ma anche applicazioni, database e storage, reti e carichi di lavoro cloud. L'offerta SaaS (software-as-a-service) XDR protegge risorse installate on-premise e su cloud. Alcune piattaforme XDR integrano prodotti per le sicurezza da un singolo vendor o provider di servizi cloud, ma le migliori consentono anche alle organizzazioni di aggiungere e integrare le soluzioni di sicurezza che preferiscono.
Integra un'unica strategia alle soluzioni EDR e alla sicurezza degli endpoint utilizzando l'automazione e l'AI per rilevare e correggere le minacce in tempo quasi reale.
Blocca le minacce alla sicurezza dei dispositivi mobili con soluzioni di sicurezza per dispositivi mobili aziendali, che consentono la distribuzione flessibile di app, contenuti e risorse nei vari dispositivi.
Adotta un approccio aperto, basato sull'intelligenza artificiale e sul cloud, per proteggere e gestire qualsiasi dispositivo con soluzioni UEM (unified endpoint management - gestione unificata degli endpoint).
Proteggi l'infrastruttura di rete dalle minacce avanzate e dal malware con la threat intelligence in tempo reale e la protezione dalle minacce di nuova generazione.
Distribuisci soluzioni di sicurezza zero trust per l'azienda, per proteggere i dati e le risorse rendendoli accessibili solo quando tutti i criteri sono soddisfatti.
Garantisci la sicurezza per l'ambiente di cloud ibrido, integrando la sicurezza in ogni fase del tuo percorso.
Proteggi i dati aziendali e occupati della conformità normativa con soluzioni e servizi di sicurezza incentrati sui dati.
Centralizza la tua capacità di rilevare, indagare e rispondere in caso di minacce estremamente critiche alla sicurezza informatica, che interessano l'intera organizzazione.
Comprendi il tuo scenario di sicurezza informatica e assegna una priorità alle iniziative insieme ad architetti e consulenti senior di sicurezza IBM in una sessione gratuita di design thinking, in modalità virtuale o di persona, della durata di 3 ore.
Il Cost of a Data Breach Report analizza gli impatti finanziari e le misure di sicurezza che possono aiutare la tua organizzazione ad evitare una violazione dei dati o, nel caso se ne verificasse una, a ridurne i costi.
Un approccio integrato a una visibilità e un controllo migliori sulla tua organizzazione mobile.
I servizi di gestione del firewall di IBM aiutano a migliorare il tuo profilo di sicurezza con una solida gestione della sicurezza del firewall.
I servizi di gestione della sicurezza degli endpoint IBM Security includono consulenza e sicurezza dell'endpoint gestita in una vasta gamma di soluzioni di protezione degli endpoint.
Zero Trust è un framework che presuppone che la sicurezza di una rete complessa sia sempre a rischio di minacce esterne e interne.
La E2EE (end-to-end encryption - crittografia end-to-end) è un processo di comunicazione sicuro che impedisce a terze parti di accedere ai dati trasferiti da un endpoint a un altro.
La sicurezza di rete protegge l'infrastruttura IT da diverse minacce bloccando gli accessi non autorizzati alla tua rete e ai dispositivi connessi a tale rete.
MDM è una metodologia comprovata e una serie di strumenti che si utilizzano per fornire ad una forza lavoro applicazioni e strumenti per la produttività mediante dispositivi mobili, mantenendo sicuri i dati aziendali.
Scopri in che modo la sicurezza dei dati aiuta a proteggere le informazioni digitali da accessi non autorizzati, danneggiamenti o furti lungo il loro intero ciclo di vita.
La tecnologia SIEM fornisce il rilevamento delle minacce e l'automazione della sicurezza avanzati necessari per aiutare le organizzazioni ad eseguire la scalabilità ottimizzando al tempo stesso la conformità IT e la business continuity.
IBM Security collabora con te per aiutarti a proteggere la tua azienda con un portfolio avanzato e integrato di prodotti e servizi per la sicurezza aziendale.