Cosa è l'Endpoint Protection?
La Endpoint Protection è una disciplina di security ad ampio spettro, che obbliga i professionisti della sicurezza informatica a esaminare tutte le possibili vie d'accesso che potrebbero essere intraprese per lanciare un attacco. In una logica basata sulla Managed Detection and Response (MDR), garantire la sicurezza degli endpoint significa implementare delle strategie di sicurezza IT per mantenere sotto controllo tutti i dispositivi aziendali.
Definizione di Endpoint Protection e suo perimetro di applicazione
Il termine Endpoint Protection indica un sistema per la gestione della sicurezza che si concentra su apparati di rete o singoli device (workstation e dispositivi mobili) da cui si accede a una rete. Il termine descrive anche pacchetti software specifici, che riguardano la sicurezza stessa degli endpoint (fonte technopedia). Generalmente la Endpoint Protection rientra nell'ambito delle misure di sicurezza di rete ed è spesso indicata anche come Endpoint Security. Un endpoint è invece qualsiasi dispositivo, connessione o portale, che ha accesso alla rete interna di un'azienda.
La Endpoint Protection ha particolare importanza in ambito MDR, perché sono proprio i singoli device dell’utente che spesso costituiscono il punto di ingresso di una minaccia digitale. A causa delle ingenuità di utenti raggirati o poco attenti, si verificano effrazioni con contaminazione del device che costituisce quindi il punto debole o peggio la backdoor a una intera rete aziendale o dell’organizzazione pubblica o privata. A peggiorare lo scenario anche l’uso promiscuo dei device personali (smartphone, laptop, tablet, PC) a fini aziendali, senza le dovute precauzioni. Questa condizione è spesso indicata con il termine Bring Your Own Device (BYOD). In periodo pandemico lo smart working ha contribuito al fenomeno BYOD, contribuendo alla estensione della superficie di attacco e consentendo agli attaccanti una maggiore possibilità di successo nelle loro attività di Cybercrime.
Minacce agli Endpoint
I device infettati (mobile, PC, laptop, o singoli apparati IoT, o sistemi endpoint di rete) sguarniti di Endpoint Protection aprono l’accesso agli attaccanti che possono effettuare movimenti laterali, per spargere la minaccia, fra i sistemi e fra le sotto reti LAN di una rete aziendale. A partire da una singola mail di phishing, i malintenzionati digitali possono ingannare le potenziali vittime con vari espedienti legati all’ingegneria sociale, creando trappole, truffe, frodi per sottrarre dati personali, finanziari, o di proprietà intellettuale, inoculando infostealer e altri malware che facilitano i data breach.
Una situazione ancora peggiore è costituita dalla “zombizzazione” dei singoli PC che vengono inclusi in una rete Botnet per essere soggetto attivo (anche se inconsapevole da parte del proprietario vittima) di attacchi DDOS coordinati dagli attaccanti, oppure possono essere utilizzati per la rispettiva potenza di calcolo al fine ultimo di minare cripto-valute.
Infine, i malware che possono avere effetti ancora più devastanti sono i ransomware, malware che bloccano, criptano i device e chiedono un riscatto per rilasciare il blocco e i dati (anche se spesso non è affatto garantito il rilascio). La compromissione di un singolo PC può restare silente, senza la dovuta Endpoint Protection, fino al momento in cui il ransomware si attiva per criptare e bloccare ogni azione in tutta la rete infettata.
Realizzare la Endpoint Security
La protezione dei dispositivi personali, aziendali, fissi o mobili, passa per l’implementazione di soluzioni di Endpoint Security, che possono comprendere sistemi antivirus, antispam, antispyware, capacità di detection e response, anomaly detection, analisi comportamentali o tutte queste feature insieme. Si parla in questi casi di Piattaforme di Protezione Endpoint (EPP) come di un insieme di strumenti e tecnologie software che consentono la protezione dei dispositivi endpoint, ovvero “una soluzione di sicurezza unificata che combina antivirus, antispyware, rilevamento/prevenzione delle intrusioni, un firewall personale e altre soluzioni di protezione degli endpoint” (fonte Technopedia). Possono essere soluzioni distribuite su dispositivi endpoint per rafforzarli, prevenendo malware basati su file, rilevando e bloccando attività dannose da applicazioni attendibili e non attendibili, e fornendo le capacità di indagine e riparazione necessarie per rispondere dinamicamente a incidenti e avvisi di sicurezza (fonte Gartner).
Si distinguono anche sistemi di Endpoint Detection and Response (EDR), che effettuano il rilevamento e la risposta, creando una struttura e un framework per la gestione delle vulnerabilità nell'endpoint, uniti all’ monitoraggio continuo e proattivo. Alcuni professionisti della sicurezza lo correlano alla advanced threat protection per i modelli utilizzati nella difesa. Per definire le priorità nella Endpoint Protection è necessario seguire gli step di raccolta di informazioni per capire cosa proteggere e chi deve accedervi. Secondariamente è necessario scegliere una soluzione di sicurezza per ogni layer di tecnologia, dando le autorizzazioni secondo il criterio del “least privilege” e del “need to know”. In ultimo è necessario implementare le soluzioni selezionate e passare alla modalità di monitoraggio dopo aver testato attentamente e misurato il rendimento di ciascuna soluzione, determinando se esistono ancora importanti vulnerabilità della rete e nel caso affermativo, chiuderle e riiniziare il ciclo dei test.
Esiste poi una terza categoria classificata come Cross Layered, in cui ricade anche la CyberSecurity Suite di CYBEROO. Le soluzioni Cross Layered estendono le capacità degli EDR, ampliando l’integrazione di più soluzioni di sicurezza distribuite attraverso una prospettiva di MDR che garantisce la massima protezione delle infrastrutture digitali. Utilizza le tecnologie più recenti e attuali per fornire una maggiore visibilità e raccogliere e correlare le informazioni sulle minacce, utilizzando analisi e automazione per aiutare a rilevare gli attacchi attuali e futuri.
Per approfondimenti sulla Endpoint Protection
Per approfondire si consiglia di analizzare i diversi strumenti disponibili.
Per una completa lista di terminologia sul tema Endpoint Protection si può consultare il glossario infosec.
