Tutti i segreti della Cybersecurity: il blog di Cyberoo

Tutti i limiti dell’endpoint security

Scritto da cyberoo-admin | 23 febbraio 2023

I rischi si annidano lì, tra desktop, laptop e smartphone. I dispositivi utilizzati sul posto di lavoro – sempre più spesso in modalità ibrida tra casa e ufficio – rappresentano la prima linea critica di difesa in fatto di sicurezza informatica. Secondo uno studio condotto dal Ponemon Institute, il 68% delle organizzazioni ha subito uno o più attacchi agli endpoint che hanno compromesso i dati e l’infrastruttura IT dell’azienda.

La stessa percentuale di rispondenti denuncia una crescita degli attacchi diretti proprio agli endpoint e una sempre maggiore difficoltà di rilevamento. Più della metà delle organizzazioni ammette che rilevare le minacce è diventato oggi un problema, dal momento che le soluzioni di endpoint protection adottate non si rivelano nei fatti efficaci a individuare per tempo gli attacchi avanzati.

Source: Adaptiva Report 2022

D’altronde, tra phishing, social engineering e configurazioni errate dei software, gli attaccanti hanno solo l’imbarazzo della scelta nella ricerca di una via per penetrare nei sistemi aziendali. Di fronte all’aumento del lavoro da remoto, alla diffusione di dispositivi basati su Internet of Things (IoT) e al moltiplicarsi di device connessi alla rete nella disponibilità di dipendenti e clienti, il numero di endpoint è cresciuto a dismisura e con esso anche la quantità di vulnerabilità da sanare e di minacce da respingere.

 

Endpoint security, tra vantaggi e svantaggi

Per proteggere gli endpoint, le aziende si affidano ad antivirus e gestione delle patch, ma sempre più spesso anche a soluzioni di Endpoint Detection and Response (EDR) per rilevare i primi segnali di attacco e bloccarli. Queste soluzioni sono progettate per individuare le minacce dirette verso gli endpoint attraverso un monitoraggio continuo degli stessi: registrano tutte le attività del dispositivo tramite agent e, in alcuni casi, sono in grado di fornire agli analisti interni all’organizzazione le informazioni necessarie per rispondere alla minaccia.

Source: Adaptiva Report 2022

Tuttavia, le soluzioni di EDR forniscono ai team di sicurezza una visione necessariamente parziale. In ambienti cloud dinamici e caratterizzati da un’elevata distribuzione delle risorse, questo genere di copertura diventa sempre meno efficace. Concentrando gli sforzi sulle strategie di prevenzione, molte imprese hanno perso ogni visibilità sugli attacchi perpetrati attraverso la rete, perché non sono in grado di rilevare movimenti laterali e minacce sconosciute.

C’è poi il problema della mole di dati. Anche le soluzioni di endpoint security che eseguono una ricerca proattiva delle minacce riscontrano criticità nel gestire e analizzare enormi quantità di dati. Il risultato è un numero elevato di falsi positivi che aumenta le difficoltà di rilevamento per gli analisti del Security Operation Center (SOC), chiamati a destreggiarsi tra alert continui alla ricerca di un reale segnale di attacco da scongiurare.

 

I limiti dell’endpoint security e il ruolo del Managed Detection and Response (MDR)

Sempre secondo lo studio del Ponemon Institute, nell’arco degli ultimi due anni oltre la metà delle aziende ha sostituito la propria soluzione di sicurezza per gli endpoint, giudicata inadeguata o troppo complessa. Il 64% delle aziende considera l’EDR inefficace contro le minacce nuove o sconosciute e il 61% ammette di non avere il personale necessario da affiancare a tali soluzioni. La sicurezza degli endpoint, insomma, ha bisogno di evolvere per stare al passo con le nuove priorità aziendali.

Source: Adaptiva Report 2022

Oggi che i perimetri IT tradizionali si stanno ampliando e stanno diventando sempre più permeabili, il rilevamento delle minacce è diventato essenziale per garantire la sicurezza delle organizzazioni. Ecco perché il paradigma della cybersecurity si sta spostando da un modello basato sulla prevenzione a un modello basato sul rilevamento, capace di garantire una risposta rapida e automatica nel caso in cui un attacco vada a segno. Parliamo di una transizione necessaria da un modello EDR-based al Managed Detection and Response (MDR), un approccio olistico a cura di un provider che si occupa di gestire interamente la sicurezza informatica dell’azienda cliente.

Source: Adaptiva Report 2022

Quando un attacco è in corso, non basta infatti alzare barricate soltanto davanti alle porte d’ingresso. Un moderno sistema di protezione non può limitarsi alla sola endpoint security, ma deve fare affidamento su soluzioni di rilevamento e risposta estese a tutte le aree e a tutti i livelli dell’infrastruttura, meglio se dotate di Intelligenza Artificiale.

Scegliere un servizio di MDR permette di proteggere non solo i dispositivi, ma anche applicazioni, database, storage, reti e workload in cloud, grazie a un team competente disponibile 24 ore su 24, supportato dalle più moderne tecnologie. Solo in questo modo è possibile superare i limiti dell’endpoint protection tradizionale e proiettare l’organizzazione in un futuro in cui gli attacchi cyber non rappresentano più una minaccia, o meglio: non fanno più paura.