Pc, notebook, smartphone e tablet di ogni tipo e basati su diversi sistemi operativi. Le infrastrutture It dell’era della digital transformation, della mobility e del cloud, sono caratterizzate da un’esplosione degli endpoint che si connettono alle reti aziendali. E che, se non messi in adeguata sicurezza, possono rappresentare altrettanti vettori a disposizione degli hacker, che oggi non sono più singoli che confezionano il virus capace di ottenere un forte impatto dimostrativo, ma soprattutto organizzazioni criminali spesso tecnologicamente più avanzate dei dipartimenti It delle singole aziende.
Figura 1 – Progressione degli investimenti in soluzioni di endpoint protection dal 2010 al 2014 Fonte: Forrester, ottobre 2014 Il report The State Of Endpoint Security Adoption 2014 to 2015 di Forrester sottolinea come, tra il 2013 e il 2014, gli investimenti in Client threat management delle aziende enterprise (oltre 1.000 dipendenti) e delle piccole e medie imprese (20-999 addetti) abbiamo subìto un’impennata. Se negli anni questa voce dell’It security cresceva a tassi del 9-10%, nel 2014 si è registrato un +12% nell’enterprise e del 15% nello small and medium business (figura 1).
Ferma restando l’importanza di avere a bordo degli endpoint delle soluzioni antimalware tradizionali signature-based (in grado di bloccare le minacce identificate dai vendor di sicurezza e rispetto alle quali questi fornitori aggiornano in modo più sollecito possibile i motori di scansione degli antivirus) oggi l’obiettivo dell’endpoint protection è di adottare misure di sicurezza avanzate e proattive. Questo trend ha un impatto sulle scelte di investimento sia rispetto ai sistemi di security integrati nei client, sia rispetto a quelli più tradizionalmente implementati lungo la periferia dei network d’impresa, e in particolare i firewall. Anche questi ultimi necessitano di upgrade per renderli in grado sia di affrontare uno scenario di nuove minacce che sfruttano la crescente digitalizzazione dei processi di business e collaborazione, sia per svolgere un ruolo sinergico con le soluzioni a bordo degli endpoint e con quelle di Mobile Device Management. Già, perché una parte rilevante dei cambiamenti in atto nel mondo della sicurezza è legata proprio alla proliferazione dei dispositivi mobili, spesso utilizzati contemporaneamente per motivi di lavoro e personali, con una molteplicità di form factor, sistemi operativi e applicazioni installate.
Nuove tecniche e strategie di endpoint protection
Quali possono essere alcuni esempi di misure avanzate e proattive su cui puntare l’attenzione? Considerato che sempre più spesso i device usati in mobilità o in ambienti domestici (siano essi pc, laptop, smartphone o tablet) contengono dati business-critical, una buona soluzione è la full disk encryption. Questa consente di prevenire i rischi legati alla perdita o al furto dei dispositivi e garantisce l’ottemperanza a regole di compliance.
L’adozione di soluzioni Host intrusion prevention system (Hips) implementa anche a livello di device i controlli che normalmente vengono svolti dai sistemi di sicurezza network-based; si tratta di una misura peraltro indispensabile nel momento in cui i client si connettono a hot spot wi-fi pubblici. Nel caso, invece, in cui uno stesso dispositivo viene utilizzato da persone diverse, è da prendere in considerazione la file-level encryption.
Queste soluzioni sono efficaci nel rendere inaccessibili i dati o bloccare l’intrusione di hacker nei dispositivi che si collegano a Internet attraverso connessioni non sufficientemente protette. Ma cosa fare se, a causa del non ancora avvenuto aggiornamento degli antimalware signature-based, i cybercriminali sono riusciti a far scaricare un file infetto? La soluzione si chiama sandboxing e consiste nel creare all’interno del client un’area isolata nella quale far girare un’applicazione sconosciuta per analizzarne il comportamento. Il sandboxing è una tecnica particolarmente adatta a contrastare gli zero-day exploit, in attesa che gli antimalware tradizionali vengano aggiornati. Un altro tipo di controllo proattivo è il whitelisting. Mentre il blacklisting – approccio caratteristico degli antimalware e dei firewall signature-based – è reattivo, il whitelisting permette ai dispositivi di connettersi a risorse web che hanno una buona reputazione di sicurezza.
Un’altra misura proattiva è il patch management, ovvero un processo di aggiornamento del software installato sul pc gestito in modo strategico e pianificato, e non lasciato alla discrezione dell’utente e non controllato.
Figura 2 – Evoluzione dell’adozione di soluzione di Security software-as-a-service – Fonte: Forrester, ottobre 2014 Forrester conclude il proprio report consigliando ai Security and Risk professional di rivedere le strategie e di ottimizzare e massimizzare gli investimenti in endpoint protection. Per il primo aspetto viene suggerito di puntare su controlli avanzati e proattivi, prendendo in considerazione anche le soluzioni native per ciascun sistema operativo e il più possibile integrabili con i sistemi di identity e access management già presenti nelle aziende. Le soluzioni, inoltre, dovrebbero essere il più possibile semplici da usare e trasparenti agli utenti. Per il secondo aspetto, la società di analisi consiglia la possibilità, sempre più apprezzata sia da Pmi sia da grandi organizzazioni (figura 2), di ricorrere a offerte di Security software-as-a-service, almeno per quanto riguarda le funzionalità di sicurezza più comuni, come gli antimalware signature-based.
