Anche nel 2023, tra i grandi trend dell’universo tecnologico trova spazio la cyber security. Stando all’ultima edizione del Rapporto Clusit, nel primo semestre 2022 sono stati registrati ben 1.141 attacchi cyber, che equivalgono a un +8,4% rispetto all’anno precedente. Ciò che non cambia sono i driver di questi eventi: la pervasiva digitalizzazione del business, il valore dei dati e infrastrutture IT sempre più complesse e distribuite, ma senza dimenticare la spinta verso il lavoro ibrido che, oltre a favorire produttività ed engagement, ha ampliato notevolmente la superficie d’attacco e creato nuove vulnerabilità.
La cybersecurity moderna passa dalla protezione degli endpoint
La reazione delle aziende alle sfide cyber di oggi è certamente disomogenea. Quelle che non possono contare su competenze specialistiche si ritrovano con una security posture lacunosa e, di sicuro, inadeguata alle sfide del momento, mentre le aziende più mature e strutturate possono contare su reparti dedicati e tutte le possibili protezioni di tipo tecnico.
Ciò che accomuna entrambi i casi citati è l’anello debole della catena della sicurezza, che quasi sempre è l’utente finale. Le imprese rispondono a questo chiaro limite con due attività parallele: l’organizzazione di percorsi di security awareness e la protezione degli endpoint con sistemi antivirus centralizzati o moderne piattaforme di Endpoint Detection & Response (EDR). Tutto ciò rappresenta un vero e proprio must per vincere le sfide del lavoro smart e ibrido, che tra reti non sicure, endpoint non aggiornati e modelli BYOD (Bring Your Own Device) più o meno efficaci rischia di costare molto di più rispetto ai vantaggi che porta.
Questo approccio presenta alcune limitazioni: innanzitutto, molte soluzioni EDR – tipicamente, quelle basate su firme – non sono particolarmente efficaci rispetto a malware sempre più sofisticati e, soprattutto, sconosciuti (zero-day). Inoltre, esse difendono i sistemi contro attacchi alle applicazioni e ai sistemi operativi, ma purtroppo i cyber criminali, ben consapevoli di ciò, continuano a migliorare le proprie tecniche indirizzandosi verso l’infrastruttura hardware e i firmware.
Il comportamento sempre più sofisticato del cyber crime e gli elementi di contesto citati dovrebbero spingere le aziende verso un focus maggiore nei confronti dell’hardware dei loro endpoint. Cosa che non sempre accade: “Talvolta, – ci spiega Paolo Canepa, Partner Sales Account Manager- EMEA di Intel – l’errore delle aziende è non investire nell’hardware giusto. Alcune usano dispositivi consumer, ma quando si tratta di proteggere dati e informazioni strategiche, è consigliabile adottare tecnologie solide. Inoltre, le aziende sono sì attente alla sicurezza, ma non tutte sanno che esistono piattaforme hardware che, oltre ad una sicurezza intrinseca, possono essere legate a software di security per una protezione ancor più solida”.
La piattaforma vPRO, e la sicurezza al di sotto dell’OS
La risposta di Intel alle esigenze di protezione degli endpoint è vPRO, una piattaforma che da più di 10 anni l’azienda americana indirizza alle performance, alla stabilità e alla sicurezza degli endpoint professionali. Per quanto concerne la protezione dalle minacce, l’elemento core della piattaforma è Hardware Shield, un insieme di tecnologie di sicurezza hardware-based rese sinergiche al fine di proteggere tutto lo stack tecnologico del dispositivo, che tipicamente è un notebook o, meno frequentemente, un desktop.
In particolare, elemento cardine della piattaforma è la below the OS security, ovvero l’estensione delle tecnologie di sicurezza a livello di BIOS e di firmware. Lo scopo è evitare che bug o vulnerabilità possano essere sfruttate per iniettare codice malevolo nella piattaforma e rendere le macchine inutilizzabili, oppure ottenere accesso a dati critici in totale trasparenza rispetto a soluzioni anti-malware tradizionali. A proposito di below the OS, la piattaforma vPRO abilita la gestione remota della macchina anche prima del caricamento del sistema operativo, un vantaggio non da poco per l’IT.
Le peculiarità della Threat Detection Technology
A proposito di Hardware Shield, Canepa sottolinea la centralità di un BIOS sicuro e resiliente, ma anche l’offloading dei carichi di lavoro di sicurezza dalla CPU alla GPU, un’operazione che ne ottimizza le prestazioni e rende i task del tutto trasparenti all’end user.
Soprattutto, il manager Intel pone l’accento su un altro componente critico della piattaforma, la Threat Detection Technology (TDT), funzionalità hardware e AI-powered che di fatto completa gli strumenti aziendali di protezione e contribuisce a rafforzare gli endpoint: “tipicamente, molti sistemi EDR si basano sul meccanismo delle firme e quindi non possono controllare ciò che non conoscono. Il compito della tecnologia di Threat Detection è quello di monitorare il comportamento del processore e, grazie all’Intelligenza Artificiale, rilevare anomalie e comunicarle rapidamente all’EDR”.
EDR che, debitamente informato, termina all’istante l’esecuzione del task. Canepa ci fa notare che, grazie alle performance degli attuali PC, oggi un ransomware può criptare svariati GB di dati con estrema rapidità e in modo trasparente all’end user. Ciò significa che oggi non c’è soltanto la necessità di rilevare un comportamento anomalo, ma anche di bloccarlo con rapidità fulminea, cosa che può accadere solo attraverso una tecnologia basata sull’analisi del comportamento.
L’EDR di cui si parla deve essere compatibile con la piattaforma Intel, ma tra queste figurano nomi noti come SentinelOne Singularity, BlackBerry Optics e, soprattutto, Microsoft Defender. Per questo, è plausibile che molte aziende possano sfruttare fin da subito le potenzialità della tecnologia Intel, senza bisogno di rinnovare il parco macchine o investire in modo importante in nuove piattaforme software. Ma allora si torna al discorso iniziale: non sempre le imprese sono consapevoli della possibilità di integrare piattaforme hardware e software per potenziare la propria postura di sicurezza. Visto che i malware non accennano ad arretrare, l’invito all’azione è quanto mai opportuno.
