Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Sicurezza degli endpoint: ecco come capire da dove arrivano gli attacchi

pittogramma Zerouno

News

Sicurezza degli endpoint: ecco come capire da dove arrivano gli attacchi

27 Mar 2019

di Redazione

Nella ricerca Sophos emerge che il 20% degli IT manager, che nell’ultimo anno sono stati vittime di uno o più attacchi, non sono in grado di identificare come sia avvenuto l’ingresso delle minacce, aumenta quindi l’attenzione verso le soluzioni EDR

Oggi gli attacchi dei cybercriminali sono individuati sempre più facilmente dagli IT manager a livello di server o reti, cosa diversa è per quelli rivolti a endpoint o device mobile. Questo risulta evidente nella ricerca Sophos, fornitore di soluzioni per la protezione delle reti e dell’endpoint, dal titolo “7 scomode verità dell’endpoint security” che ha rilevato che 37% è il tasso di attacchi rilevati su server o reti, mentre solo il 17% viene identificato a livello di endpoint e il 10% su dispotivi mobili.
La ricerca ha coinvolto più di 3.100 decision maker in ambito IT di aziende di medie dimensioni in 12 paesi, e Chester Wisniewski, principal research scientist di Sophos l’ha commentata spiegando che “I server custodiscono informazioni sensibili relative all’azienda, ai suoi dipendenti e ai dati finanziari e le normative sempre più stringenti – come il GDPR – mettono le imprese nella condizione di dover comunicare tempestivamente eventuali attacchi subiti. La sicurezza informatica a livello server e rete ha dunque conosciuto una notevole impennata e resta una priorità assoluta per le aziende. Di conseguenza, gli IT manager dedicano massimo impegno a proteggere queste aree al fine di prevenire il possibile ingresso di attacchi proprio da questi due punti di accesso che diventano inevitabilmente il luogo in cui è più facile individuare e bloccare i cybercriminali. Tuttavia, gli IT manager non devono ignorare gli endpoint perché molti cyber attacchi iniziano proprio lì ed è allarmante notare che troppo spesso ancora non sia possibile identificare come e quando le minacce siano entrate nel sistema”.

Il ruolo delle soluzioni EDR – Endpoint Detention and Response

Il 20% degli IT manager che nell’ultimo anno sono stati vittime di uno o più attacchi, non sono in grado di identificare come sia avvenuto l’ingresso delle minacce e il 17% non sa per quanto tempo tali pericoli siano stati presenti nel sistema prima di essere rilevati.
Al fine di ovviare a questa mancanza di visibilità, gli IT manager devono avvalersi di soluzioni EDR (Endpoint Detention and Response) in grado di rivelare il punto di partenza della diffusione delle minacce e l’impronta digitale lasciata dai cybercriminali che si muovono lateralmente all’interno di una rete.
“Se i responsabili IT – ha continuato Wisniewski – non riescono a individuare l’origine o il modo in cui si muove un attacco, non saranno in grado di ridurre al minimo i rischi per la sicurezza aziendale e interrompere la catena di attacco al fine di prevenire ulteriori infiltrazioni pericolose. L’EDR supporta gli IT manager nell’identificazione del rischio e nella messa a punto di un processo per le aziende che si trovano ad entrambi i lati del Security Maturity Model: nel caso in cui l’IT sia prevalentemente concentrato sul rilevamento, l’EDR potrà supportarlo trovando, bloccando e rimediando ai danni dell’attacco. Se invece l’IT aziendale sta ancora costruendo le fondamenta della sicurezza, l’EDR rappresenterà una componente fondamentale, andando a fornire la Threat Intelligence necessaria”.
Secondo la ricerca Sophos, in media, le aziende che si trovano ad affrontare uno o più attacchi alla propria sicurezza ogni mese, dedicano circa 48 giorno all’anno (circa 4 al mese) per analizzarli.
Non c’è dunque da sorprendersi se gli IT manager hanno indicato l’identificazione di eventi sospetti (per il 27%), la gestione degli alert (per il 18%) e l’assegnazione di priorità agli eventi sospetti (per il 13%) come le tre principali funzionalità che si aspettano di trovare in una soluzione EDR, al fine di ridurre sensibilmente il tempo dedicato ad identificare e contrastare gli alert di sicurezza.
A questo proposito, la ricerca Sophos ha evidenziato che il 57% degli intervistati ha dichiarato che prevede di implementare una soluzione EDR entro i prossimi 12 mesi e, inoltre, che scegliere l’EDR significa colmare una lacuna nelle competenze. L’80% degli intervistati ha ammesso che sarebbe utile avere a disposizione un team più ricco e preparato.

“La maggior parte degli attacchi spray and pray (nei quali l’hacker diffonde una quantità elevata di link infetti destinandoli a un ampio gruppo di persone, aspettando che alcune di esse cadano in trappola) può essere bloccata – ha concluso Wisniewski – in pochi secondi a livello endpoint senza generare alcun allarme. Gli attacchi persistenti, inclusi quelli di tipo ransomware come SamSam, si prendono invece il tempo necessario per bucare un sistema aziendale, individuando a esempio password o sistemi di accesso remoto (RDP, VNC, VPN…) semplici da bypassare e trovando così il punto d’appoggio dal quale muoversi silenziosamente fino a riuscire a portare a termine l’attacco. Con la sicurezza approfondita garantita dall’EDR, gli IT manager potranno analizzare molto più rapidamente l’attacco subito e utilizzare i risultati ottenuti attraverso la Threat Intelligence per trovare le infezioni simili all’interno di un sistema. Quando i cybercriminali capiscono che un certo tipo di attacco funziona, tendono a replicarlo all’interno dell’azienda che vogliono colpire. Scoprire e bloccare i modelli di attacco significa dunque ridurre drasticamente i giorni che i responsabili IT devono dedicare allo studio dei potenziali incidenti di sicurezza”.

Redazione

Nel corso degli anni ZeroUno ha esteso la sua originaria focalizzazione editoriale, sviluppata attraverso la rivista storica, in un più ampio sistema di comunicazione oggi strutturato in un portale, www.zerounoweb.it, una linea di incontri con gli utenti e numerose altre iniziative orientate a creare un proficuo matching tra domanda e offerta.

Argomenti trattati

Approfondimenti

E
Endpoint Protection
R
Ransomware
Sicurezza degli endpoint: ecco come capire da dove arrivano gli attacchi

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 4