L’anno scorso si è registrato il maggior numero di vulnerabilità mai registrato. Battendo il totale di 2021 del 20,000, agli autori delle minacce è stato concesso un vantaggio di oltre 25,000 difetti nuovi e unici di cui trarre vantaggio. E mentre il numero di vulnerabilità è oggi più elevato che mai, il tempo necessario alle aziende per realizzare una potenziale violazione sta aumentando vertiginosamente. Prendiamo la recente notizia della massiccia violazione dei dati di Luxottica: i proprietari di Ray-Ban, Oakley, Versace e la compagnia assicurativa EyeMed Vision Care, nel maggio 2023 Luxottica ha rilasciato un comunicato stampa in cui affermava che i dati personali di Erano trapelati 70 milioni di clienti.
Tra i dati c'erano nomi completi, date di nascita, indirizzi e-mail, indirizzi di casa e numeri di telefono dei clienti. Il database rubato – e successivamente trapelato – comprendeva oltre 305 milioni di record, colpendo clienti principalmente negli Stati Uniti e in Canada. Scavando più a fondo, si è scoperto che la fuga di notizie si era verificata originariamente il 16 marzo 2021. Ulteriori dettagli sono sorprendentemente pochi sul posto: si ritiene che una compromissione di terze parti abbia consentito l'accesso.
La protezione degli endpoint mira a monitorare e salvaguardare in modo proattivo gli endpoint dai criminali informatici speculatori. Questa protezione deve estendersi a tutti i dispositivi connessi sparsi in tutta l'organizzazione: desktop; computer portatili; smartphone – anche dispositivi IoT che monitorano reparti produttivi e linee di produzione. Proteggere la vasta gamma di dispositivi dalle milioni di nuove vulnerabilità che emergono ogni anno non è un’impresa semplice.
Perché la sicurezza degli endpoint è importante?
La sicurezza degli endpoint è una parte vitale della gestione responsabile dei dati dei clienti. Luxottica, non avendo rispettato questa responsabilità, è stata successivamente citata in giudizio: uno dei ricorrenti nell'azione legale collettiva aveva trovato i suoi dati medici pubblicati online. Gli endpoint sono diventati gli obiettivi principali delle campagne di attacco, in gran parte a causa del panorama in evoluzione dell’infrastruttura IT aziendale. Crescente sostegno al lavoro a distanza ha portato alla dispersione degli endpoint ben oltre i confini della rete aziendale. Rendere le cose ancora più difficili è il implementazione del Bring Your Own Device (BYOD) policy che consentono ai dispositivi di proprietà dei dipendenti di connettersi alla rete aziendale e quindi di accedere ai dati aziendali sensibili.
Gli approcci obsoleti alla sicurezza degli endpoint comportano un'importante svista: i dispositivi aziendali non esistono nel vuoto. Le misure di sicurezza perimetrali un tempo miravano a isolare le reti aziendali dalle minacce esterne, ritenendo che l’infrastruttura IT dovesse semplicemente essere isolata dagli attori delle minacce esterne. Affidarsi esclusivamente alla sicurezza perimetrale non è più sufficiente poiché i servizi cloud, il lavoro remoto e i dispositivi mobili hanno reso i servizi di rete sempre più porosi.
In risposta a ciò, Zero Trust ha iniziato a ridefinire la sicurezza degli endpoint. Rimuovendo ogni parvenza di fiducia intrinseca, questo approccio enfatizza la verifica e l'autenticazione dell'identità. Inoltre, rinegozia il modo in cui viene trattato ciascun utente: il monitoraggio continuo del suo comportamento ora aiuta a prevenire accessi non autorizzati e a rilevare potenziali minacce, indipendentemente da dove si trovino. Di conseguenza, ogni dispositivo ora svolge un ruolo individuale in una sicurezza elevata.
Dato che gli endpoint rappresentano oggi la difesa in prima linea contro gli attacchi informatici, è diventato fondamentale per le organizzazioni implementare soluzioni solide in grado di identificare e intercettare le minacce prima che raggiungano le risorse aziendali critiche. La natura remota degli endpoint amplifica ulteriormente il rischio, poiché il numero di endpoint continua ad aumentare a causa del rapido passaggio al lavoro remoto guidato dalla pandemia. Nel 2020 la maggioranza dei lavoratori statunitensi lavorava da remoto, con il 51% che lavora ancora in remoto a partire da aprile 2021. I rischi persistenti associati agli endpoint e ai dati sensibili in essi contenuti rappresentano una sfida continua che deve essere affrontata in modo efficace.
Come funziona la protezione degli endpoint?
La protezione degli endpoint, le piattaforme di protezione degli endpoint (EPP) e la sicurezza degli endpoint vengono spesso utilizzati in modo intercambiabile. Tutti questi fanno riferimento alla stessa filosofia di base: sicurezza completa che mantiene server, workstation, dispositivi mobili e carichi di lavoro al sicuro da una serie di minacce alla sicurezza informatica in continua evoluzione. Composto da un solido mix di soluzioni e formazione dei dipendenti, file, processi e attività di sistema vengono tutti utilizzati come indicatori di attività dannose.
Le soluzioni di protezione degli endpoint offrono una console di gestione centralizzata che consente agli amministratori di connettersi senza problemi alla propria rete aziendale e supervisionare in modo efficiente il monitoraggio, la protezione, l'indagine e la risposta agli incidenti di sicurezza. Queste soluzioni offrono una gamma di opzioni di implementazione, comprese soluzioni locali, ibride o basate su cloud, in grado di soddisfare diverse esigenze e preferenze organizzative. La console di gestione centralizzata funge da hub di controllo, consentendo agli amministratori di avere una visibilità completa sulle attività degli endpoint e di applicare misure di sicurezza in modo coerente su tutta la rete. Sfruttando questa console, gli amministratori possono semplificare le operazioni di sicurezza, migliorare le capacità di risposta agli incidenti e garantire una gestione efficace della sicurezza degli endpoint nell'intera organizzazione. Il modo in cui funziona la protezione degli endpoint può essere tracciato attraverso tre approcci principali.
#1. In sede
In primo luogo, l'approccio on-premise alla sicurezza degli endpoint descrive le misure di sicurezza legacy fornite tramite un data center ospitato localmente. In questa configurazione, il data center funge da hub centrale. Gli endpoint comunicano tramite un agente, garantendone la sicurezza. Nonostante la sua diffusione iniziale, questo modello hub and speak tende a creare silos di sicurezza, limitando il controllo degli amministratori agli endpoint all'interno del proprio perimetro.
#2. Passare all'ibrido
Mentre la pandemia si diffondeva tra le organizzazioni di tutto il mondo, molte organizzazioni sono state costrette ad adottare policy BYOD (remote and Bring Your Own Device). I dispositivi desktop interni, un tempo così comuni, sono stati sostituiti e la natura globalizzata della forza lavoro ha messo in luce i limiti dell’approccio on-premise. Di conseguenza, alcuni fornitori di soluzioni di protezione endpoint sono passati a un approccio ibrido, in cui adeguano l’architettura legacy al cloud.
#3. Patching sul cloud
Mentre le organizzazioni faticavano ad adeguarsi, molte hanno aggiornato la loro architettura legacy con soluzioni native del cloud. Agli amministratori è stata concessa la possibilità di monitorare in remoto gli endpoint, ognuno dei quali richiedeva la connessione alla console tramite un agente. Queste soluzioni native del cloud ampliano la portata degli amministratori, ma sono sufficienti a garantire la sicurezza?
Funzionalità di sicurezza degli endpoint
La sicurezza degli endpoint deve comprendere un’ampia gamma di protezioni: l’enorme varietà di dispositivi che richiedono una protezione completa può rendere difficile tenere traccia di quanto siano complete le difese attuali. Ecco i tre componenti principali che ogni stack di sicurezza degli endpoint deve includere.
Anti-Malware
Una delle caratteristiche più importanti è un elemento anti-malware. Rilevando ed eliminando in modo proattivo virus, worm e ransomware, i dispositivi endpoint sono protetti da alcuni degli exploit di vulnerabilità più gravi. Un componente di questo è il filtraggio degli URL, che analizza i collegamenti inviati all'interno di un'organizzazione. Data la popolarità degli URL dannosi in attacchi di phishing, il filtraggio degli URL aiuta a mitigare queste minacce bloccando l'accesso a siti Web dannosi e inappropriati. Un altro aspetto che qualsiasi soluzione anti-malware competente dovrebbe comportare è il sandboxing: dove la soluzione analizza e ispeziona i file all'interno di un ambiente sandbox, consentendole di identificare e prevenire contenuti dannosi.
Segmentazione della rete
Accanto a questo ci sono misure di firewall e controllo delle applicazioni. Esse essenzialmente segmentano le reti delle organizzazioni per limitare l'accesso in caso di violazione. È incredibilmente raro che gli aggressori ottengano l'accesso a interi database, anche se ciò accade: prendiamo l'attacco Yahoo del 2017 che ha esposto ogni singolo indirizzo email. Invece, la segmentazione della rete aiuta a bloccare il traffico in base a policy di sicurezza e regole specifiche dell'applicazione.
Comportamento dell'endpoint
Sebbene l'antimalware possa aiutare a sfruttare gli attacchi non richiesti contro gli utenti finali, i loro dispositivi richiedono una protezione adattabile sotto forma di controlli di conformità. Le soluzioni endpoint dovrebbero valutare i dispositivi e consentire le connessioni alla rete aziendale solo se aderiscono alla politica aziendale. Infine, l’analisi comportamentale consente di identificare nuove varianti di malware senza fare affidamento sulle firme tradizionali.
Nonostante ciò, molti marchi soddisfano quasi ogni casella di sicurezza e continuano a bruciarsi. La realtà è che il panorama delle minacce ha rapidamente superato qualsiasi tentativo di protezione a lungo termine. Di fronte a soluzioni così miste, inaffidabili e costose, le organizzazioni sono state costrette ad assemblare freneticamente un mosaico di misure di sicurezza che non si allineano accuratamente con le minacce che vengono sfruttate contro di loro.
Proteggi il tuo spazio di lavoro con LayerX
Poiché la sicurezza degli endpoint rappresenta una sfida sempre più impegnativa, è giunto il momento di implementare strumenti creati appositamente per il panorama delle minacce moderne. Il browser è un'area che, fino ad ora, è stata tristemente trascurata, poiché consente ai criminali informatici di trarre vantaggio dalle applicazioni a più alto traffico.
LayerX introduce un rivoluzionario piattaforma di sicurezza del browser che offre visibilità e governance in tempo reale e ad alta risoluzione sulle attività degli utenti su tutti i principali browser. L'estensione basata su browser offre una visione chiara del sito Web specifico e dell'azione dell'utente; una prossimità sul campo che individua potenziali minacce basate su browser con accessibilità ipergranulare. Operando a livello di profilo utente o identità, le pagine Web controllate dagli aggressori e gli eventi di perdita di dati vengono scoperti tramite l'analisi automatizzata di tutti gli eventi raccolti. Infine, il tuo team di sicurezza è assistito da un feed di arricchimento proveniente dal cloud di informazioni sulle minacce di LayerX.
Questa visibilità granulare non solo previene la compromissione e la fuga di dati, ma rivoluziona anche il modo in cui le aziende gestiscono la sicurezza degli endpoint. LayerX consente ai team IT e di sicurezza di garantire facilmente un accesso sicuro e con privilegi minimi e di adottare un approccio Zero Trust attraverso i confini remoti di ogni evento di navigazione, senza compromessi.