La protezione degli endpoint rientra in un programma di cybersecurity più ampio ed è essenziale per tutte le aziende, indipendentemente dalle dimensioni. A partire dai tradizionali software anti-virus, si è evoluta in una forma di protezione completa dai malware più sofisticati e dalle minacce zero-day in continua evoluzione. Ma cos'è, esattamente, come funziona e cosa è importante sapere per le aziende?
Cos'è la protezione degli endpoint?
Per sicurezza degli endpoint si intende la protezione di dispositivi desktop, laptop e mobili dalle minacce informatiche. Gli endpoint sono punti di ingresso alle reti che i cybercriminali possono impiegare per i propri scopi. Le soluzioni di sicurezza degli endpoint proteggono questi punti di ingresso dagli attacchi dannosi.
Perché è importante la protezione degli endpoint?
Negli ultimi anni il numero di endpoint all'interno delle aziende è aumentato. Questo fenomeno è diventato particolarmente evidente dopo la pandemia di Covid-19, con il conseguente aumento del lavoro a distanza in tutto il mondo. Con un numero sempre maggiore di dipendenti che lavorano da casa o connessi a reti Wi-Fi pubbliche, le reti aziendali hanno visto aumentare il numero dei loro endpoint come mai prima d'ora. E ogni endpoint è potenzialmente un punto di ingresso per gli attacchi informatici.
Le aziende di qualsiasi dimensione possono quindi essere bersaglio di attacchi informatici. È sempre più difficile proteggersi dagli attacchi attuati tramite endpoint quali laptop o dispositivi mobili. Questi dispositivi possono essere violati ed esporre a successiva violazione i dati in essi contenuti. Si stima che il 70% delle violazioni dei dati portate a termine abbiano origine da dispositivi endpoint. Oltre a danneggiare la reputazione, le violazioni dei dati possono anche costare parecchio: un rapporto del 2020 di Ponemon commissionato da IBM ha rilevato che il costo medio a livello globale di una violazione dei dati è pari a 3,86 milioni di dollari (e ancora più negli Stati Uniti). I dati sono spesso la risorsa più preziosa di un'azienda e la perdita dei dati stessi o del loro accesso può mettere a rischio l'azienda intera.
Non solo è necessario fare i conti con il numero di endpoint in aumento, sospinto dall'allargamento del lavoro a distanza, ma anche con la diffusione dei tipi di endpoint sospinta dalla crescita dell'Internet delle cose.
Le aziende devono proteggere i propri dati e garantire visibilità sulle minacce informatiche evolute. Molte piccole e medie imprese però non dispongono di risorse sufficienti per il monitoraggio continuo della sicurezza della rete e delle informazioni dei clienti e spesso prendono in considerazione la protezione della rete solo dopo avere subito una violazione. Ma anche allora spesso si concentrano solo sulla propria infrastruttura, lasciando alcuni degli elementi più vulnerabili, ovvero i dispositivi endpoint, non protetti.
I rischi derivanti dagli endpoint e dai relativi dati sensibili rappresentano una sfida continua nel mondo della sicurezza informatica. Inoltre, il panorama degli endpoint è in continua evoluzione e le aziende, siano esse piccole, medie o grandi, rimangono sotto la minaccia di attacchi informatici. Ecco perché è importante capire cos'è la protezione degli endpoint e come funziona.
Come funziona la protezione degli endpoint?
I termini "sicurezza degli endpoint", "protezione degli endpoint" e "piattaforme di protezione endpoint" sono spesso usati in modo intercambiabile per riferirsi a soluzioni di sicurezza gestite centralmente a difesa degli endpoint. La protezione degli endpoint funziona esaminando file, processi e sistemi per individuare attività sospette o dannose.
Le organizzazioni possono installare una piattaforma di protezione degli endpoint (EPP, Endpoint Protection Platform) sui propri dispositivi per impedire ai malintenzionati di infiltrarsi nel sistema sfruttando malware o altri strumenti. Una EPP può essere usata insieme ad altri strumenti di rilevamento e monitoraggio per segnalare comportamenti sospetti e prevenire le violazioni prima che avvengano.
La protezione degli endpoint offre una console di gestione centralizzata alla quale le organizzazioni possono connettere la propria rete. La console consente agli amministratori di monitorare, indagare e rispondere a potenziali minacce informatiche. Può avvenire con un approccio in sede, cloud o ibrido:
On premise: un approccio in sede, che prevede un data center ospitato in locale che funge da hub per la console di gestione. Gli endpoint verranno raggiunti tramite un agente preposto alla loro protezione. Questo approccio è visto come un modello vetusto e presenta svantaggi come la creazione di silos, poiché in genere gli amministratori possono gestire solo gli endpoint all'interno del loro perimetro.
Cloud: questo approccio consente agli amministratori di monitorare e gestire gli endpoint tramite una console di gestione centralizzata nel cloud, alla quale i dispositivi si connettono in remoto. Le soluzioni cloud sfruttano i vantaggi del cloud per garantire la sicurezza dietro il perimetro tradizionale, rimuovendo i silos e allargando il raggio d'azione degli amministratori.
Ibrido: un approccio ibrido riunisce soluzioni on-premise e cloud. Questo approccio si è consolidato da quando la pandemia ha portato a un aumento del lavoro a distanza. Le organizzazioni hanno adattato la loro architettura e i suoi elementi per acquisire alcune funzionalità specifiche del cloud.
Le EPP che utilizzano il cloud per conservare database di informazioni sulle minacce liberano gli endpoint dal peso derivante dall'archiviazione locale e dalla necessità di aggiornamento. Un approccio basato sul cloud è inoltre più rapido e scalabile. Alcune organizzazioni più grandi potrebbero aver bisogno di mantenere un livello di sicurezza locale per motivi di legge. Per le imprese di piccole e medie dimensioni, un approccio basato sul cloud è probabilmente più adatto.
Un software per la sicurezza degli endpoint solitamente include questi elementi:
- Machine learning per rilevare le minacce zero-day
- Un firewall integrato per prevenire attacchi di rete ostili
- Un gateway e-mail per proteggersi da phishing e tentativi di social engineering
- Protezione dalle minacce interne, intenzionali o accidentali
- Protezione anti-virus e anti-malware avanzata per rilevare e rimuovere il malware da dispositivi endpoint e sistemi operativi
- Sicurezza proattiva per facilitare la navigazione Web
- Criptaggio di endpoint, e-mail e dischi per proteggere dall'esfiltrazione dei dati
In definitiva, la protezione degli endpoint offre agli amministratori una piattaforma centralizzata migliorando la visibilità, semplificando le operazioni e consentendo di isolare rapidamente le minacce.
Oltre all'acronimo EPP esiste anche l'acronimo EDR in relazione alla protezione degli endpoint. EDR è l'acronimo di "Endpoint Detection and Response". In generale, una piattaforma di protezione degli endpoint o EPP è considerata una protezione passiva, mentre una EDR è una protezione attiva poiché aiuta a indagare e contenere le violazioni già avvenute. Una EPP protegge ciascun endpoint mediante isolamento, mentre una EDR fornisce contesto e dati per attacchi estesi su più endpoint. Le moderne piattaforme di protezione degli endpoint in genere combinano EPP e EDR.
Cosa si intende con endpoint?
Un endpoint di rete è qualsiasi dispositivo che si connette alla rete di un'organizzazione dall'esterno del firewall. Esempi di dispositivi endpoint:
- Laptop
- Tablet
- Computer desktop
- Dispositivi mobili
- Dispositivi Internet of Things
- I dispositivi indossabili
- Stampanti digitali
- Scanner
- Terminali POS (Point of sale)
- Dispositivi medicali
In pratica, qualsiasi dispositivo che comunica con la rete centrale viene considerato un endpoint.
Il panorama delle minacce sta diventando sempre più complicato, poiché gli hacker si inventano sempre nuovi modi per accedere e rubare informazioni sensibili o indurre i dipendenti a divulgarle. Dato il danno finanziario e per la reputazione che una violazione dei dati può causare, la protezione degli endpoint è un must per le aziende di qualsiasi dimensione. Kaspersky offre una gamma di soluzioni di protezione degli endpoint per le aziende, consultabile qui.
Articoli successivi: