Quando gli endpoint diventano il nuovo perimetro, l’EDR multi-vector rafforza le nostre nuove difese

redazione

 

Il panorama delle minacce è dinamico e la sua natura mutevole è oggetto di discussione in ogni conversazione tra i professionisti della sicurezza di tutta Europa. Siamo passati da “non si tratta più solo di antivirus”, a “non è una questione di se ma di quando” e si è arrivati infine a discutere delle differenze tra sicurezza in cloud e on-premise, senza dimenticare tutto quello che c’è nel mezzo.

 

Ogni singolo scambio di opinioni dimostra l’attenzione del mercato verso nuove strategie, perché gli aggressori trovano sempre nuovi modi per aggirare le difese precedenti. Le nostre reti aziendali si sono evolute, parliamo di imprese senza confini e sempre più il nuovo tema delle conversazioni è “l’endpoint come parte del nuovo perimetro”.

 

Il lavoro e la nostra vita si svolgono in un contesto digitale: usiamo lo smartphone come sveglia, controlliamo le notizie su un dispositivo intelligente, consultiamo il calendario tramite un altro endpoint, consumiamo contenuti, ordiniamo cibo, facciamo acquisti in negozi online, usiamo chat e via dicendo. E dopo la pausa forzata da Covid-19, che ci ha dimostrato con più forza quanto ciò sia vero, gli hacker sfruttano ulteriormente questa fiorente attività sui dispositivi che si connettono a informazioni monetizzabili all’interno delle reti aziendali.

 

L’incremento degli attacchi multi-vettore

Il rilevamento e la risposta degli attacchi verso gli endpoint devono evolversi perché questa superficie di attacco così vasta consente agli aggressori di progettare campagne multi-vettoriali. Questo significa che hanno a disposizione un menu di opzioni, o percorsi, tra cui scegliere per riuscire a portare a termine le violazioni. Potrebbero approfittare dell’ingenuità degli utenti con l’ingegneria social e sfruttare una vulnerabilità del software. Nel mondo multi-vettore, adotteranno un mix di queste opzioni per aumentare la probabilità di successo degli attacchi e ogni endpoint rappresenta un rischio per l’intero ambiente.

 

Con l’Endpoint Detection and Response (EDR) multi-vector si spazia dal monitoraggio alla protezione dei dispositivi stessi, perché gli endpoint sono solo una piccola parte dei rischi per una rete. Il monitoraggio delle attività dei soli nodi di superficie, senza considerare gli altri dati disponibili, porterà a falsi positivi (e negativi) causando allarmi fuorvianti, un’assegnazione non ottimale delle priorità e uno spreco di allocazione delle risorse.

 

Senza l’approccio multi-vector sarà molto più difficile automatizzare le funzioni di rilevamento e risposta, per lasciare agli amministratori di rete e agli esperti in sicurezza il tempo necessario per eseguire attività più utili. E senza la capacità di scalare verso l’alto le procedure di sicurezza per proteggere ambienti più complessi, coloro che operano in ambienti di lavoro ibridi – come sta accadendo in questo periodo a causa della pandemia – saranno costretti ad affrontare sfide più ardue del necessario.

 

L’importanza della visibilità

È quindi necessario prendere in considerazione diversi data point per avere una visione d’insieme delle attività che riguardano un processo sospetto, in modo da poter valutare correttamente il suo livello di rischio. Il rilevamento del malware è utile e necessario, ma un inventario completo degli endpoint e della loro attività in rete, insieme alle informazioni sullo stato degli aggiornamenti delle applicazioni e dell’autenticazione e dei processi autorizzati, porta la valutazione del livello di rischio rappresentato da una determinata attività e l’assegnazione delle risorse per affrontarlo a un livello superiore.

 

Una chiara visibilità è di vitale importanza: coloro che sono incaricati della protezione degli asset digitali devono essere in grado di visualizzare errori di configurazione dei processi di sicurezza, di sfruttare gli antivirus, monitorare le vulnerabilità e gli aggiornamenti mancanti.

Devono essere dotati di informazioni e strumenti che permettano loro di diventare cacciatori di minacce, annientando sia i piccoli ma insidiosi parassiti che i più feroci predatori.

 

L’EDR multi-vector di Qualys offre una visione globale della rete, sfruttando il cloud per rilevare informazioni utili sull’individuazione delle risorse, l’inventario del software, sulla visibilità del fine-vita dei prodotti, le vulnerabilità, gli exploit, le configurazioni errate, la telemetria approfondita degli endpoint e l’accessibilità della rete. I cloud agent “edge” di Qualys operano insieme a potenti motori basati sul cloud per offrire un’elevata capacità di valutazione, rilevamento e risposta. L’elaborazione delle informazioni e la loro correlazione avvengono in tempo reale, il che significa che i team di sicurezza sono sempre aggiornati. Adottano misure proattive che anticipano possibili violazioni, piuttosto che svolgere il compito di rimediare dopo che l’esfiltrazione dei dati si è verificata.

 

Gli attacchi sono sempre più astuti e mirati

Il panorama offerto dall’EDR multi-vector di Qualys consente ai team di prevenire gli attacchi più avanzati, sfruttando l’intelligence per segnalare automaticamente attività che risultino sospette durante l’indagine. Questo permette ai team di lavorare con grande efficacia e di non perdere tempo prezioso a causa di falsi allarmi, poiché lo stesso processo che identifica le minacce gravi provvede a eliminare quelle non pericolose.

 

L’importanza di guardare oltre gli endpoint per ottenere una visione più ampia è evidente. L’EDR multi-vector di Qualys consente alle aziende di creare set di informazioni in tempo reale che scatenano azioni e allocano in modo appropriato le risorse necessarie. Questo è sicuramente il futuro e dovrebbe essere l’oggetto di tutte le prossime conversazioni.

 

di Emilio Turani, Managing Director per Italia, Central Eastern Europe, Turchia e Grecia