endpoint security

L’Endpoint Security è una strategia olistica di protezione degli endpoint, che integra sistemi di difesa preventiva con le più moderne funzionalità di

  • detection (rilevamento)
  • e response (risposta).

Ma in cosa consiste esattamente l’Endpoint Security e come implementarla nel migliore dei modi?

In questo articolo ci occuperemo di approfondire tecniche ed evoluzione di uno dei settori più in espansione in ambito cybersecurity.

Cosa significa endpoint in informatica

Nel gergo informatico, si definisce endpoint qualsiasi dispositivo in grado di connettersi a una rete. La traduzione in italiano corrisponderebbe a “terminale”, vocabolo ormai caduto in disuso.

Dai tablet, ai laptop, passando per smartphone, stampanti e server. Sono certamente tutti punti accesso al web e ai network aziendali, ma rappresentano anche porte d’ingresso per potenziali minacce informatiche.

Gli endpoint, infatti, sono comunemente considerati gli anelli più fragili dell’intero sistema IT.

Come se ciò non bastasse, quando entra in causa lo smart working spesso a fungere da endpoint – e quindi a trasformarsi in terminali remoti della rete aziendale – sono i device personali dei dipendenti.

In questo caso, ciò che viene a mancare sono i più basilari standard di sicurezza necessari a tutelare tanto il lavoratore quanto l’azienda.

Alla luce della loro particolare condizione di vulnerabilità, ci siamo dunque chiesti quali siano le misure più efficaci per preservarne la sicurezza.

Cos’è l’Endpoint Security

Più di 2500 attacchi informatici ogni 40 secondi, l’80% dei quali direzionati proprio verso i terminali: questa la media stimata a livello globale. A ciò va aggiunta la diffusione del lavoro da remoto, che rende le misure di sicurezza perimetrali sempre meno efficaci.

Ecco, quindi, che l’Endpoint Security (o Endpoint Protection) si configura come una delle priorità nelle strategie di sicurezza informatica delle aziende.

Sebbene sia possibile integrare in loco sistemi di sicurezza degli endpoint creando una sinergia tra i piani di

  • endpoint encryption
  • analisi forense
  • e-mail gateways, ecc.

al giorno d’oggi la tendenza è tutta rivolta al cloud.

Un Endpoint Protection Service, consistente in tool forniti As-a-Service, permette di trarre notevoli vantaggi in termini di scalabilità e flessibilità del servizio.

A ciò vanno aggiunti gli innegabili benefici derivanti dal:

  • disporre di aggiornamenti costanti
  • gestire la consolle di security management in maniera centralizzata, usufruendo di dashboard user-friendly e intuitive
  • abbattere costi di implementazione e manutenzione
  • ed esternalizzarne la gestione a consulenti esperti in ambito cybersecurity, qualora non si disponesse di personale appositamente formato in materia.

EPP, ERD, XDR: come evolve la protezione degli endpoint

L’Endpoint Security è una denominazione generale che abbraccia approcci quantomai diversificati tra loro.

Come macrocategorie di differenziazione possiamo infatti evidenziare:

  • l’EPP (Endpoint Protection Platform)
  • l’EDR (Endpoint Detection and Response)
  • e l’XDR (Extended Detection and Response)

A queste, va correlata anche un’altra sigla riguardante le specifiche funzioni di governance di tali servizi: MDR (Managed Detection and Response).

Analizziamo quindi nel dettaglio ciascuna di esse.

EPP (Enpoint Protection Platform)

L’Endpoint Protection Platform (EPP) è un service di protezione che gestisce la difesa del singolo endpoint. In sostanza, ne imposta una baseline di sicurezza – ovvero dei criteri di configurazione – da cui la macchina non si deve discostare.

Rappresenta una soluzione integrata che fornisce

Tra i due sistemi sussiste, tuttavia, una sostanziale differenza.

L’EPP, al contrario di un antivirus, è in grado di rilevare anche le cosiddette minacce fileless, ovvero “senza file”. Sono così definite perché non necessitano di file in esecuzione per poter infettare un dispositivo.

Riuscire a intercettare un eseguibile, infatti, è il presupposto fondamentale affinché un antivirus tradizionale possa espletare correttamente la sua funzione difensiva.

In quest’ottica, ben si comprende come l’EPP possa essere interpretato come una sorta di evoluzione di un comune sistema antivirus.

EDR (Endpoint Detection and Response)

L’Endopoint Detection and Response (EDR) è, a sua volta, evoluzione dell’EPP.

L’EDR rappresenta un po’ la scatola nera dell’endpoint. Sua funzione primaria è, infatti, il monitoraggio costante di quanto avviene nell’ecosistema formato da tutti gli endpoint della rete.

La chiave di volta rispetto a un EPP è rappresentata dall’analisi comportamentale, resa possibile grazie all’integrazione di sistemi di intelligenza artificiale e machine learning.

Ciò sta a significare che:

  • mentre l’EPP analizza i singoli file di sistema
  • l’EDR, tiene traccia di tutti gli eventi che hanno interessato tali file

In sintesi: l’EPP si limita a bloccare l’evento anomalo, mentre l’EDR offre una fotografia istante per istante degli eventi che hanno scatenato tale anomalia.

A questo punto, sarebbe errato pensare che l’Endpoint Protection Platform e l’Endpoint Detection and Response siano sistemi che si escludono a vicenda.

Al contrario, l’EDR offre un importante integrazione a supporto dell’EPP, soprattutto nei casi in cui vengano rilevati processi legittimi, la cui esecuzione si sia ritenuta, tuttavia, illecita.

Questo per ciò che riguarda nello specifico la fase di detection, ossia rilevamento delle minacce.

Soffermandoci, ora, sulla response, possiamo invece evidenziare come l’EDR agisca

  • contenendo la minaccia
  • terminando le attività anomale specifiche e tutti i processi a questi correlati
  • e, infine, isolando la macchina allo scopo di evitare la propagazione dell’infezione.

In ultima analisi, il vero punto di forza dei sistemi Endpoint Detection and Response è rappresentato dalla

  • granularità
  • e continuità

con cui esamina qualsiasi processo all’interno del sistema.

Ciò permette di ottenerne non soltanto una visione più dettagliata, ma anche di contestualizzarne gli eventi in maniera puntuale.

XDR (Extended Detection and Response)

Sebbene se ne senta parlare parecchio nell’ultimo periodo, si può tranquillamente affermare che l’XDR (Extended Detection and Response) rappresenta una frontiera ancora abbastanza lontana per i professionisti in ambito cyber security.

Il principio alla base di questa evoluzione dell’Endpoint Security è che un processo non avviene soltanto all’interno dell’endpoint in quanto device, ma si snodi all’interno di più fattori.

Tradotto ciò significa che una qualsiasi attività su un sistema hardware, quale appunto l’endpoint, coinvolge anche servizi cloud, mail, ecc.

L’idea di fondo dell’XDR sarebbe proprio quella di inquadrare ogni singolo processo dal punto di vista di ogni servizio che questo ha interessato, correlandone poi l’interazione.

Ciò offrirebbe l’enorme vantaggio di non dover più ragionare a compartimenti stagni nelle pratiche di difesa.

Questo potrebbe significare che un evento anomalo che ha avuto luogo sulla casella di posta possa far scattare i sistemi di difesa a livello firewall. Il tutto perché il sistema XDR sarebbe riuscito a correlare quell’anomalia a un possibile tentativo di exploit.

Tuttavia, come già accennato, a oggi l’XDR rappresenta non tanto una soluzione già concretizzata, quanto una tendenza. In un prossimo futuro, infatti, non si esclude che possa cambiare radicalmente la concezione stessa di Endpoint Security.

Conclusioni

Come si è visto, l’Endpoint Security è una definizione generale che abbraccia diversi approcci metodologici.

Si tratta di tecniche in costante evoluzione, il cui punto di forza non è il sostituirsi l’un l’altra, ma l’integrarsi vicendevolmente.

In linea di massima, tuttavia, possiamo evidenziare le fasi-chiave entro cui si snodano le odierne tecniche di Endpoint Protection.

In sintesi possiamo, dunque, sottolineare:

  • la registrazione e l’archiviazione degli eventi
  • l’analisi dei dati raccolti
  • e rilevamento degli indicatori di compromissione (IoC).

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.