La sicurezza multi vettore protegge sino agli endpoint

Il perimetro di un’azienda si è esteso e  gli endpoint ne  diventano il nuovo perimetro.  Per rafforzare le difese è utile ricorrere a tecniche multi-vector

 

Il panorama delle minacce è dinamico e la sua natura mutevole è di fatto oggetto di discussione in ogni conversazione tra i professionisti della sicurezza di tutta Europa.

Si è passati da “non si tratta più solo di antivirus”, a “non è una questione di se ma di quando” e si è arrivati infine a discutere delle differenze tra sicurezza in cloud e on-premise, senza dimenticare tutto quello che c’è nel mezzo.

Ogni singolo scambio di opinioni, osserva Emilio Turani, Managing Director per Italia, Central Eastern Europe, Turchia e Grecia di Qualys, dimostra l’attenzione del mercato verso nuove strategie, perché gli aggressori trovano sempre nuovi modi per aggirare le difese precedenti.

Le nostre reti aziendali si sono evolute, si parla di imprese senza confini e sempre più il nuovo tema delle conversazioni è “l’endpoint come parte del nuovo perimetro”.

Questo, osserva Turani, impone un cambiamento di approccio. Vediamo nello specifico cosa suggerisce e considera il manager.

L’incremento degli attacchi multi-vettore

Il rilevamento e la risposta degli attacchi verso gli endpoint devono evolversi perché questa superficie di attacco così vasta consente agli aggressori di progettare campagne multi-vettoriali.

Questo significa che hanno a disposizione un menu di opzioni, o percorsi, tra cui scegliere per riuscire a portare a termine le violazioni.

Potrebbero approfittare dell’ingenuità degli utenti con l’ingegneria social e sfruttare una vulnerabilità del software.

Nel mondo multi-vettore, adotteranno un mix di queste opzioni per aumentare la probabilità di successo degli attacchi e ogni endpoint rappresenta un rischio per l’intero ambiente.

Con l’Endpoint Detection and Response (EDR) multi-vector si spazia dal monitoraggio alla protezione dei dispositivi stessi, perché gli endpoint sono solo una piccola parte dei rischi per una rete. Il monitoraggio delle attività dei soli nodi di superficie, senza considerare gli altri dati disponibili, porterà a falsi positivi (e negativi) causando allarmi fuorvianti, un’assegnazione non ottimale delle priorità e uno spreco di allocazione delle risorse.

In sostanza, senza un approccio multi-vector sarà molto più difficile automatizzare le funzioni di rilevamento e risposta, per lasciare agli amministratori di rete e agli esperti in sicurezza il tempo necessario per eseguire attività più utili.

E senza la capacità di scalare verso l’alto le procedure di sicurezza per proteggere ambienti più complessi, coloro che operano in ambienti di lavoro ibridi – come sta accadendo in questo periodo a causa della pandemia – saranno costretti ad affrontare sfide più ardue del necessario.

Il punto centrale è la visibilità

È quindi necessario prendere in considerazione diversi data point per avere una visione d’insieme delle attività che riguardano un processo sospetto, in modo da poter valutare correttamente il suo livello di rischio. Il rilevamento del malware è utile e necessario, ma un inventario completo degli endpoint e della loro attività in rete, insieme alle informazioni sullo stato degli aggiornamenti delle applicazioni e dell’autenticazione e dei processi autorizzati, porta la valutazione del livello di rischio rappresentato da una determinata attività e l’assegnazione delle risorse per affrontarlo a un livello superiore.

Una chiara visibilità è di vitale importanza, considera Turani: coloro che sono incaricati della protezione degli asset digitali devono essere in grado di visualizzare errori di configurazione dei processi di sicurezza, di sfruttare gli antivirus, monitorare le vulnerabilità e gli aggiornamenti mancanti.

Devono essere dotati di informazioni e strumenti che permettano loro di diventare cacciatori di minacce, annientando sia i piccoli ma insidiosi parassiti che i più feroci predatori.

L’EDR multi-vector di Qualys offre una visione globale della rete, sfruttando il cloud per rilevare informazioni utili sull’individuazione delle risorse, l’inventario del software, sulla visibilità del fine-vita dei prodotti, le vulnerabilità, gli exploit, le configurazioni errate, la telemetria approfondita degli endpoint e l’accessibilità della rete. I cloud agent “edge” di Qualys operano insieme a potenti motori basati sul cloud per offrire un’elevata capacità di valutazione, rilevamento e risposta. L’elaborazione delle informazioni e la loro correlazione avvengono in tempo reale, il che significa che i team di sicurezza sono sempre aggiornati. Adottano misure proattive che anticipano possibili violazioni, piuttosto che svolgere il compito di rimediare dopo che l’esfiltrazione dei dati si è verificata”, evidenzia Turani.