Il cloud e lo Smart Working hanno fatto esplodere un problema per la sicurezza IT: l’endpoint protection. In realtà, è un tema che già da alcuni anni stava gradualmente assumendo grande importanza, perché i cyber criminali avevano individuato nell’endpoint una via d’accesso poco protetta per la rete aziendale. Con il repentino ampliamento del perimetro aziendale portato appunto dal passaggio al cloud e dal nuovo approccio al lavoro in smart working, l’endpoint protection è diventato un fattore essenziale nella difesa dal crimine informatico.
Più device, meno protezioni
Lo smart working è stata una tra le soluzioni più adottate dalle aziende per continuare a essere operative quando la diffusione da Covid-19 ci ha obbligato al lockdown. L’impiego massivo del lavoro da remoto ha fatto aumentare in modo esponenziale i possibili punti di attacco e, di conseguenza, sono aumentate le possibilità di esserne vittima. Per altro, chi ha praticato lo smart working in quel periodo spesso usava dispositivi che non avevano una protezione efficace. Anzi, alcune volte non l’avevano per nulla e quindi il pericolo che fossero il mezzo tramite cui i cyber criminali potessero accedere ai dati aziendali era altissimo. Oggi che lo smart working è diventato una modalità di lavoro strutturata le cose sono un po’ cambiate, ma il problema resta. Se non è adeguatamente gestito tramite una piattaforma di Mobile Device Management, con precise policy di sicurezza, qualsiasi dispositivo mobile che accede alla rete aziendale rappresenta un serio pericolo. E i danni che può subire un’azienda a fronte di un data breach possono essere davvero ragguardevoli.
Un data beach può costare milioni
Nel suo Costs of a Data Breach Report 2021, IBM indica che un’azienda deve affrontare in media un costo di 3,6 milioni di dollari per riprendersi da un data breach. E nel caso di un ransomware la cifra è anche superiore. Il dato è eclatante ma a ciò va aggiunto che un’azienda impiega 287 giorni per accorgersi di aver subito un data breach e prendere le adeguate contromisure. E se ha oltre il 50% dei dipendenti in smart working, impiega in media una cinquantina di giorni in più a scoprire il data breach.
Va da sé che l’endpoint protection sia una via obbligata per un’azienda, in particolare se si hanno collaboratori che accedono alla rete da remoto. Ma quale soluzione meglio si presta a fornire la migliore protezione? E soprattutto perché?
La soluzione efficace per proteggere gli endpoint
«Serve una soluzione di sicurezza che sappia offrire una endpoint protection completa –ha sottolineato Paolo Ardemagni, Area VP Southern Europe Middle East and Africa di SentinelOne – e che permetta di orchestrare i tool di cybersecurity offrendo una lettura comune in modo da difendere adeguatamente sia i dispositivi di chi lavora in smart working sia gli asset e i dati sul cloud. Non solo. Deve essere anche rapida nel riconoscere le minacce. Una soluzione che risponde a questi requisiti si trova nella piattaforma XDR, Extended Detection and Response».
Who's Who
Paolo Ardemagni
XDR di SentinelOne è l’evoluzione dell’EDR, Endpoint Detection and Response. L’EDR è stato il primo strumento molto efficace perché ha portato la visibilità sugli endpoint, come notebook e workstation, consentendo di fornire risposte automatizzate ai dati rilevati. Ma questi erano gli endpoint di qualche anno fa. Oggi una rete aziendale si compone di molti dispositivi diversi, alcuni dei quali possono essere utilizzati dai cyber criminali per sferrare attacchi con alta probabilità di successo; ad esempio gli smartphone, i dispositivi IoT, i container o le applicazioni cloud-native. A fronte di questa situazione, XDR estende il raggio d’azione dell’EDR e va appunto oltre gli endpoint “classici” per effettuare analisi e, grazie anche all’utilizzo dell’intelligenza artificiale, prendere decisioni su dati provenienti da un maggior numero di dispositivi.
Le differenze fra XDR e SIEM
«Date le sue caratteristiche, si potrebbe pensare che l’XDR sia una sorta di SIEM (Security Information and Event Management) – ha sottolineato Paolo Ardemagni –, invece si tratta di due soluzioni molto diverse e con scopi differenti. XDR nasce nel cloud ed è capace di rilevare e rispondere prontamente alle minacce, permettendo ai team di sicurezza di minimizzare portata e impatto del relativo attacco, mentre SIEM è stato creato on-premise ed è in grado di raccogliere, aggregare, analizzare e memorizzare solo grandi volumi di dati di log da tutta l’azienda. È vero che entrambi raccolgono una grande mole di dati, ma hanno differenti velocità operative: l’XDR svolge in tempo reale compiti che al SIEM possono richiedere giorni, come per esempio la lettura, la normalizzazione e l’analisi dei dati inerenti a un incident informatico».
Inoltre, SIEM è uno strumento analitico passivo, non ha la capacità di identificare le tendenze significative e non è nemmeno in grado di effettuare alcun rilevamento o fornire risposta automatica: si limita a emettere avvisi. Per essere davvero utile, un SIEM richiede poi un grande contributo da parte delle persone in termini di indagini e analisi manuali. E tutto questo rende il SIEM lento.
«Oggi invece le aziende necessitano di risposte in tempo reale per reagire rapidamente, adottando un approccio olistico alla sicurezza – ha affermato Paolo Ardemagni –. In questo senso, XDR è capace di rilevare e rispondere agli attacchi mirati in modo più efficace e pervasivo; comprende l’analisi e il profiling del comportamento, grazie alla threat intelligence, il modo più veloce per trovare informazioni su potenziali minacce, di tracciare gli eventi e monitorare il software in tempo reale. Così, per esempio, nel caso di un criptaggio dei dati, l’azione repentina di contrasto della soluzione XDR Singularity di SentinelOne consente anche di effettuare un rollback per riportare il sistema nella stessa condizione in cui era prima dell’attacco. In questo modo, Singularity assicura prevenzione, rilevamento e risposta alle minacce».
Della sicurezza si occupa l’intelligenza artificiale
Nelle analisi degli endpoint, XDR raccoglie una moltitudine di log che, attraverso una tecnologia di datalake, vengono raccolti, normalizzati e catalogati. L’obiettivo è individuare quegli incidenti che potrebbero portare a un data breach, in modo da risolvere la vulnerabilità prima che ne possano approfittare i cyber criminali. «SentinelOne propone Ranger, una soluzione basata su intelligenza artificiale – ha precisato Paolo Ardemagni – che attiva un agente, il quale scandaglia tutta la rete aziendale alla ricerca di computer e dispositivi senza adeguata protezione. Quando sono individuati gli endpoint più critici si può decidere se Ranger li deve isolare oppure metterli in sicurezza propagando un agente software».
La risposta ai cyber criminali
Con le dimensioni che hanno raggiunto oggi i perimetri aziendali, per avere un elevato livello di protezione della rete è necessario affidarsi a sistemi in grado di tenere sotto controllo in real time tutti gli endpoint. «Questo oggi lo possono assicurare solo le soluzioni XDR, tra cui la nostra innovativa Singularity platform che è leader di mercato – ha concluso Paolo Ardemagni – le quali, oltre a monitorare lo stato dei dispositivi, possono anche prendere delle decisioni sulle azioni da attuare in modo da fornire un’istantanea risposta alle minacce dei cyber criminali. Singularity di SentinelOne unifica ed estende la capacità di rilevamento e risposta su più livelli di sicurezza, fornendo ai team una visibilità centralizzata end-to-end, una potente analisi e una risposta automatizzata su tutto lo stack tecnologico dell’azienda».
