Che cosa significa Endpoint security?
Oggi la rete aziendale è accessibile da remoto da una grande varietà di dispositivi diversi, dai computer desktop (o PC fisso) ai laptop, dagli smartphone ai tablet. Questo significa che c’è un rischio maggiore di violazioni della sicurezza informatica, poiché i dispositivi remoti possono rappresentare delle vulnerabilità sfruttabili da parte di un hacker.
Le politiche Bring Your Own Device (BYOD), che consentono ai dispositivi di proprietà dei dipendenti di connettersi alla rete aziendale e di accedere ai dati sensibili, il passaggio a modelli di lavoro remoti e ibridi, che hanno trasformato le infrastrutture IT, e la diffusione delle applicazioni IoT (Internet of Things), hanno spostato gli endpoint al di fuori della rete aziendale e delle sue difese perimetrali, rendendo l’Endpoint security un elemento chiave della strategia di cybersecurity.
Gli endpoint sono la prima linea di difesa contro le minacce informatiche e proteggerli diventa quindi una necessità assoluta per evitare che i criminali sfruttino punti di accesso alle reti aziendali allo scopo di introdurre malware o rubare informazioni.
Secondo le stime il 70% delle violazioni di dati ha origine su dispositivi endpoint che, oltre a causare danni alla reputazione, possono rivelarsi anche molto costose, come evidenziato nel rapporto del Ponemon Institute in cui si evidenzia che il costo medio globale di un data breach è di 3,86 milioni di dollari.
Che cosa si intende per endpoint?
Un endpoint è qualsiasi dispositivo che si connette alla rete aziendale dall’esterno del suo firewall. Esempi di dispositivi endpoint sono:
- Computer desktop;
- Computer portatili;
- Tablet;
- Dispositivi mobili;
- Dispositivi IoT;
- Wearables device (dispositvi indossabili)
- Stampanti digitali
- Scanner
- Sistemi per punti vendita (POS)
- Dispositivi medici
Riassumendo, può essere considerato un endpoint qualsiasi dispositivo che comunichi con la rete centrale.
In che modo i cyber criminali possono sfruttare gli endpoint?
Esistono diversi modi in cui i criminali informatici possono sfruttare gli endpoint per accedere alla rete aziendale e lanciare un attacco contro i sistemi con l’obiettivo rubare informazioni o danneggiare l’infrastruttura. Per questo motivo la sicurezza dei dati, la prevenzione avanzata dalle minacce e la rilevazione rapida di eventuali compromissioni diventano fondamentali.
Alcuni dei principali metodi di attacco contro gli endpoint comprendono:
- Movimento laterale: il cybercriminale una volta atterrato su un endpoint della rete passa al successivo, sfruttando l’intero ecosistema web-based per arrivare al sistema aziendale dove vuole;
- Shadow IT: con questo termine si è soliti indicare tutte quelle operazioni informatiche che avvengono “nell’ombra”: dalla sincronizzazione e condivisione dei dati (ad esempio le email sincronizzate tra il dispositivo mobile personale dell’utente e i server aziendali) all’utilizzo di piattaforme di backup alternative a quelle implementate dall’azienda (ad esempio: chiavette USB) fino all’uso dei social media per la condivisione di materiale;
- Island hopping: significa letteralmente “passare da un’isola all’altra” ed è una tecnica che sfrutta le terze parti che hanno un determinato grado di accesso alle reti delle aziende che sono il vero obiettivo dei malintenzionati. In genere, questo tipo di attacchi avviene attraverso l’accesso a VDI (Virtual Desktop Infrastructure) o tramite collegamenti a reti private VPN (Virtual Private Network).
Come migliorare l’Endpoint security?
Per proteggere la rete aziendale da attacchi esterni che sfruttano gli endpoint si può ricorrere a diverse strategie:
- Crittografia: ogni tipo di dato, da quello archiviati a quello che viene inviato ad altri, deve essere protetto con una crittografia adeguata in modo da renderlo illegibile per chi non ha l’autorizzazione a leggerlo;
- Whitelisting: uno dei modi più semplici e sicuri per proteggere gli endpoint aziendali è installare un software di whitelisting, che impedisce l’esecuzione di qualsiasi processo non autorizzato o consente solo l’accesso alle app ben note.
- Una gestione centralizzata del cloud: se i dipendenti di un’azienda devono accedere ai dati da remoto è preferibile utilizzare un cloud che consenta la gestione centralizzata degli accessi e delle informazioni per evitare l’uso improprio delle risorse;
- Data loss prevention: un altro strumento essenziale per la protezione degli endpoint è l’implementazione di una soluzione DLP che rilevi e monitori i dati scambiati tra gli endpoint e blocchi le violazioni;
- EPP (Endpoint Protection Platform): gli EPP sono piattaforme che consentono di monitorare e proteggere tutti i dispositivi attraverso la scansione dei file scaricati, l’aggiornamento delle patch e l’analisi in tempo reale del traffico.