Gli attacchi zero-day, per i quali non è ancora disponibile una soluzione, sono all’ordine del giorno. Gli aggressori sfruttano vulnerabilità presenti nei software utilizzati in azienda così come in ufficio per farsi strada all’interno dell’infrastruttura e guadagnare l’accesso remoto alle risorse altrui.
Nell’articolo Sicurezza informatica, come difendersi dalle minacce più moderne in ufficio e in azienda abbiamo presentato diverse strategie per proteggere efficacemente i propri dati, evitare che possano essere sottratti o danneggiati da parte di terzi e tornare rapidamente operativi in caso di disastro.
Come abbiamo più volte ricordato, la vecchia strategia basata sullo sviluppo di “antidoti” per la singole minacce è divenuta assolutamente inadeguata. Lo stesso servizio online VirusTotal, che permette l’utilizzo di decine di motori antimalware per analizzare contemporaneamente uno stesso file, abbina l’utilizzo di macchine virtuale, tecnologie di sandboxing e intelligenza artificiale: VirusTotal: guida all’uso del servizio per controllare l’identità dei file.
In azienda, indipendentemente dalle sue dimensioni, è necessario utilizzare un approccio di tipo centralizzato che consenta di controllare in tempo reale “i movimenti” all’interno dell’intera infrastruttura riconoscendo e bloccando proattivamente eventuali minacce.
La sicurezza dell’azienda e dei dati memorizzati su ogni dispositivo collegato alla rete LAN passa per la difesa dei singoli endpoint.
Abbiamo già visto quanto l’utilizzo di documenti Office malevoli sia diventata una prassi sempre più comune tra i criminali informatici: Riconoscere un documento Office malevolo in azienda. Attacchi di tipo spear phishing, congegnati per essere il più credibili possibile, progettati per bersagliare obiettivi aziendali ben precisi traendo in inganno i dipendenti dell’impresa, sono sempre più frequenti e poggiano proprio sull’utilizzo di documenti Office preparati per fare leva, per esempio, su vulnerabilità della suite per l’ufficio lasciate irrisolte (ad esempio a causa della mancata applicazione delle patch).
Le soluzioni per la sicurezza utilizzabili in azienda utilizzano vari approcci: possono essere installate su un server locale, possono essere utilizzate come appliance virtuali (quindi anche da macchina virtuale) oppure configurate e adoperate via cloud.
I migliori software svolgono anche attività di asset discovery e vulnerability scanning per rilevare la presenza di vulnerabilità in qualunque applicazione utilizzata all’interno dell’azienda e minimizzare la superficie d’attacco identificando le lacune critiche che possono essere eventualmente sfruttate dagli aggressori.
Bitdefender GravityZone combina apprendimento automatico ed euristica con altre tecniche per proteggere i singoli endpoint e l’intera rete aziendale da ogni genere di minaccia: ne avevamo parlato a suo tempo nell’articolo Bitdefender contro le nuove minacce informatiche sempre più complesse.
Da un unico pannello di controllo è possibile monitorare tutti gli eventi legati alla sicurezza, verificare i dispositivi connessi alla LAN e installare da remoto il componente che consente di attivare la protezione in tempo reale, verificare e bloccare l’accesso a determinati servizi e siti web, personalizzare ogni aspetto legato alla sicurezza delle applicazioni e allo scambio di dati da parte dei programmi installati.
Anche Sophos è una delle aziende hanno abbracciato più convintamente l’utilizzo dell’intelligenza artificiale nei suoi prodotti. Sophos Intercept X fa ampio uso di tecniche di machine learning per distinguere le attività regolari da quelle che sono chiaramente dannose o potenzialmente tali.
Alcuni componenti, come CryptoGuard, si occupano poi di rilevare e bloccare minacce specifiche: Intercept X non offre soltanto una solida protezione nei confronti dei ransomware ma riesce a rilevare e bloccare tempestivamente le metodologie di attacco sfruttate dalle minacce fileless: Rimozione malware: come accorgersi della presenza di minacce fileless.
Un altro tool parte integrante di Intercept X provvede a bloccare il download di file malevoli con particolare riguardo agli attacchi posti in essere da pagine web realizzati da parte di criminali informatici.
La protezione è gestibile attraverso Sophos Central, un’intuitiva console che permette di verificare in tempo reale lo stato dei dispositivi collegati alla rete. Non occorre impostare alcun server: basta effettuare l’accesso per scaricare l’apposito agent e configurare le regole attraverso un’unica schermata.
L’inclusione della nuova funzionalità di Endpoint Detection and Response (EDR) in una suite per la protezione degli endpoint come quella di Sophos, permette di alleggerire significativamente i carichi di lavoro aumentando l’efficacia della prevenzione delle minacce e diminuendo allo stesso tempo gli eventi non significativi generati. In questo modo gli amministratori possono ottimizzare le risorse e dedicarsi maggiormente alle attività più rilevanti evitando di perdere tempo ad analizzare falsi positivi e a gestire un eccessivo volume di notifiche.
La soluzione di Sophos offre completa visibilità su tutte le applicazioni utilizzate in ogni singolo dispositivo, riesce a isolare automaticamente i device che presentano problemi e si occupa della rimozione immediata del malware.
Il video che ripubblichiamo mostra la funzionalità EDR di Sophos Intercept X alle prese con un file malevolo che risulta presente su più PC della stessa organizzazione. Dalla console web del prodotto è possibile isolare i sistemi che stanno creando problemi in modo tale da scongiurare la diffusione dell’infezione (prevenire ad esempio i cosiddetti “movimenti laterali” in seno alla LAN). A beneficio dei tecnici un grafico permette di sapere esattamente cosa ha generato l’infezione, quali operazioni sono state compiute e quali componenti software sono stati utilizzati.
ESET Endpoint Security è un’altra tra le migliori soluzioni disponibili sul mercato: come i software presentati in precedenza, anche in questo caso viene adottato un efficace approccio multilivello che permettono di proteggere la rete aziendale da malware, ransomware, attacchi mirati, prevenire le violazioni di dati, bloccare tempestivamente gli attacchi fileless, rilevare e fermare le minacce avanzate persistenti (APT).
Il pannello di gestione centralizzato (Security Management Center) può essere installato, in questo caso, su server Windows o Linux ma è disponibile anche un’appliance virtuale che può essere agevolmente importata e utilizzata per proteggere l’intera rete locale.
Oltre a fare ampio uso del machine learning, tecniche che poggiano sull’utilizzo di una vasta rete neurale, ESET Endpoint Security usa anche meccanismi di sandboxing per approfondire ulteriormente il comportamento di un file: diverse componenti hardware e software vengono emulate per eseguire un campione sospetto in un ambiente virtualizzato e assolutamente isolato. In questo modo la soluzione per la sicurezza proposta da ESET aiuta a identificare il reale comportamento di un malware che utilizza tecniche per celarsi il più possibile dai sistemi di controllo automatico.
ESET è il primo produttore di soluzioni per la sicurezza degli endpoint che ha integrato un modulo di protezione dedicato a UEFI: esso verifica attentamente la fase di boot della macchina controllando l’integrità del firmware. In caso di modifiche queste vengono immediatamente notificate.
Le soluzioni Kaspersky Endpoint Security offrono invece sia un pannello di amministratore cloud che la possibilità di installazione on-premise a seconda del pacchetto scelto.
Nel primo caso, l’implementazione della soluzione per la sicurezza Kaspersky richiede un impegno minimo in termini di budget, tempo ed energie utilizzando l’approccio Security-as-a-Service. Nel secondo, è necessario disporre di competenze tecniche più avanzate e del server per l’installazione della console di gestione Kaspersky.
Anche Malwarebytes propone sia una soluzione cloud che una on-premise delle quali avevamo parlato nell’articolo Malwarebytes, proteggere singoli PC e l’intera rete aziendale da un unico pannello cloud.
La prima si chiama Malwarebytes Endpoint Protection; la seconda Malwarebytes Endpoint Security.
Ulteriore alternativa è Panda Endpoint Protection che utilizza un pannello centralizzato cloud per la protezione di tutti gli endpoint: da qui è possibile monitorare ciò che accade su tutti i dispositivi connessi alla rete locale. La protezione viene estesa a tutti i sistemi Windows, Windows Server, Linux e Android e viene fatto uso di una tecnologia che da anni Panda chiama “intelligenza collettiva” per reagire tempestivamente alla nuove minacce apparse in rete.
A proposito di minacce provenienti da dispositivi che non siano quelli fisicamente installati in azienda, avevamo recentemente pubblicato un articolo sulla gestione dei device Android: Android, come gestire i dispositivi in azienda.