Endpoint: che cosa sono e perché oggi sono un punto di forza ma anche di grossa debolezza aziendale?
Endpoint: che cosa sono e perché oggi sono un punto di forza ma anche di grossa debolezza aziendale? Farlo capire al CDA per farsi finanziare i budget necessari a sostenere gli investimenti opportuni per chi si occupa di sicurezza non è facile. Gli endpoint, infatti, sono un concetto liquido, rappresentato dal continuo declinarsi di dispositivi connessi e comunicanti che le aziende devono coordinare e gestire per fare in modo che il dialogo tra questi dispositivi e i sistemi aziendali non abbia falle che possono minacciare la business continuity.
Sono endpoint non solo i pc, i laptop, gli smartphone o i tablet, dunque, ma anche i PABX (i centralini intelligenti), le videocamere di sorveglianza nonché tutte le apparecchiature specializzate, dai terminali POS (point of sale) ai lettori di codici a barre, dalle videocamere di sorveglianza a tutte le installazioni interattive e intelligenti che si promanano dall’applicazione sempre più spinta della Internet of Things dentro alle aziende e fuori alle aziende. Ad esempio, rientrano nell’endpoint management anche tutte le wearable technologies, ovvero le tecnologie indossabili utilizzate nei magazzini o dal mondo consumer come nel caso degli smart glasses o degli smart watch.
Endpoint e sicurezza: come e perché è necessario cambiare marcia alla governance
Gli analisti evidenziano come gli hacker considerino gli endpoint un canale d’accesso privilegiato per arrivare ai dati aziendali e come per i responsabili della sicurezza proteggere i device sia diventato più difficile che in passato. I dispositivi IoT, ad esempio, vengono disegnati e immessi sul mercato senza alcun sistema di sicurezza nativo e così offrono ai criminali informatici un enorme pool di reclutamento per le loro botnet e dei “comodi”, vulnerabili, punti di accesso alle reti. Con gli attacchi ransomware che hanno devastato le aziende nel corso del 2017, infatti, l’approccio alla sicurezza degli endpoint tradizionale si è rivelata in molti casi inefficace.
Gli analisti evidenziano come non ci sia più tempo per tergiversare
Sophos Partner Conference 2018: Guttadauro riceve il premio di migliore Managed Service Provider Italiano
Nell’ultimo rapporto “The State of Endpoint Security Today 2018” dagli esperti di sicurezza di Sophos, emerge come solo nell’ultimo anno, oltre la metà delle aziende (54%) sia stata colpito dai ransomware e, in media, più di una volta. Quanto è costato il cybercrime alle aziende? Circa 133mila dollari. Quali sono stati i settori più colpiti? La Sanità (76%), seguita da Energia (65%), Servizi (59%) e Distribuzione e Trasporti (58%). Quale Paese ha subito il maggior numero di attacchi? L’India, seguita da Messico, Stati Uniti e Canada. La notizia più brutta riportata dal report è che al momento dell’attacco, tutte queste aziende avevano una soluzione di sicurezza legata all’Endpoint Management aggiornata. Ma gli analisti sottolineano nel report anche come il 54% delle aziende attaccate dai ransomware, non avesse una specifica protezione contro i ransomware. Non a caso il 46% delle aziende considera importanti le tecnologie anti-ransomware e le ha applicate a tutti gli endpoint mentre un 45% ha espresso lo stesso giudizio e ha dichiarato l’intenzione di implementarle nel corso dell’anno.
Vero è che per le aziende la protezione degli endpoint sta diventando sempre più complessa. Per esempio, utilizzando fileless malware (in grado di infettare i sistemi senza lasciare tracce poiché prevedono la totale eliminazione dal sistema dei file utilizzati per effettuare l’azione malevola) e software exploit rubati dagli arsenali governativi (con particolare riferimento a EternalBlue, realizzato e poi sottratto dalla National Security Agency), gli hacker hanno facilmente aggirato le tradizionali tecnologie di file-scanning per la sicurezza degli endpoint, sferrando attacchi che sono saliti alle cronache come, ad esempio, WannaCry e NotPetya.
Le opinioni degli intervistati sull’integrazione di una specifica tecnologia anti-ransomware nella loro protezione endpoint
Ooops i tuoi file sono stati criptati!
L’origine di WannaCry? Un ceppo di malware spostato lateralmente all’interno delle reti facendo leva su un bug in Windows SMBv1 e SMBv2 che ha colpito qualsiasi computer Windows senza la debita patch MS17-010 che Microsoft aveva rilasciato a marzo 2017 (il che ha ricordato a tutti quanto il patch management sia fondamentale per garantire la sicurezza). La viralizzazione di WannaCry è avvenuta tramite finte email: dopo l’installazione automatica, potevano essere infettati altri sistemi presenti sulla stessa rete senza intervento umano. Una volta criptati i file, veniva aggiunta l’estensione .WCRY e l’accesso non solo risultava bloccato ma risultava impossibile riavviare il sistema. E l’utente si ritrovava il laconico messaggio “Ooops i tuoi file sono stati criptati!”. A quel punto, appariva il file @Please_Read_Me@ con la richiesta di riscatto (inizialmente di 300 dollari, in seguito elevati a 600), che l’utente doveva pagare in bitcoin.
Sicurezza, anzi in-sicurezza informatica
I ricercatori riportano come i problemi di insicurezza segnalati dalle aziende siano spesso causati dall’inefficacia degli strumenti che hanno implementato, non tanto per l’insufficienza dei budget. Il problema è noto (anche se non esplicitato abbastanza): la crescita addizionale di sistemi e applicazioni, generatasi in un’era in cui Internet non aveva ancora rilevato la sua potenza di fuoco, ha posto il tema della sicurezza in secondo piano per tanti, troppi anni. Ieri la sicurezza era un add on. Prima si mettevano su i sistemi e poi, i più lungimiranti, risolvevano anche la sicurezza. Oggi, che la sensibilità è cresciuta, si fa un gran parlare di sicurezza nativa, dinamica, integrata, reattiva e predittiva. Ma la maggior parte delle organizzazioni continua ad avere in casa (o in cloud) strumenti e soluzioni per la sicurezza, introdotte in modo sempre addizionale. Nessun approccio olistico né, tanto meno, strategico.
Endpoint Management in Italia
Le ricerche internazionali alzano l’attenzione su nuovi modelli di gestione di tutti gli endpoint. Ma le aziende italiane sono ancora convinte che il malware colpisca solo le aziende estere? Secondo i dati dell’ultimo Rapporto Clusit 2018 relativo alla sicurezza ICT in Italia, il 2017 si è caratterizzato per il trionfo del malware. Solo per citarne alcuni, l’attacco ai sistemi non classificati della Farnesina, l’attacco a un sistema del Dipartimento per la Funzione Pubblica, l’attacco di phishing (con malware allegato) contro oltre 200.000 vittime, quasi tutte italiane, realizzato in luglio dalla botnet Andromeda, il furto di quasi 200 milioni di dollari in cryptovalute da un Exchange italiano.
Pc, smartphone e tablet usati come cavalli di troia per infettare le reti aziendali. Utenti alle prese con ricatti informatici per riottenere i propri dati criptati. Il cybercrime trionfa e i malware si moltiplicano. Per questo parlare di Endopoint Management non può prescindere dal tema della sicurezza.
E c’è chi parla di NGEP Security
Oggi antivirus, antispyware, firewall, honeypot, Intrusion Detection System, Intrusion Prevention System, crittografia, backup o sistemi di autenticazione sono tasselli addizionali che vengono cablati nei sistemi aziendali e vengono più o meno aggiornati. A occuparsene difficilmente è la stessa persona, anche perché sono stati integrati in tempi diversi e con obiettivi spesso differenti: dal funzionamento delle reti alla gestione degli accessi, dall’andamento delle macchine all’operatività del gestionale, dalla virtualizzazione al cloud è tutta una cascata di informazioni da governare e da proteggere. Gli esperti suggeriscono di iniziare a ragionare in termini di Next Generation Endpoint (NGEP).
L’obsolescenza tecnologica impone comunque un cambiamento delle soluzioni adottate: le aziende dovrebbero imparare a ragionare in termini di Security Lifecycle Management. Come? integrando una sicurezza nativa, partendo dalle loro infrastrutture di rete. L’azienda, infatti, oggi è estesa, ha perimetri liquidi, utenti mobili, dati e applicazioni in cloud. Il cybercrime, dal suo canto, diventa sempre più chirurgico nella definizione delle sue strategie di attacco, sferrando Advanced Persistent Threat (ATP), ovvero una serie di attacchi sofisticati ma anche estremamente mirati, che iniziano con l’intrusione dei cybercriminali all’interno della rete aziendale presa di mira. Alcune aziende lo hanno capito e stanno affidando a consulenti e partner specializzati la protezione di applicazioni e sistemi, preoccupandosi soprattutto di mantenere la paternità sui dati.
Terziarizzare la sicurezza aiuta le organizzazioni a liberarsi dall’onere di mantenere aggiornati in continuazione reti, applicazioni e sistemi. Compito riservato ai provider che, avendo costruito sulla sicurezza il proprio core business, sono aggiornatissimi su tutte le derive del cybercrime e possono predisporre sistemi di azione e reazioni estremamente più efficaci di quanto non possa fare la singola organizzazione.