La tradizionale modalità di protezione dagli attacchi alle reti informatiche, limitata ad azioni dedicate alla raccolta di esemplari di malware e allo sviluppo di appositi pattern usati dagli endpoint per riconoscere i tentativi di attacco, non rappresenta ormai più una strategia di sicurezza efficace sia perché da un lato sono cambiati i modelli di impresa sia perché, dall’altro, sono cambiati gli obiettivi dei cybercriminali.
Se fino a qualche anno fa questi ultimi si preoccupavano sostanzialmente di arrecare danni alle imprese, oggi gli obiettivi sono ben diversi e sono focalizzati soprattutto a trarre un vantaggio economico dall’attività criminale attraverso Internet. Si tratta di attacchi molto più sofisticati e perpetrati con finalità criminali legate al furto di identità, di informazioni critiche e dati sensibili.
L’uso sempre maggiore di Internet ha poi velocizzato il cambio di panorama “facilitando” anche il compito dei cyber-criminali che, grazie al Web, oggi sono in grado di generare attacchi su più livelli (sfruttando in modo combinato e sofisticato anche tecniche ormai note come lo spam o il phishing).
I codici maligni, rivela Idc, stanno diventando ogni giorno più aggressivi, nascosti e difficili da identificare, per altro con un ciclo di vita sempre più breve che può essere misurato addirittura in minuti (nel 2009 i dati degli analisti parlavano di circa 800 nuove minacce all’ora, con stime di crescita notevoli fino a toccare, entro il 2015, le 26.500 minacce all’ora); nella figura 1 vengono riportate le principali minacce per il mondo enterprise identificate da Idc.
Figura 1 – Le principali minacce a livello di endpoint per il mondo enterprise [Fonte Idc, 2009]
(cliccare sull’immagine per visualizzarla correttamente)
È significativo sottolineare che nonostante il 2009 abbia rappresentato uno degli anni più difficili per l’economia mondiale, il cybercrimine non conosce crisi. Dal Symantec Internet Security Threat Report 2010 emerge inoltre che, nonostante il mondo finanziario sia stato protagonista di acquisizioni e di un generale consolidamento, riducendo quindi il numero degli attori in campo, le banche e gli istituti di credito rimangono comunque i principali destinatari di attacchi di cybercriminali; il secondo settore è quello degli Internet Service Provider, ma con un distacco notevole (74% contro 9%), si veda la figura 2.
Figura 2 – Aziende colpite da attività di phishing, per settore [Fonte Symantec, 2010]
(cliccare sull’immagine per visualizzarla correttamente)
Contestualmente, i nuovi modelli di business sono sempre più orientati alla collaborazione tra attori che risiedono e operano al di fuori dell’azienda e nell’ultima decade si è andato via via moltiplicando il numero di utenti remoti che accedono ai sistemi aziendali; sono cresciute e si sono modificate le piattaforme e le metodologie di accesso, oltre ai terminali per la connettività. Non solo: da un punto di vista di business è cresciuta la consapevolezza che possono sussistere minacce pericolose anche provenienti dall’interno dell’azienda (non necessariamente a causa di comportamenti dolosi; contribuiscono a rendere insicuri gli endpoint, per esempio, anche il mancato aggiornamento delle patch o delle signature per il riconoscimento di virus).
E nel panorama all’interno del quale la sicurezza deve evolversi va sottolineato, infine, che è sempre più in crescita anche il numero stesso degli endpoint attraverso cui il malware può penetrare nella rete aziendale: dai server ai client di posta elettronica installati sui Pc e Notebook, alle Webmail aziendali e personali, ai browser Web, fino ai dispositivi mobili aziendali e personali, le unità Usb, ecc.
Le tecnologie specifiche di endpoint protection
Per far fronte a questo nuovo panorama, l’offerta Ict ha sviluppato tecnologie specifiche dedicate alla protezione degli endpoint che, attraverso piattaforme integrate riescono a garantire una protezione multi-livello attraverso la combinazione di diverse tecnologie (antivirus, antispyware, firewall, host intrusion prevention, encryption, data loss prevention, ecc.)
Sempre secondo Idc, adottare piattaforme integrate per la sicurezza degli endpoint migliora la governance della sicurezza nel suo insieme, riduce i rischi di incompatibilità delle diverse funzioni di protezione oltre a ridurre significativamente i costi derivanti dal mantenimento e dal controllo di diverse soluzioni (che, per altro, nel loro insieme, tendono ad “ingombrare” maggiormente i sistemi a livello di risorse dedicate – server, memoria, Cpu, ecc. – rispetto ad una piattaforma unica).
La gestione centralizzata degli endpoint è uno degli aspetti su cui Idc punta particolarmente i riflettori, soprattutto in virtù dell’evoluzione legata al Web 2.0, ma anche in ragione di una più efficace strategia di corporate governance e regulatory compliance.
Tuttavia, la società di analisi e ricerca americana sottolinea come la costruzione di un efficace ed efficiente sistema di endpoint security debba necessariamente tenere conto di alcuni aspetti strategici come:
– Proattività della sicurezza: dimostrato che i sistemi tradizionali con funzionalità di signatures scanning risultano ormai inefficaci, è fondamentale indirizzare l’attenzione a soluzioni che possano facilitare una gestione proattiva della sicurezza, attraverso tecnologie in grado di riconoscere il comportamento delle minacce senza dover contare sull’identificazione delle signatures o attendere i risultati di lunghe analisi e scansioni.
– Performance: le soluzioni di sicurezza che agiscono in modo proattivo, hanno la grande opportunità di diventare abilitanti di business grazie alla visibilità che possono offrire su rischi, minacce, vulnerabilità e azioni correttive. Non solo: configurare in modo corretto le piattaforme di endpoint security, dice Idc, garantisce performance anche a livello di user experience, permettendo agli utenti di lavorare in modo sicuro senza rallentamenti e inefficienze.
– Gestione centralizzata: riuscire ad avere un sistema di gestione centralizzato, ben configurato e con un livello di automazione efficace, consente di garantire elevati livelli di sicurezza con un impiego minimo di risorse It.
– Sicurezza agile: data la natura sempre più sofisticata e dinamica degli attacchi, adottare soluzioni capaci di identificare tempestivamente le minacce e rispondere in maniera adeguata in tempi rapidi è uno degli elementi strategici più importanti su cui deve fondare le radici un adeguato approccio all’endpoint security.
– Integrazione: una protezione completa richiede diversi livelli di sicurezza raggiungibili attraverso funzionalità e tecnologie che cooperino efficientemente all’interno di un ambiente integrato.
Windows 7: come affrontare il tema della sicurezza?
Nell’ultimo anno, infine, è emersa una nuova tematica con la quale i risponsabili dei sistemi informativi devono confrontarsi. L’introduzione, da parte di Microsoft, di Windows 7 ha moltiplicato improvvisamente tutti i problemi di provisioning, gestione, manutenzione e controllo relativi allo sviluppo di una infrastruttura di end-point sempre più differenziata e complessa. Infatti, nonostante le varie soluzioni che nel corso degli anni sono state via via proposte, l’architettura basata sullo spostamento sul client delle applicazioni di produttività individuale nonché di parte delle funzioni relative alle applicazioni aziendali, con la conseguente necessità di macchine potenti in termini di risorse hardware e gestite da un sistema operativo complesso, è risultata vincente. Su Windows Xp, il cui dominio, soprattutto in Italia, è stato solo marginalmente intaccato da Vista, poggia quindi la stragrande maggioranza del client computing. Ma tra poco (tre anni passano in fretta) Windows Xp non sarà più supportato da Microsoft e le software house indipendenti cesseranno di occuparsene anche prima (di fatto, hanno già smesso).
C’è poco da fare: se non si vuole stravolgere completamente il paradigma sul quale si sono sviluppati i nostri sistemi informativi occorre passare a Windows 7. Una migrazione che, per quanto il nuovo sistema operativo rappresenti sotto molti punti di vista un indubbio avanzamento tecnologico, è oggettivamente un problema per gli utenti.
ZeroUno ha recentemente realizzato un’inchiesta proprio per indagare le problematiche relative alla migrazione a Windows 7. Si tratta di un’indagine molto dettagliata (survey online a cui hanno partecipato 120 aziende di dimensioni medio-grandi e grandi) il cui resoconto si può leggere nell’articolo Migrazione a Windows 7. Attenzione alla compatibilità applicativa e alla sicurezza, e dalla quale si evince che quello della sicurezza è uno dei problemi che maggiormente preoccupa gli utenti del campione. Specificatamente per quanto riguarda il tema della sicurezza degli endpoint, l’indagine evidenzia che: sistemi specifici sono oggi adottati dal 38% delle grandi realtà, con valori inferiori nelle medie (22%) e nelle piccole aziende (10%). In tutte le realtà è infatti prevalente l’utilizzo di più soluzioni, spesso di fornitori differenti, che agiscono su determinate aree di sicurezza (spam, virus, spyware ecc) in modo non integrato, incrementando il numero di risorse da dedicare alla loro gestione e la possibilità che si creino situazioni in cui i diversi sistemi non siano allineati (con rischi relativamente alla sicurezza), vedi figura 3.
Figura 3 – Modalità di gestione degli end-point [Fonte: ZeroUno, 2010]
(cliccare sull’immagine per visualizzarla correttamente)
Ma la situazione cambia con la migrazione a Windows 7 che viene percepita come un’occasione (in particolare per piccole e grandi aziende) per adottare queste soluzioni, consolidando e sostituendo gli applicativi adottati fino ad ora aprendo la strada ad una migliore governance complessiva di questi sistemi. Infatti per un numero significativo di aziende, circa il 17% (valore che supera il 22% nelle piccole ed il 23% nelle grandi aziende), la migrazione è anche l’occasione per l’introduzione di una soluzione unica ed integrata di end-point management, che permetta quindi una migliore gestione a livello di sicurezza e di software distribution, per un maggiore allineamento dei sistemi client (vedi figura 4).
Figura 4 – Introduzione di una soluzione unica di endpoint management contestualmente al passaggio a Windows 7 [Fonte: ZeroUno, 2010]
(cliccare sull’immagine per visualizzarla correttamente)
Gli investimenti per la sicurezza degli endpoint
Quando le imprese devono decidere che tipo di investimenti fare in ordine alla sicurezza client, sul piatto della bilancia, naturalmente, mettono la tipologia del proprio business, i rischi e il budget disponibile. I modelli di adozione sono significativamente differenti; dipendono soprattutto da quante e quali risorse si hanno a disposizione. Secondo una recente analisi di Forrester, le aziende che hanno elevati budget a disposizione sono maggiormente interessate alle tecnologie di encryption, a livello di file e full disk, a tools di data leak prevention (Dlp), in particolare network-based, oltre che a host firewall. Chi, invece, ha fondi modesti, pur confermando l’interesse verso le tecnologie di encryption, inizia da installazioni basiche. Secondo le stime di Forrester, comunque, nei prossimi anni faranno registrare significativi trend di crescita proprio le tecnologie dedicate alla protezione degli endpoint, come Dlp ed encryption.
Ad oggi, sempre secondo i dati Forrester, le tecnologie di endpoint security più “popolari” includono antivirus/antimalware software, host intrusion prevention, full disk e file-level encryption, endpoint device and application control, host firewall, “device kill” software, patch management infrastructure.
Come già evidenziato, le aziende adottano queste tecnologie secondo il proprio singolare livello di tolleranza dei rischi, le circostanze di business e la disponibilità di risorse, anche se non sempre può risultare facile indirizzare correttamente e prioritizzare i propri investimenti in area sicurezza. Secondo Forrester, comunque, esiste una sorta di ciclo di adozione delle tecnologie valido per tutte le categorie di prodotti di security:
1) si parte con gli early adopters che scelgono di adottare le tecnologie pioniere facendo un po’ da tester;
2) i cosiddetti early majority sono invece coloro che aiutano a “cristallizzare” la categoria di prodotti, aiutandone la commoditizzazione;
3) con i late majority si passa a un’adozione più massiva della soluzione che inizia ad avere un prezzo più accessibile;
4) con gli “indolenti”, come li definisce Forrester, l’adozione avviene solo su “costrizione normativa” o per imposizione di partner di business.
Partendo da queste considerazioni ed analizzando il mercato nord americano, Forrester ha pubblicato alcune considerazioni sul ciclo di adozione e sul futuro delle tecnologie di sicurezza lato client.
Delle nove tecnologie più rappresentative per la sicurezza dei client, la maggior parte delle aziende ne ha adottate quattro (vedi figura 5): antimalware, patch management, host firewall, e network access control (Nac).
Figura 5 – Livello di adozione delle nuove tecnologie di endpoint security [Fonte: Forrester, 2010]
(cliccare sull’immagine per visualizzarla correttamente)
Le soluzioni antimalware rappresentano un tipo di tecnologia che ormai tutte le aziende hanno implementato, soprattutto in considerazione della loro efficacia contro i cosiddetti zero-day attacks e per la garanzia di protezione di e-mail, documenti, scambio di dati, ecc. Le suite di desktop security si sforzano, invece, di migliorare la loro efficacia con funzionalità aggiuntive di firewall, encryption, Nac e Dlp.
Tecnologie come il patch management e l’host firewall sono ormai piuttosto comuni. Più dei due terzi delle aziende prese in esame da Forrester possiedono infatti queste tecnologie, ormai mature ed efficaci sia a livello di sistema operativo sia a livello di applicazioni.
Analizzando le soluzioni di network access control lo scenario che ne emerge è di una penetrazione veloce nella maggior parte delle organizzazioni. Inizialmente le tecnologie Nac hanno avuto successo per la loro capacità di protezione delle reti aziendali dalle minacce esterne (malware, worms, ecc.). Via via però, queste tecnologie hanno assunto maggior rilevanza per la loro capacità di controllo sui dispositivi che si connettono alla rete aziendale, incrementando anche le funzionalità di gestione.
Quanto al “domani”, Forrester rileva una crescente “popolarità” dei prodotti di encryption. Con la protezione dei dati degli utenti nei registri e nelle leggi di 45 Stati degli Usa, sia le soluzioni relative alla crittografia dei dischi sia quelle per la crittografia dei file stanno assumendo sempre maggior importanza. Per i dipartimenti It, in particolare per i Ciso (Chief Information Security Officer), queste tecnologie sono un supporto importante da due punti di vista: da un lato, riducono i rischi di furto di dati e informazioni in caso di perdita o sottrazione dei laptop o dei device mobili; dall’altro, rappresentano una barriera efficace in caso di falla nella sicurezza rendendo i file illeggibili.
L’adozione di tecnologie di data leak prevention sembra, invece, andare ancora a rilento; secondo Forrester, si deve ancora raggiungere la fase 3 del ciclo di adozione, ossia, non siamo ancora arrivati al punto in cui la tecnologia ha un prezzo e una maturità tali da essere accessibile in maniera massiva. Ma non siamo comunque molto lontani, sottolinea Forrester.
