Progettate per difendere la pletora sempre più variegata di dispositivi fissi, mobili, presidiati e non che si connettono alla rete aziendale, le soluzioni di endpoint protection sono oggi fondamentali per provenire gli attacchi alla sicurezza delle reti aziendali e sottrazioni dei dati così come per rilevare gli incidenti avvenuti e consentire ai responsabili di adottare tempestivamente misure appropriate. Questo è possibile grazie a suite integrate, sempre più intelligenti e automatizzate, a tecnologie molto più efficaci di quelle del passato nel far fronte ad attacchi di nuovo tipo o mirati alla specifica azienda.
Cosa è richiesto ai tool per la endpoint protection
Quali funzionalità sono richieste alle soluzioni di endpoint protection e quali garanzie devono dare i fornitori? Innanzitutto è richiesta la capacità di protezione nei confronti di minacce diverse: sia di quelle conosciute di cui sono già noti comportamenti e firme, sia delle nuove che continuamente appaiono.
I metodi usati per violare i dispositivi endpoint sono in continua evoluzione ed è quindi necessario che le difese siano sempre aggiornate sia contro attacchi massivi portati avanti su scala globale, sia contro quelli mirati. La soluzione deve permettere prevenzione sia da attacchi portati avanti con malware sia basati su exploit, deve supportare l’analisi comportamentale con tecnologie di analisi e ML, non deve avere impatto sulle prestazioni dei dispositivi e produttività degli utenti.
Per essere efficace, la difesa degli endpoint non deve creare troppe complicazioni agli amministratori. Non deve lasciare aree scoperte da gestire in modo differente, non deve aggiungere operazioni giornaliere da compiere sulla console o far perdere tempo e risorse con troppi falsi positivi e falsi negativi. La soluzione scelta deve il più possibile aiutare a integrare le diverse protezioni e semplificare il lavoro dei team con l’automazione.
Ultimo aspetto è la fiducia verso il fornitore. Contano la consistenza delle strategie, la roadmap di prodotto, la focalizzazione, l’impegno con le community, e la capacità di dare supporto sia diretto sia con partner. L’azienda deve poter contare sulla capacità del fornitore di tenere i prodotti aggiornati e mantenerne l’efficacia nei confronti delle nuove tipologie di attacco o nelle situazioni (per esempio, aggiornamenti hardware e software) che portano a esporre nuove vulnerabilità. Il fornitore degli strumenti di sicurezza è necessariamente un partner strategico di cui serve poter disporre in caso di necessità e del quale si deve avere la massima fiducia per la difesa dei dati aziendali.
Di seguito una selezione di alcune delle più diffuse soluzioni di endpoint protection.
Le soluzioni di endpoint protection
GravityZone Endpoint Security
Produttore: Bitdefender
Scheda tecnica di: GravityZone Endpoint Security
Distribuzione: on premise
Supporto e assistenza in Italia: clicca qui per informazioni
La piattaforma Bitdefender si caratterizza per la ricchezza di funzionalità unendo le capacità di endpoint detection and response (EDR) con quelle di endpoint protection platform (EPP), l’uso di un singolo agente e il supporto ampio di endpoint fisici, virtuali e server in cloud. Pur avendo buona parte del proprio business nel mercato consumer, Bitdefender ha soluzioni a misura d’impresa, efficaci nella difesa contro i malware sia sui sistemi aziendali sia in cloud. Tra i leader nel Forrester Wave dedicato alle Endpoint Security Suite (edizione Q2 2018) GravityZone ES raccoglie buone valutazioni nei test, sia per la facilità d’uso, installazione e supporto agli utenti grazie al singolo agente e alla console unificata per le funzioni EDR ed EPP. Le funzioni di patch management sono integrate con le informazioni presenti nel database Common Vulnerability and Exposure (CVE) aiutando i team a comprendere i rischi e a pianificare le attività. Per contro la piattaforma Bitdefender ha capacità limitate in ambiente MacOS e l’agente non integra le capacità per la segnalazione in real time delle compromissioni.
Endpoint Security for Business
Produttore: Kaspersky Lab
Scheda tecnica di: Endpoint Security for Business
Distribuzione: on premise, cloud
Supporto e assistenza in Italia: clicca qui per informazioni
La soluzione Kaspersky Endpoint Security for Business nasce dallo sviluppo diretto del fornitore, noto per l’attività del proprio team di ricerca sui malware e su molti recenti attacchi. Rispetto alle suite di altri fornitori presenta maggiore integrazione tra le funzionalità e con le logiche dei managed services, sia pure con la limitazione di 1000 endpoint nell’uso in cloud. Gli analisti giudicano il software Kaspersky solido nelle tecnologie utilizzate e di alte prestazioni. Secondo Forrester ottiene valutazioni al di sopra della media tra gli utilizzatori per le capacità di prevenzione di attacchi e malware. Sia l’agente sui device sia la console di gestione offrono un reporting dettagliato delle vulnerabilità, facilitando priorità e automazione nelle azioni di patching. Servizi aggiuntivi di Managed Protection & Targeted Attack Discovery sono sfruttabili dalle aziende che non dispongono di un proprio security operation center (SOC). Classificata tra gli “strong performer” nel Forrester Wave dedicato alle Endpoint Security Suite (edizione Q2 2018), Kaspersky sconta il bando da parte delle agenzie governative USA (per l’origine Russa) a cui la società ha dato risposta con lo spostamento in Svizzera di alcune attività e iniziative per la trasparenza.
Endpoint Security
Produttore: McAfee
Scheda tecnica di: Endpoint Security
Distribuzione: on premise, cloud
Supporto e assistenza in Italia: clicca qui per informazioni
Superate le vicissitudini societarie e conseguenti incertezze nelle direzioni strategiche, McAfee ha fatto passi avanti nella tecnologia e sta riguadagnando fiducia tra i clienti. La più recente versione (10.x) di Enterprise Security (ENS) ha risolto i problemi di deploy e di efficacia delle precedenti. La console è stata riscritta e l’engine locale di prevenzione è stato integrato con le capacità di ML. Tra i primi tre fornitori di piattaforme per la security degli endpoint per quota di mercato, McAfee è giudicata “strong performers” (Forrester Wave per le Endpoint Security Suite, edizione Q2 2018) malgrado i bassi punteggi ottenuti nelle valutazioni degli amministratori user experience e capacità, in particolare per il limitato supporto dei dispositivi mobili. Secondo gli analisti di Gartner, il livello di soddisfazione risente dell’uso diffuso di versioni obsolete (8.x) del software ENS che non offrono buone protezioni contro le sfide più recenti. McAfee ePolicy Orchestrator è il componente che ha portato molte aziende ad adottare McAfee come fornitore e che ne giustifica il mantenimento.
Enterprise Mobility + Security (EMS)
Produttore: Microsoft
Scheda tecnica di: Enterprise Mobility + Security (EMS)
Distribuzione: on premise, cloud
Supporto e assistenza in Italia: clicca qui per informazioni
È l’unico fornitore a integrare la sicurezza degli endpoint all’interno del sistema operativo, prerogativa che si associa con l’impiego di Windows 10 e che dà smalto alle capacità dei tool System Center Endpoint Protection, Windows Defender Advanced Threat Protection (ATP) e Windows Defender Security Center. Alcune funzionalità, come Application Guard, Device Guard, App Locker, Secure Boot, Exploit Guard, ATP e Credential Guard indirizzano la security dei client Windows utilizzati nell’impresa, si aggiungono alle protezioni per altri sistemi client, servizi Office 365 ed e-mail. Secondo gli analisti, Windows Defender ATP non è inferiore ad altre soluzioni di security specializzate, su Windows 10 può fare da ultima barriera per le minacce che abbiano attraversato altri sistemi di protezione. Microsoft EDR e Defender ATP comprendono servizi di salvaguardia dei dati in cloud della durata di sei mesi. Per contro, gli analisti segnalano alcuni problemi d’integrazione tra controlli di sicurezza e strumenti di gestione. Molte funzioni avanzate non sono disponibili con versioni Windows precedenti alla 10.
Adaptive Defense 360
Produttore: Panda Security
Scheda tecnica di: Adaptive Defense 360
Distribuzione: on premise, cloud
Supporto e assistenza in Italia: clicca qui per informazioni
Sviluppato dalla società spagnola, Adaptive Defense 360 si caratterizza per le capacità di controllo su ogni file e processo ospitato sui dispositivi protetti, oltre che per l’offerta di servizi gestiti per la ricerca dei threat che sono inclusi nella licenza base del prodotto. Il sistema permette di creare liste di applicazioni e di processi approvati, avvalendosi in partenza delle classificazioni realizzate dal vendor. I clienti d’impresa, in particolare PMI che non hanno staff dedicato alla sicurezza, possono apprezzare sia l’approccio cloud-first della soluzione sia i managed services in accompagnamento alle capacità EDR e EPP. Grazie alla classificazione di tutti i processi a cui è permessa l’esecuzione, Panda Security permette di avere una visione dettagliata di tutte le versioni delle applicazioni in uso e quindi delle vulnerabilità presenti. Classificata tra i visionari nel Magic Quadrant di Gartner per le Endpoint Protection Platform (Q1 2018), Panda Security Adaprive Defense è tra le poche soluzioni a unire endpoint protection e capacità gestite di EDR a costi contenuti. Per contro, l’agente sul dispositivo ha funzioni limitate in ambiente macOS e richiede l’accesso online per avvalersi delle classificazioni di file e processi.
Intercept X
Produttore: Sophos
Scheda tecnica di: Intercept X
Distribuzione: On premise, cloud
Supporto e assistenza in Italia: clicca qui per informazioni
Con l’acquisizione di Invincea, Sophos ha aggiunto alla propria suite Intercept X sofisticate capacità di machine learning (ML) che ne rafforzano l’efficacia contro i ramsonware e i nuovi exploit facendo guadagnare al vendor ulteriore consenso nell’area delle grandi imprese. Oltre alle capacità ML nella rilevazione di attacchi e malware, Intercept X comprende capacità EDR (endpoint detection and response), di Root Cause Analysis (RCA); permette inoltre di trarre vantaggi dalla gestione in cloud. Assieme alle difese dai ramsonware, Intercept X offre le capacità di annullare le modifiche e riportare allo stato precedente i dispositivi attaccati. La console permette di gestire altri aspetti rilevanti della sicurezza come l’encription dei dischi, la protezione di server e firewall, le protezioni all’e-mail e alla navigazione Web. Per contro, si segnalano limitazioni nel supporto delle funzioni di RCA con Intecept X in versione on premise, mancano inoltre funzioni di reporting sulle vulnerabilità a supporto della definizione di priorità negli interventi di mitigazione del rischio.
Symantec Endpoint Protection (SEP)
Produttore: Symantec
Scheda tecnica di: Endpoint Protection (SEP)
Distribuzione: on premise, cloud
Supporto e assistenza in Italia: clicca qui per informazioni
Con l’acquisizione di Blue Coat e gli sviluppi organici degli ultimi due anni, Symantec ha rifocalizzato tool e visione strategica nell’ambito della sicurezza superando alcuni problemi del passato, riguadagnando la posizione di leader nel giudizio degli analisti: sia nel Forrester Wave dedicato alle Endpoint Security Suite (edizione Q2 2018) sia nel Magic Quadrant di Gartner per le Endpoint Protection Platform (Q1 2018). La suite Symantec Endoint Protection (SEP) viene valutata molto stabile ed efficiente nell’uso delle risorse, e grazie alle funzionalità di machine learning (ML), potente nella rilevazione e contenimento di malware e altri attacchi. Con SEP Cloud e EDR Cloud è possibile gestire la sicurezza da una console in cloud allo stesso modo che in on premise. Tra i punti di forza, Symantec vanta la diffusione della soluzione, le capacità di prevenzione non basate su riconoscimento di firme, l’uso di un singolo agente e l’automazione. L’accesso ai servizi più avanzati di SOC e Managed Security Services può risultare conveniente alle aziende che hanno interesse a delegare ‘in toto’ i servizi di security information and event management (SIEM).
Smart Protection Suite + Endpoint Sensor
Produttore: Trend Micro
Scheda tecnica di: Smart Protection Suite + Endpoint Sensor
Distribuzione: on premise, cloud
Supporto e assistenza in Italia: clicca qui per informazioni
Gli analisti di Forrester e Gartner reputano la suite Trend Micro tra le più complete e flessibili sul mercato, con funzionalità ai vertici del settore ed engine di prevenzione e rilevazione del malware molto evoluti. Gli analisti segnalano inoltre la buona reputazione del prodotto presso clienti e utilizzatori finali: Smart Protection Suite viene giudicata efficace nella prevenzione e con basso impatto negativo sull’esperienza d’uso degli endpoint, viene invece valutata ‘nella media’ la capacità di threat detection. Dal lato degli amministratori risulta apprezzabile l’alto livello di automazione, le capacità di patch management, la funzione d’aggiornamento in real time delle policy oltre alla flessibilità del supporto nei differenti ambiti operativi. Tra i leader del Forrester Wave dedicato alle Endpoint Security Suite (edizione Q2 2018) e nel Magic Quadrant di Gartner per le soluzioni Endpoint Protection Platform (Q1 2018), la soluzione Trend Micro merita d’essere considerata nelle selezioni in aziende d’ogni dimensione.