Mentre si sforzano di aumentare la sicurezza delle proprie infrastrutture e applicazioni all’interno di perimetri dei sistemi IT sempre più virtuali, indefiniti e dinamici (a causa del ricorso sempre più rilevante al cloud e alla mobility), le aziende puntano a proteggere il più possibile gli endpoint dalle minacce che incombono su queste tecnologie e i loro utenti.
Cos’è l’endpoint security oggi (sicurezza degli endpoint)
Nel suo studio The State Of Endpoint Security, 2019, la società di analisi Forrester correla anche alla complessità dell’enforcement della security nei network aziendali, oltre che ad altri fattori che vedremo, una tendenza ad investire maggiormente che in passato sulla client threat protection nel contesto dei più generali sforzi per accrescere la cyber security.
Secondo la ricerca, basata su decine di migliaia di interviste a decisori di acquisto in ambito sicurezza IT e a altri information worker di organizzazioni che vanno dalle PMI alle corporation a livello mondiale, nel 2018:
- alla endpoint security è stato mediamente riservato il 9% del budget global destinato alla It security;
- oltre il 40% dei decision maker ha espresso la propensione a incrementare gli stanziamenti economici per la sicurezza degli endpoint nel 2019.
Una tendenza riscontrabile tanto nelle organizzazioni che già hanno investito in maniera importante su questo capitolo negli ultimi anni, quando in quelle che lo hanno fatto di meno. Secondo gli analisti americani, è prevedibile che nel 2019 la market share dell’endpoint security sul totale della sicurezza It aumenti dal 9 al 10%.
Focus sulle suite integrate
La ricerca rivela che questo trend deriverà in particolare dall’aumento di investimenti in suite integrate da parte delle aziende.
Si tratta di un fenomeno cui si aveva assistito già tra il 2017 e il 2018, e che aveva portato a un apparente rallentamento della crescita della spesa in endpoint security.
In precedenza, infatti, essendosi rese conto dell’importanza di mettere in sicurezza gli endpoint e i relativi utenti, le aziende avevano iniziato a cercare sul mercato soluzioni contro specifiche tipologie di minacce lato client, dato che le suite di endpoint security esistenti non risultavano sufficientemente efficaci e complete dal punto di vista funzionale. E come si può immaginare, la somma delle spese in soluzioni best-of-breed è superiore a quella in tecnologie pre-integrate, che beneficiano di maggiori economie di scala.
Senonché negli ultimi due anni, i maggiori vendor di endpoint security sono riusciti a integrare nelle proprie offerte un numero crescente di funzionalità di nuova generazione, alcune delle quali ormai sono diventate, secondo Forrester, quasi delle commodity; allo stesso tempo, le aziende, resesi conto di questa evoluzione, hanno accentuato la propensione a preferire soluzioni già integrate out-of-the-box, piuttosto che doversi sforzare di far collaborare strumenti mirati e spesso non facilmente dialoganti al proprio interno. In questo contesto, segnala la società di ricerca, si è cominciato ad assistere a un maggiore ricorso a managed services di endpoint security, soprattutto da parte delle aziende di piccole e medie dimensioni, ma non solo.
Le sfide della endpoint protection per le aziende
Il fatto che, a dispetto di una maggiore convenienza economica rappresentata dalla maggiore disponibilità di suite di client threat protection con ampie funzionalità, si preveda un aumento dei budget destinati alle soluzioni di sicurezza per pc, smartphone, tablet, e altri dispositivi (il 53% degli intervistati prevede un aumento di almeno il 5% della spesa in endpoint security) è legato alla consapevolezza dell’esistenza di nuove minacce e dell’evoluzione di quelle tradizionali.
Attacchi sempre più sofisticati
Pur essendo cresciuto negli anni il mercato della cyber security, si continuano a registrare successi da parte di attacchi di phishing, zero-day malware, fileless attack (noti anche come zero-footpring attack e non-malware attack, contro i quali gli anti-virus non sono efficaci e che sono in grado di eludere altri sistemi di sicurezza più tradizionali). Nel 2018 i cybercriminali hanno quintuplicato (+459%), rispetto al 2017, secondo Forrester, gli introiti da attacchi effettuati con ransomware e cryptomining malware. “Le tecnologie di endpoint security con una portata funzionale limitata – scrivono gli analisti della società americana – non faticano a fermare attacchi sia mirati sia di massa. Questi ultimi utilizzano sempre di più gli stessi strumenti e metodi usati per gli attacchi mirati”.
Sempre maggiore focus sui dati
Sempre a proposito dei driver che traineranno maggiori investimenti in endpoint security, oltre a quello dello spostamento verso suite integrate, rispetto a un mix di strumenti stand-alone, si segnala una rinnovata focalizzazione delle strategie di security verso i dati. Che, sottolineiamo noi, sono le entità preziose a cui gli attaccanti mirano, in ultima istanza, quando cercano di violare le identità e le credenziali degli utenti It, le applicazioni e le infrastrutture digitali. Secondo lo studio The State Of Endpoint Security, 2019 di Forrester, “il 30% dei decisori di acquisto in materia di endpoint security ha affermato che nelle aziende ci si dovrebbe dedicare alla costruzione di una cultura di data stewardship (amministrazione) prime di altre attività”. A seguito di questo cambiamento di mentalità, diventa ovvio investire di più in client threat protection, considerato che gli hacker puntano sempre di più sugli utenti per guadagnare l’accesso alle risorse It aziendali.
Le nuove frontiere dell’endpoint protection
Ma che cosa significa puntare su una endpoint protection, ovvero una endpoint security più integrata ed efficace? Sulla base delle risposte raccolte, Forrester ritiene che i responsabili di questa disciplina, o comunque quelli che includono anch’essa fra i propri compiti, privilegeranno sempre di più suite di sicurezza endpoint, o appositi servizi gestiti (endpoint-security-as-a-service), che eccellono sotto tre aspetti: prevention, detection e response. “Per gli endpoint security decision maker sono tutti e tre prioritari”, certifica Forrester. Come noto, la prevenzione è sempre stata il focus principale delle soluzioni di client threat prevention grazie ai sistemi antivirus e anti-malware basati sulle signature, aggiornate dai vendor di questi prodotti. Come abbiamo visto, però, questi tool sono necessari ma non sufficienti. Soprattutto se si vuole adottare una strategia di data protection che parte dagli end-user e dagli endpoint.
Potenziamento delle attività di detection: AI e machine learning
Ecco quindi che si richiede un potenziamento dell’attività di detection che preveda anche l’identificazione di comportamenti anomali che possono far prevedere rischi per la sicurezza dei dati aziendali. E questa è la specialità della User behavioral analysis (UBA), che finora è sempre stata vista come una funzionalità isolata dalle soluzioni di endpoint security, finalizzata soprattutto ad attività di insider threat prevention (prevenzione delle minacce provenienti da personale interno) e fonte spesso di falsi positivi. Un problema, quest’ultimo, non troppo grave se l’UBA è gestita da un team di specialisti in security, ma in grado di mettere in crisi la produttività di un utente remoto se si verifica nella soluzione di endpoint security installata sul client. Una soluzione a questa problematica arriverà con la crescente integrazione di funzionalità di artificial intelligence e machine learning nelle soluzioni di endpoint security.
Universal endopint management
In generale ci si aspetta una maggiore integrazione con tool finora esterni rispetto alle tradizionali soluzioni di endpoint security, compresi endpoint Data Leak Prevention (DLP), full disk encryption e file-level encryption. Ma se il matrimonio con questi strumenti può non destare meraviglia, dato che siamo sempre nel dominio della cyber security, lo è quello auspicato con gli endpoint management tool, che ricadono in quello delle IT operations (It Ops). Il traguardo dell’integrazione fra i due domini, security e management, a livello client, è l’universal endpoint management (UEM), una piattaforma in grado di coprire quasi tutti i problemi di gestione e di security a livello endpoint, in modo magari omogeneo attraverso diversi tipi di device e sistemi operativi, e con un’estesa automazione, al fine di ridurre le attività manuali e i tempi di risposta ai rischi e ai cambiamenti.