Negli ultimi anni abbiamo assistito a diversi casi importanti di aziende che hanno subìto attacchi ai propri sistemi di sicurezza. Casi eclatanti, di alcune note aziende, hanno portato alla luce la necessità di una maggior focalizzazione nella security dei dati sensibili; e dato che questi risiedono spesso sugli endpoint, gli amministratori sono oggi chiamati a disegnare nuove architetture in grado di rinforzare le difese attorno alle informazioni e alle risorse critiche aziendali, ormai sempre più “disperse” fuori dai confini aziendali. Rinforzare le difese perimetrali “rinchiudendo” i dati sensibili in cripte protette da muri e torri, non è più sufficiente per la sicurezza enterprise. La maggior parte delle soluzioni di sicurezza oggi si sta focalizzando verso una prospettiva network-centrica, concentrando le attenzioni, in particolare, sulla protezione a livello di endpoint. Anche alla luce del fatto che il panorama delle minacce è in continua evoluzione e cresce in maniera esponenziale in tempi sempre più brevi, rendendo poco efficaci le soluzioni di sicurezza tradizionali.
Panorama che cambia, sicurezza che evolve
Fino a qualche anno fa, manager e amministratori It erano chiamati a mantenere sicuri gli endpoint in un’ottica di protezione da attacchi e minacce esterne. L’attenzione si concentrava dunque sul perimetro dagli attacchi esterni e la sicurezza si garantiva attraverso classiche soluzioni di tipo firewall o Intrusion Prevention System, così come evidenzia anche Gartner nel “Magic Quadrant for Endpoint Protection Platforms” del 2009. E, data la natura degli attacchi, perpetrati più che altro per arrecare un disagio più che un danno vero e proprio, era del tutto corretto proteggersi limitando le azioni alla raccolta di esemplari di malware e allo sviluppo di appositi pattern usati dagli endpoint per riconoscere i tentativi di attacco.
Con modelli di business sempre più orientati alla collaborazione tra attori che risiedono e operano al di fuori dell’azienda, nell’ultima decade si è andato via via moltiplicando il numero di utenti remoti che accedono ai sistemi aziendali; sono cresciute e si sono modificate le piattaforme e le metodologie di accesso, oltre ai terminali per la connettività. Non solo: da un punto di vista di business è cresciuta la consapevolezza che possono sussistere minacce pericolose anche provenienti dall’interno dell’azienda (non necessariamente a causa di comportamenti dolosi; contribuiscono a rendere insicuri gli endpoint, per esempio, anche il mancato aggiornamento delle patch o delle signature per il riconoscimento di virus).
Anche dal punto di vista degli attacchi molte cose sono cambiate nell’ultima decade: questi, sono diventati sempre più sofisticati e, soprattutto, perpetrati con finalità criminali legate al furto di identità, di informazioni critiche e dati sensibili.
L’uso sempre maggiore di Internet ha poi velocizzato il cambio di panorama “facilitando” anche il compito dei cyber-criminali che, grazie al Web, oggi sono in grado di generare attacchi su più livelli (sfruttando in modo combinato e sofisticato anche tecniche ormai note come lo spam o il phishing).
I codici maligni, rivela Idc, stanno diventando ogni giorno più aggressivi, nascosti e difficili da identificare, per altro con un ciclo di vita sempre più breve che può essere misurato addirittura in minuti (nel 2009 i dati degli analisti parlavano di circa 800 nuove minacce all'ora, con stime di crescita notevoli fino a toccare, entro il 2015, le 26.500 minacce all'ora).
E nel panorama all’interno del quale la sicurezza deve evolversi va sottolineato, infine, che è sempre più in crescita anche il numero stesso degli endpoint attraverso cui il malware può penetrare nella rete aziendale: dai server ai client di posta elettronica installati sui Pc e Notebook, alle Webmail aziendali e personali, ai browser Web, fino ai dispositivi mobili aziendali e personali, le unità Usb, ecc.
Il limite del signatures scanning
Oltre a non essere più sufficienti in ragione delle minacce sempre più complesse, come abbiamo descritto, le tecnologie legate allo scanning delle signature di virus o altri codici maligni devono fare i conti con i tempi di attacco.
Quantità sempre più ingenti di malware e di sue varianti generano file di pattern preposti alla ricerca di signatures di dimensioni enormi, il cui peso si ripercuote sui dischi, la memoria, il processore dell’endpoint. Al di là delle criticità infrastrutturali, comunque da non sottovalutare anche in ragione dei costi che richiedono per il mantenimento, ciò che dovrebbe far riflettere è il tempo necessario al deployment di tali file per aggiornare gli endpoint e proteggerli. Più sono corposi questi file e più tempo richiedono per essere aggiornati e poi distribuiti a tutti gli endpoint, creando una vulnerabilità facilmente sfruttabile (dato che il tempo di reazione è più lungo rispetto al tempo di attacco).
L’endpoint protection come strategia
Un valido aiuto arriva dalle tecnologie specifiche dedicate alla protezione degli endpoint che, attraverso piattaforme integrate riescono a garantire una protezione multi-livello attraverso la combinazione di diverse tecnologie (antivirus, antispyware, firewall, host intrusion prevention, encryption, data loss prevention, ecc.)
Sempre secondo Idc, adottare piattaforme integrate per la sicurezza degli endpoint migliora la governance della sicurezza nel suo insieme, riduce i rischi di incompatibilità delle diverse funzioni di protezione oltre a ridurre significativamente i costi derivanti dal mantenimento e dal controllo di diverse soluzioni (che, per altro, nel loro insieme, tendono ad “ingombrare” maggiormente i sistemi a livello di risorse dedicate – server, memoria, Cpu, ecc. – rispetto ad una piattaforma unica).
La gestione centralizzata degli endpoint è uno degli aspetti su cui Idc punta particolarmente i riflettori, soprattutto in virtù dell’evoluzione legata al Web 2.0, ma anche in ragione di una più efficace strategia di corporate governance e regulatory compliance.
Tuttavia, la società di analisi e ricerca americana sottolinea come la costruzione di un efficace ed efficiente sistema di endpoint security debba necessariamente tenere conto di alcuni aspetti strategici come:
– Proattività della sicurezza: dimostrato che i sistemi tradizionali con funzionalità di signatures scanning risultano ormai inefficaci, è fondamentale indirizzare l’attenzione a soluzioni che possano facilitare una gestione proattiva della sicurezza, attraverso tecnologie in grado di riconoscere il comportamento delle minacce senza dover contare sull’identificazione delle signatures o attendere i risultati di lunghe analisi e scansioni.
– Performance: le soluzioni di sicurezza che agiscono in modo proattivo, hanno la grande opportunità di diventare abilitanti di business grazie alla visibilità che possono offrire su rischi, minacce, vulnerabilità e azioni correttive. Non solo: configurare in modo corretto le piattaforme di endpoint security, dice Idc, garantisce performance anche a livello di user experience, permettendo agli utenti di lavorare in modo sicuro senza rallentamenti e inefficienze.
– Gestione centralizzata: riuscire ad avere un sistema di gestione centralizzato, ben configurato e con un livello di automazione efficace, consente di garantire elevati livelli di sicurezza con un impiego minimo di risorse It.
– Sicurezza agile: data la natura sempre più sofisticata e dinamica degli attacchi, adottare soluzioni capaci di identificare tempestivamente le minacce e rispondere in maniera adeguata in tempi rapidi è uno degli elementi strategici più importanti su cui deve fondare le radici un adeguato approccio all’endpoint security.
– Integrazione: una protezione completa richiede diversi livelli di sicurezza raggiungibili attraverso funzionalità e tecnologie che cooperino efficientemente all’interno di un ambiente integrato.
I leader del quadrante magico
Le funzionalità e le potenzialità tecnologiche delle piattaforme di endpoint protection sono in continua evoluzione, in ragione del fatto che, come si è evidenziato, la natura stessa delle minacce evolve e comporta da parte della sicurezza It un impegno proattivo sempre più consistente.
Analizzando tendenze e capacità d’offerta, ogni anno Gartner identifica le aziende vendor più “promettenti”. Per quanto riguarda l’ambito delle piattaforme di endpoint protection, in particolare, la società di analisi ha preso in esame l’efficacia delle funzionalità delle piattaforme proposte, gli aspetti di configurazione, gestione centralizzata, analisi e reporting, oltre a una serie di parametri aggiuntivi come la capacità di offrire servizi e supporto.
Nel report 2009, emergono tra i “Leaders”: McAfee, Symantec, Trend Micro, Sophos.
Figura 1 – Magic Quadrant for Endpoint Protection Platforms
(cliccare sull'immagine per visualizzarla correttamente)