La sicurezza informatica non è completa senza l’EDR per dispositivi mobili

Le aziende stanno adottando sempre più soluzioni di mobilità per aumentare la produttività, specialmente perché la maggior parte dei dipendenti lavora fuori ufficio. Inoltre, i cyberattacchi raramente si verificano come incidenti isolati o coinvolgono solo un numero limitato di endpoint. Questo articolo spiega l’importanza dell’EDR (Endpoint Detection and Response) per la telefonia mobile e come possa proteggere in modo olistico i dati della vostra azienda, indipendentemente dal tipo di endpoint preso di mira.

Perché serve l’EDR mobile?

Il principale obiettivo dell’EDR, sia su dispositivi desktop che mobili, è rilevare e prevenire i cyberattacchi mirati caratterizzati da una bassa intensità e una progressione lenta, al fine di evitare violazioni dei dati. Gli analisti di sicurezza di Lookout hanno osservato direttamente come i criminali informatici stiano lanciando campagne mirate non solo verso desktop e laptop, ma anche verso tablet, smartphone e Chromebook. Questa tendenza evidenzia l’utilizzo della stessa infrastruttura per attaccare contemporaneamente endpoint mobili e tradizionali. Sebbene questa strategia sia stata a lungo impiegata da criminali informatici sponsorizzati da Stati nemici, la nostra ricerca indica che sta diventando comune anche nei moderni framework di malware ampiamente diffusi.

La domanda a cui i professionisti della sicurezza devono rispondere è la seguente: Come posso evitare che un incidente si ripercuota sul resto dei miei utenti e sulla mia azienda? L’EDR rappresenta una soluzione completa per la sicurezza delle informazioni e delle infrastrutture. Sempre più spesso gli endpoint mobili hanno accesso agli stessi dati dei computer desktop e portatili. Senza una capacità di EDR per i dispositivi mobili, si corre il rischio di compromettere la capacità di investigare in profondità e di trarre lezioni da un incidente di sicurezza.

Le breadcrumbs non si limitano più agli endpoint tradizionali.

Vediamo come un’indagine EDR può prevenire una violazione dei dati.

Una delle minacce più comuni affrontate dai team di sicurezza è rappresentata dalle applicazioni sideloaded. Spesso, gli incidenti sono causati da dipendenti che desiderano utilizzare app innocue a cui non avrebbero accesso sui loro dispositivi.

Tuttavia, potrebbe anche accadere che un malintenzionato crei un’app per attaccare la vostra azienda attraverso social engineering, utilizzando l’app per scaricare ulteriori codici maligni. Con le funzionalità di ricerca EDR di Lookout, è possibile indagare sulla provenienza del codice dannoso e sui domini web associati. Questo si chiama “pivot” ed è ciò che rende il Lookout Security Graph così potente quando viene integrato nei nostri strumenti EDR.

In alcuni casi, è possibile individuare siti di phishing sia per desktop che per dispositivi mobili, collegati a malware che colpiscono utenti di entrambe le piattaforme, rivelando una campagna coordinata più estesa. Utilizzando la console EDR, è possibile identificare questi nodi critici e effettuare scoperte preventive, evitando di dover attendere che un utente cada vittima di phishing o che un dispositivo sia compromesso. Naturalmente, l’EDR per dispositivi mobili deve essere parte integrante di una strategia EDR complessiva per realizzare tutto questo.

Non si può ignorare il dispositivo più utilizzato dalle persone

Quando i dispositivi mobili intelligenti sono stati introdotti per la prima volta nelle aziende, non erano fortemente integrati all’infrastruttura aziendale, spesso limitandosi alla gestione delle email. Ora hanno lo stesso accesso alle app e ai dati dei computer fissi e portatili. Di fatto, sono diventati un modo primario per i vostri dipendenti di rimanere produttivi. Basta guardare l’importanza che Microsoft 365 e Google Workspace attribuiscono all’integrazione perfetta tra piattaforme desktop e mobili.

L’obiettivo dell’EDR è quello di garantire una pronta risposta agli attacchi informatici e di fornire una traccia di informazioni che possano essere utilizzate per proteggere l’azienda. Oggi, molti di questi attacchi hanno come primo obiettivo i dispositivi mobili.

Per garantire la sicurezza dei dispositivi dell’azienda e prevenire le violazioni dei dati, è necessario adottare una strategia EDR che copra i dispositivi più utilizzati dai dipendenti.

Fonte: Lookout

Endpoint protection vs Antivirus

Cosa è l’endpoint protection?
L’endpoint protection è il nome che viene dato alle soluzioni di sicurezza che proteggono gli endpoint, come computer desktop, portatili e altri dispositivi che si connettono ad una rete. L’endpoint protection può essere realizzato utilizzando soluzioni locali, come il software installato sull’endpoint stesso. In molti casi, implica una soluzione gestita centralmente su un server, che protegge ogni endpoint connesso alla rete.

L’endpoint è spesso l’anello più debole dell’organizzazione, soprattutto se utilizzato per connettersi a Internet, poiché funge da porta attraverso cui malware e altre minacce alla sicurezza possono accedere alla rete. È essenziale che ogni “porta” dell’endpoint sia ben difesa, per proteggere la rete da violazioni della sicurezza e attacchi mirati, nello stesso modo in cui una persona blocca la porta d’entrata della propria casa per proteggere i propri oggetti di valore. Tale soluzione aiuta a prevenire perdite finanziarie, perdite di dati e tempi di fermo che possono verificarsi quando una rete viene compromessa.

Cosa è l’antivirus?
Il software antivirus è forse la soluzione più conosciuta per proteggere un endpoint dalle minacce alla sicurezza. Spesso, anche se non sempre, una soluzione locale richiede l’installazione su ciascun endpoint. L’antivirus funziona analizzando i file in arrivo confrontandoli con il proprio database di minacce note. Se rileva una minaccia, l’antivirus avvisa l’utente e mette in quarantena o elimina il file problematico. È un passo efficace ed essenziale verso la protezione dell’endpoint da minacce alla sicurezza conosciute.

Tuttavia, l’antivirus in sé non è sinonimo di protezione degli endpoint. L’endpoint protection si riferisce a un sistema completo di diverse tecniche di sicurezza, mentre l’antivirus è solo una di quelle tecniche: è cruciale, ma è solo una parte del quadro generale.

Altri metodi di protezione degli endpoint
Esistono numerosi metodi di protezione degli endpoint che possono essere utilizzati in combinazione con software antivirus quali:

Firewall: un firewall può essere un software o un dispositivo hardware. Il suo ruolo principale è quello di controllare il traffico dati in ingresso e in uscita da una rete. Il firewall può essere impostato per concedere diverse autorizzazioni a diversi utenti o endpoint sulla rete, controllando chi può utilizzare la rete e per quale scopo, impedendo nel contempo l’accesso non autorizzato e bloccando le connessioni rischiose. Ciò garantisce che le potenziali minacce siano bloccate prima che abbiano la possibilità di fare del male. Il rovescio della medaglia è che alcuni firewall sono troppo zelanti – bloccando applicazioni innocue, che possono irritare gli utenti, portando a chiamate ripetute e frenetiche all’helpdesk.
Filtro URL: la tecnologia di filtraggio degli URL controlla quali siti Web sono accessibili in base ad un elenco di filtri URL. Di solito, le organizzazioni utilizzano un database di filtri URL esistenti, scegliendo le categorie che desiderano bloccare, ad esempio i siti Web di phishing o pubblicitari noti. Le liste possono anche essere personalizzate. Questo è un ottimo modo per impedire agli utenti di visitare accidentalmente siti Web che li renderebbero vulnerabili alle infezioni da malware e ad altre violazioni della sicurezza. Sfortunatamente, non è pratico o possibile includere tutti i possibili URL dannosi: gli elenchi di URL saranno infiniti e i criminali informatici creeranno nuovi domini a un ritmo più veloce di quanto qualsiasi elenco possa tenere traccia, consentendo loro di eludere i filtri. Inoltre, le minacce possono essere incorporate anche nei siti Web più benigni.
Endpoint Detection and Response (EDR): una soluzione EDR monitora il comportamento dell’endpoint e rileva qualsiasi attività anomala che potrebbe indicare una minaccia alla sicurezza. Gli strumenti EDR forniscono un monitoraggio continuo, raccogliendo informazioni in un database centrale per l’analisi comportamentale e il reporting, il tutto senza influire sulla funzionalità degli endpoint. Ciò consente l’identificazione tempestiva delle minacce note e una rapida risposta a tali minacce. EDR si basa su sofisticate intelligenze comportamentali, ma è ancora un metodo di rilevamento, alla ricerca di minacce esistenti sugli endpoint e in risposta a esse. Se alcune minacce sconosciute superano il rilevamento, potrebbero facilmente compromettere una rete.

Che dire delle minacce sconosciute e zero-day?
Fornendo prevenzione, rilevamento e ripristino, tutti i suddetti metodi di protezione degli endpoint creano una barriera molto forte contro le minacce alla sicurezza note. Ma gli hacker sofisticati creano sempre nuove minacce basate sul Web che possono aggirare anche le più rigorose tecniche di rilevamento. Queste minacce sconosciute – spesso note come minacce zero-day, non compariranno ancora nei database dei virus o negli elenchi di filtri URL e il modo in cui si comporta la minaccia potrebbe essere diverso da qualsiasi altra soluzione EDR vista in precedenza. Per mitigare queste minacce, è richiesto un altro livello di protezione degli endpoint.

Isolamento remoto del browser – colmare il divario
I web browser rappresentano il punto di accesso per eccellenza su qualsiasi dispositivo endpoint, rendendoli la principale fonte di attacchi agli utenti secondo analisti come Gartner. Mentre gli strumenti basati sul rilevamento svolgono un lavoro eccellente per affrontare minacce note che potrebbero altrimenti penetrare attraverso il browser, Remote Browser Isolation (RBI) protegge gli endpoint contro minacce web zero-day sconosciute che altri metodi non sono in grado di contrastare. Per l’utente, la navigazione avviene normalmente, utilizzando un normale browser. In background, tuttavia, la soluzione di isolamento remoto del browser è impegnata al lavoro, eseguendo tutto il codice eseguibile del browser lontano dall’endpoint, in un contenitore virtuale isolato situato in cloud o su una rete DMZ. All’utente viene fornito un flusso di contenuti pulito, trasparente e interattivo, mentre nessun codice attivo, dannoso o meno, può accedere all’endpoint o alla rete. Non appena l’utente chiude il browser, il contenitore virtuale stesso viene distrutto – insieme a qualsiasi ransomware, malware o altro codice dannoso al suo interno.

Protezione degli endpoint da ogni angolazione
Per proteggere adeguatamente la tua rete nel modo migliore possibile, i tuoi endpoint devono essere protetti da ogni angolazione. Il software antivirus è solo un elemento. Inoltre, per proteggere i tuoi endpoint dalle minacce conosciute, sfrutta il miglior firewall, le soluzioni di filtro URL e gli strumenti EDR. Infine, implementa soluzioni come RBI che proteggono gli endpoint da minacce sconosciute e zero-day che tentano di penetrare nell’organizzazione tramite browser web.

Per maggiori informazioni leggi la documentazione di Ericom Shield

Download “Documentazione Ericom Shield” Shield-datasheet-NOV-A4-003.pdf – Scaricato 530 volte – 1.003 KB

Fonte: Ericom Software