Con l’espressione Endpoint Protection, o Endpoint Security, si identifica l’approccio adottato dalle imprese per la protezione delle proprie reti informatiche in un contesto aziendale contemporaneo, laddove ogni giorno si assiste a un costante accesso ai dati e alle applicazioni da parte di svariati dispositivi, anche (e soprattutto) dall’esterno del perimetro locale. Si tratta dunque di un terreno estremamente ampio e variegato, fatto di diversi layer di sicurezza, di tool e funzionalità differenti ma integrate al fine ultimo di prevenire gli attacchi alla sicurezza aziendale, il furto e la manomissione dei dati.
Nonostante il termine Endpoint identifichi qualsiasi device o connessione che abbia accesso alla rete aziendale, esso è diventato poco per volta sinonimo di smartphone, tablet e laptop, ovvero dei tipici strumenti di produttività che, in un contesto di Modern Workplace, vengono impiegati quotidianamente e accedono alle risorse aziendali, risultando di fatto un punto d’accesso anche per le minacce alla sicurezza informatica. Sulla base della definizione, però, sono Endpoint anche le stampanti, gli apparati di rete e i dispositivi IoT, il cui numero in costante crescita allarga a dismisura la superficie di attacco che può essere sfruttata dagli hacker. Il fatto che l’Endpoint Protection sia un trend estremamente importante è confermato dai numeri: per esempio, nel 2016 Cybersecurity Ventures (via: CyberCrime Magazine) stimò che nel 2021 i danni derivanti da attività di Cybercrime sarebbero stati quantificabili in 6.000 miliardi di dollari/anno, un dato che ancora oggi viene ribadito e considerato attendibile. Non solo: il mercato delle soluzioni di Cyber Security crescerà con percentuali in doppia cifra (10,6%) dai 131,3 miliardi di dollari del 2018 ai 289,8 miliardi del 2026 (fonte: Fortune Business Insights), mentre nell’ambito più ristretto della Endpoint Protection già nel 2020 si assisterà al superamento dei 17 miliardi di dollari (fonte: MarketsandMarkets).
A livello pratico, si potrebbe commettere l’errore di confondere i tool di Endpoint Protection con i tradizionali Antivirus, impiegati in modo pervasivo sia a livello aziendale che privato. In realtà, pur trattandosi di soluzioni indirizzate alla protezione degli endpoint devices, l’Endpoint Security va al di là della protezione del singolo dispositivo, essendo una strategia di protezione centralizzata che si estende a tutto il network dell’organizzazione e a tutti gli endpoint. Quando un nuovo dispositivo entra nel network dell’azienda, immediatamente rientra nella strategia e viene dotato degli strumenti di protezione previsti. Per questo è fondamentale, ai fini della sua efficacia, identificare per prima cosa tutti i potenziali Access Point, e poi scegliere i tool necessari per proteggerli contro minacce note e zero-day, impedendo l’accesso e l’utilizzo non autorizzato dei propri dati.
Le caratteristiche delle soluzioni di Endpoint Protection
Endpoint Protection non è dunque un prodotto ma una categoria di prodotti, tecnologie e funzionalità la cui sinergia protegge l’organizzazione e ne garantisce la continuità operativa. A tal fine, l’azienda può percorrere due strade: integrare la propria strategia di protezione con prodotti specifici, come quelli dedicati all’Endpoint Encryption, IoT Security, E-mail Gateways e analisi forense, oppure dedicare alla protezione degli endpoint un approccio olistico e scegliere un’unica soluzione/suite/piattaforma comprensiva di tecnologie integrate quali Antivirus, Intrusion Prevention, Brower Security, Endpoint Detection and Response e Data Loss Prevention, rigorosamente gestibili da un’unica console, con il vantaggio ulteriore di poter scegliere tra soluzioni on-premises e cloud.
Secondo Forrester, i responsabili IT si rivolgono a una piattaforma di Endpoint Protection per tre specifiche esigenze: prevenzione delle minacce, con tanto di blocco preventivo di attività sospette, malware e controllo delle applicazioni; rilevamento di attività potenzialmente dannose mediante analisi del comportamento; remediation, con funzionalità di attack containment e vulnerability remediation, ma soprattutto con la capacità di annullare le eventuali attività effettuate dal malware, tornando a uno stato precedente. Rivolgersi a un’unica suite di tecnologie di sicurezza offre, oltre al vantaggio della semplicità di gestione, anche i benefici dell’orchestrazione centralizzata e dell’automazione, nonché la condivisione dei dati, che porta ad analisi approfondite e a un miglioramento dell’approccio proattivo nei confronti delle minacce stesse.
Le 5 funzionalità irrinunciabili, dal supporto per le minacce zero-day alla semplicità d’uso
Ci si può domandare, a questo punto, quali siano le principali funzionalità delle soluzioni complete di Endpoint Protection, poste le inevitabili differenze tra i singoli prodotti. Sulla base dell’estensione delle funzionalità e, ovviamente, della loro efficacia si gioca la partita tra i molti vendor che popolano questo mercato.
- Protezione da diversi tipi di minacce
Una soluzione di Endpoint Protection deve essere in grado di rispondere con estrema efficacia non solo alle minacce note, ma anche quelle che ogni giorno compaiono all’orizzonte e che rientrano nella sterminata categoria delle minacce zero-day.
- Difese next-gen continuamente aggiornate
Una solida piattaforma di Endpoint Protection miscela tecniche di difesa tradizionali, come l’anti-Malware, anti-Ransomware, monitoraggio e classificazione del comportamento, Web Protection, blocco degli attacchi di rete e Data Loss Prevention con tecnologie next-gen come l’impiego del Machine Learning per la prevenzione delle minacce zero-day, tecniche di Process Protection, furto di credenziali ed Endpoint Detection and Response (EDR).
- Scarso impatto su prestazioni e produttività
Le migliori soluzioni di Endpoint Protection non sono semplicemente efficaci nei confronti di tutti i meccanismi di attacco (anche i più sofisticati), ma sono virtualmente trasparenti nei confronti degli utenti finali, non devono rallentare la loro attività né agire – di conseguenza – sulla produttività.
- Semplicità d’uso e automazione
La sicurezza è una necessità per ogni azienda, ma non deve essere un costo difficile da gestire. L’implementazione della piattaforma di Endpoint Security deve essere rapida e semplice, così come la gestione tramite una console centralizzata. Le attività manuali devono essere ridotte al minimo, non ci devono essere troppi falsi positivi o negativi e l’automazione deve rendere trasparenti buona parte delle attività di routine.
- Affidabilità e proattività del fornitore
Non è una funzionalità, ma resta un aspetto essenziale ai fini della scelta del prodotto. La Cyber Security è un tema che si affronta giorno per giorno, e per questo bisogna affidarsi a un fornitore solido, capace di aggiornare costantemente il prodotto, fornire supporto diretto (o indiretto) in caso di necessità e, soprattutto, capace di mantenere sempre un approccio proattivo nei confronti di nuovi trend, minacce, tipologie di attacco e rischi di diverso genere. Mai come in questo caso, l’efficienza del vendor è fondamentale ai fini della sicurezza del cliente.
Le 6 soluzioni top
Microsoft
Microsoft Defender Advanced Threat Protection (ATP)
Microsoft è uno dei leader indiscussi di questo mercato ed è l’unico a poter integrare la sicurezza degli endpoint nel sistema operativo. La piattaforma unificata di Endpoint Detection & Response è Defender ATP, definita da Microsoft come “piattaforma unificata di protezione preventiva, rilevamento post-violazione, analisi automatizzata e risposta”. Defender ATP si integra alla perfezione con gli altri tool di Windows 10, come Windows Defender Antivirus e Windows Defender Exploit Guard, rispetto ai quali offre ulteriori funzionalità di protezione e, soprattutto, quella visione d’insieme fondamentale per gestire ambienti aziendali complessi.
- Completa integrazione in Windows 10
- Automatizzazione della sicurezza, con avvisi e risoluzioni in pochi minuti
- Soluzione senza agente, basata sul cloud
- Apprendimento Automatico e analisi dei comportamenti
- Protezione della rete e dagli exploit
- Controllo delle applicazioni
- Analisi della reputazione
- Funzionalità EDR avanzate
Symantec
Symantec Endpoint Security
Soluzione leader sia per Forrester che per Gartner, SES è una piattaforma di sicurezza integrata, disponibile come soluzione on-prem, ibrida o cloud, ed è pensata per proteggere tutti gli endpoint, tradizionali e mobile, facendo largo uso dell’Intelligenza Artificiale. La piattaforma Symantec è molto stabile ed efficiente nell’uso delle risorse, nonché efficace nel rilevamento delle minacce, anche zero-day. Significativo l’impiego del Machine Learning, che risulta fondamentale per il rilevamento e la prevenzione dei malware senza fare ricorso alle tradizionali firme; la diffusione della piattaforma è un ulteriore di vantaggio, cui si somma l’affidabilità del vendor e il forte ricorso all’automazione, che semplifica la gestione dell’intera piattaforma.
- Prevenzione degli attacchi: malware, exploit, sicurezza della connessione di rete
- Prevenzione delle intrusioni e firewall
- Tecnologie per la riduzione della superficie d’attacco
- Rilevamento e riparazione delle minacce persistenti
- Automazione intelligente e gestione delle politiche guidata dall’intelligenza artificiale
Sophos
Intercept X
Per l’undicesima volta consecutiva, la soluzione Sophos per l’Endpoint Protection è stata inclusa tra i leader del Magic Quadrant di Gartner. I motivi della scelta sono facilmente comprensibili: il livello avanzato delle protezioni, le capacità di Machine Learning contro malware, ramsonware e i nuovi exploit, ma anche la qualità della piattaforma centralizzata Sophos Central. Disponibile sia in distribuzione on-prem che cloud, la piattaforma Intercept X include capacità EDR (Endpoint Detection and Response) e di Root Cause Analysis (RCA), oltre a permettere funzionalità come l’encryption dei dischi, la protezione di server e firewall e la protezione della navigazione Web.
- Protezione endpoint end-to-end
- Deep Learning per rilevare malware conosciuto e sconociuto, senza firme
- Blocco ransomware mai osservati prima
- Protezione indipendente dalle firme
- Sistema EDR intelligente
- Potente sistema di rimozione dei Malware
Trend Micro
Apex One
I prodotti Trend Micro sono molto apprezzati dai clienti, soprattutto sotto i profili della flessibilità e della completezza. Per quanto concerne il mercato dell’Endpoint Protection, l’azienda ha recentemente proposto una soluzione combinata EPP/EDR, chiamata Apex One, subito inserita tra i leader del magic Quadrant di Gartner. Tra le caratteristiche della piattaforma, la riposta a un numero molto elevato di minacce, compresi fileless e ransomware, una forte visibilità centralizzata e funzionalità di rilevamento, risposta e indagine tramite singolo agente, il che riduce il numero di fornitori e console.
- Tecniche di rilevamento avanzate: Machine Learning, cancellazione del rumore, fileless, cryptomining e ransomware
- Sistema di rilevamento e risposta intelligente (prima della compromissione dei dati)
- Massima protezione dei dati sensibili
- Controllo avanzato delle applicazioni
- Controllo centralizzato per uniformità di protezione e reporting
CrowdStrike
Falcon
Gartner giudica CrowdStrike uno dei vendor più innovativi di questo settore, posizionandolo direttamente nel quadrante dei leader. La piattaforma Falcon, completamente basata sul cloud, previene, rileva e risponde agli attacchi in tempo reale, unendo antivirus, funzionalità EDR e threat hunting gestito tramite un solo agente. In questo modo, la soluzione CrowdStrike (che si compone di diverse applicazioni, tra cui Falcon Insight, Falcon Prevent e Falcon Overwatch), punta ad offrire un elevato livello di protezione, massima proattività e visibilità.
- Antivirus di ultima generazione
- Thread Hunting gestito 24/7
- Rilevamento e protezione degli endpoint
- Unico agente a basso impatto
- Soluzione cloud native