Sei endpoint protection trends per il 2021

il 21 ottobre 2020

Il mondo della cyber security si sta evolvendo rapidamente, ma gli esperti assicurano che i “vecchi” strumenti di endpoint protection non sono affatto destinati alla pensione. Anzi: nel nuovo panorama che si sta delineando, potranno avere un ruolo da protagonista cambiando pelle per fornire nuove funzionalità che consentiranno di proteggere i network in maniera più efficace. Attenzione, però, non si tratta di vere rivoluzioni, ma di processi che sono già in corso e che gli esperti di sicurezza considerano già in divenire. “L’evoluzione dell’endpoint protection è già in corso” spiega Lorenzo Bernini, Cyber Security Manager di HWG. “I trend del prossimo anno, di conseguenza, sono già ben delineati”.

 

1) Il ruolo dell’intelligenza artificiale

Quando si parla di software antivirus per la protezione degli endpoint, si è soliti pensare al classico sistema di riconoscimento basato sulle signature, che prevede scansioni periodiche del sistema per individuare i malware conosciuti. Oggi, e ancora più nel prossimo futuro, questa modalità sta lasciando il passo a tecnologie basate su AI e machine learning, che consentono di individuare i malware conosciuti senza fare riferimento al vecchio sistema delle signature e alle scansioni del disco fisso, che spesso rappresentano un fattore negativo in chiave di gestione delle risorse di sistema. Insomma: l’individuazione dei malware verrà fatta in maniera più “intelligente” risparmiando risorse e tempo preziosi.

 

2) Analisi comportamentale

Parallelamente, la endpoint protection di nuova generazione punterà maggiormente su tecnologie legate all’analisi comportamentale, basata su indicatori di compromissione (IoC) che consentano di individuare e bloccare gli attacchi più sofisticati, basati su tecniche fileless o addirittura malware free, cioè quegli attacchi che utilizzano software formalmente “legittimi” o strumenti utilizzati normalmente per la gestione dei network. Un cambio di prospettiva che consentirà di aumentare il livello di resilienza agli attacchi complessi e consentirà di uscire dagli schemi legati all’individuazione dei malware attraverso i semplici database che contengono le minacce conosciute.

 

3) Un maggior peso della Threat Intelligence

L’evoluzione verso una logica di prevenzione interessa il settore della Threat Intelligence, attività che negli ultimi anni ha guadagnato uno spazio sempre più ampio nel settore della cyber security. “Esiste una vera e propria rete di società specializzate nella fornitura di intelligence” conferma Bernini. “Le informazioni derivanti da questo tipo di attività stanno assumendo un ruolo di primo piano nella prevenzione degli attacchi, consentendo di individuare i nuovi malware attraverso gli hash distribuiti nella filiera della cyber security”.

 

4) Gli interventi di emergenza

Se i tradizionali software antivirus sono stati sempre interpretati come strumenti di prevenzione, in grado cioè di individuare il codice malevolo in un file prima che questo venga eseguito, l’evoluzione verso tecnologie basate sul concetto di response stanno portando la protezione endpoint a incorporare funzionalità di remediation che possono bloccare l’attacco quando è già in corso. “Gli EDR (Endpoint Detection and Response- ndr) rappresentano uno strumento fondamentale per contrastare gli attacchi in corso e possono fare la differenza in caso di data breach” conferma Bernini. “Grazie a questa tecnologia è possibile mitigare i danni derivanti da un attacco agendo direttamente sui singoli dispositivi in tempi rapidissimi”.

 

5) Obiettivo visibilità

In un’ottica più ampia di strategia di cyber security, l’endpoint protection può inserirsi all’interno delle logiche orientate al monitoraggio delle attività interne al network, trasformando i software antivirus in “sensori” che possono essere utilizzati dai sistemi SIEM (Security Information and Event Management) per raccogliere informazioni e log che vengono poi analizzati e processati a livello di Security Operation Center per garantire la massima visibilità delle attività a livello IT. Il fatto che i software di questo tipo siano presenti su tutti i terminali aziendali, infatti, consente di ottenere una granularità nella raccolta delle informazioni che consente di massimizzare l’efficacia del sistema di monitoraggio senza dover ricorrere a ulteriori strumenti.

 

6) La funzione di device management

Nella stessa ottica, la dotazione dei software antivirus delegati all’endpoint protection integra, sempre più spesso, funzionalità orientate alla mitigazione del rischio attraverso l’applicazione di policy di utilizzo, come la limitazione dei dispositivi USB che possono essere collegati alla macchina (per esempio attraverso una logica di white list) o delle applicazioni il cui utilizzo è ammesso. “Tutte le aziende dovrebbero porre attenzione alle policy sull’utilizzo di applicazioni e dispositivi all’interno della rete aziendale” spiega Bernini. “L’uso dei software di endpoint protection in questa chiave permette di farlo in maniera estremamente semplice”.

 

Cyber rischio: prevenire e rispondere agli incidenti

Condividilo su: