Un attacco ai sistemi endpoint può consentire all’attaccante, attraverso il furto di password o altri exploit, di accedere alle risorse cloud per impiantare un malware o svolgere altre attività. Per questo, è necessario dotarsi di un sistema di sicurezza unificato, che sia in grado di offrire visibilità e controllo su entrambi i sistemi: server ed endpoint.

Per ottenere accesso al sistema, i cybercriminali creano una breccia sfruttando vulnerabilità del sistema operativo o delle applicazioni, per poi espandere la propria presenza nel sistema attraverso altri strumenti. A volte sfruttano vulnerabilità ben note e che dovrebbero essere state corrette da aggiornamenti che, purtroppo, non sempre vengono applicati in modo tempestivo. Altre volte invece sfruttano vulnerabilità non ancora conosciute, o per le quali ancora non sono stati rilasciati aggiornamenti riparatori (zero day).

ADV
Webinar Kyocera Enterprise Document Management

Webinar il 22/9 - I documenti cartacei nell’era del lavoro ibrido e data-driven

Lavoro ibrodo e marketing digitale richiedono che le informazioni siano disponibili ovunque e integrate nei sistemi aziendali. Scopri le best practice per implementare un sistema di gestione documentale efficace per aziende di ogni dimensione. ISCRIVITI ORA >>

Gli antivirus tradizionali cercano la presenza di malware conosciuti sul disco della macchina, ma alcuni attacchi chiamati file-less agiscono solo nella memoria e non lasciano alcuna traccia sul disco. Inoltre, non sono in grado di mettere in relazione le attività che avvengono su punti diversi della rete (per esempio, un pc locale che effettua operazioni illegittime su un server in cloud).

Riuscire a identificare precocemente i segnali che rivelano un attacco in corso è quindi fondamentale, ed è il compito delle soluzioni di Endpoint Detection and Response, che possono anche essere gestite da fornitori di servizi specializzati (Managed Detection and Response), che ricercano indicatori precoci di compromissione o di attacco, sfruttando tecnologie anti-exploit, per attuare contromisure prima che l’attaccante riesca a penetrare il sistema.

Ma quali funzionalità bisogna ricercare nelle soluzioni anti-exploit e di Endpoint Detection and Response? Vediamole di seguito.

Cosa deve avere un prodotto anti-exploit

Deve essere parte di uno stack completo di rilevamento e prevenzione, gestito da un’unica console

  • Le soluzioni che coprono un solo aspetto possono avere un’utilità, ma non permettono di rilevare quegli attacchi che sfruttano l’interazione tra più sistemi
  • Cercate una soluzione che comprenda più tecnologie di security, dalla tradizionale ricerca di firme all’intelligenza artificiale, e alle funzionalità di threat hunting

Deve proteggere sia dagli exploit a livello utente, sia da quelli per il kernel, che sfruttino vulnerabilità note o ancora sconosciute

  • Individuare gli attacchi di ieri è facile. La parte difficile è prevenire quelli di domani
  • Cercate una soluzione con funzionalità di rilevamento e mitigazione avanzate, che includano l’intero stack software nel proprio ambiente

Utilizzabile sia su pc che server, on-premises o in cloud

L’adozione del cloud ibrido o del multi-cloud ha creato complessità che può portare a una lievitazione dei costi di cybersecurity

Cercate una soluzione che copra l’intera architettura di oggi, e sia pronta anche a eventuali cambiamenti che potreste voler fare in futuro

Supporto per le infrastrutture Virtual Desktop, inclusa la sessione, i terminal services e il protocollo Remote Desktop

  • Il lavoro da remoto ha comportato l’attivazione di nuovi servizi e nuove modalità di lavoro che, magari solo in parte, dureranno a lungo nel tempo
  • Cercate una soluzione che abbia un impatto minimo sulle prestazioni dei sistemi e non aumenti il carico di lavoro degli amministratori. Bitdefender ha una soluzione specifica per gli ambienti virtualizzati.

Riassumendo…

Gli ambienti ibridi e multi-cloud possono offrire alle aziende grande flessibilità e agilità per perseguire gli obiettivi di business, ma comportano un aumento della complessità nella gestione da parte dei team di sicurezza. Quando una nuova vulnerabilità viene scoperta, passa sempre un po’ di tempo prima che i vendor analizzino il problema e distribuiscano una patch di aggiornamento, e ne passa ancora prima che i sistemisti riescano ad applicarla, specialmente quando si tratta di farlo su server in produzione. Questo è il momento in cui diventa fondamentale avere forti capacità di rilevamento precoce delle minacce, per fermare gli attacchi nelle loro fasi preliminari.

Sebbene le tecnologie anti-exploit per Windows non siano una panacea, sono una parte fondamentale dello stack di sicurezza. Utilizzando tecniche di rilevamento e mitigazione per prevenire l’abuso delle vulnerabilità più comuni può fermare gli attaccanti prima che riescano a penetrare i nostri sistemi, o quanto meno abbatteranno il numero degli allarmi e segnalazioni permettendo al team di cybersecurity di concentrarsi sulle minacce più gravi.

Bitdefender GravityZone fornisce funzionalità avanzate anti-exploit per Windows. Scopri di più e ottieni la tua versione di prova gratuita da questo link.

 

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!