La messa in sicurezza delle postazioni di lavoro è un processo continuo. A fronte di un’economia sempre più digitale e postazioni di lavoro sempre più mobili, anche la minima vulnerabilità può avere conseguenze disastrose, qualora venga sfruttata. Ma i metodi e le soluzioni di sicurezza si stanno adattando a questi nuovi rischi.
Identificare tempestivamente la fonte dell’infezione
L’obiettivo principale degli aggressori è quello di impossessarsi di dati personali, industriali o commerciali sensibili, cifrarli per chiedere un riscatto, pubblicarli o interrompere la produzione dell’azienda. Un obiettivo raggiungibile attraverso “punti di ingresso”, tra cui spesso e volentieri i computer degli utenti. Una volta compromesso il sistema, anche senza disporre di privilegi elevati sulla macchina, l’aggressore è in grado di penetrarvi più a fondo.
A tale scopo gli aggressori possono sfruttare sia la vulnerabilità umana, con un phishing sempre più mirato (“spear phishing”), sia le vulnerabilità di sistemi mal protetti, come server RDP esposti su Internet, applicazioni non aggiornate, ecc. Per evitare che gli aggressori ottengano un accesso più profondo al sistema, è importante identificare questi attacchi non appena si verificano, bloccando i processi dannosi e impedendo immediatamente la loro propagazione sul dispositivo o sull’applicazione in questione.
Adattare il livello di protezione all’ambiente
Garantire la sicurezza delle postazioni di lavoro era già un’impresa abbastanza ardua nelle sedi aziendali. Con la proliferazione dei computer portatili e, soprattutto, a fronte di esigenze di mobilità specifiche per ogni azienda, il compito è diventato ancora più complesso.
Pertanto, la protezione delle postazioni di lavoro non può più essere statica, ma deve diventare dinamica, adattandosi al contesto e ai diversi scenari di mobilità all’interno dell’azienda. Ciò significa, ad esempio, controllare le reti WiFi autorizzate, disabilitarle quando è disponibile una connessione LAN o, nel caso in cui sia attiva una VPN, impedire qualsiasi connessione diversa dalla stessa, al fine di evitare attacchi smurf.
Focalizzare la protezione sull’agente tramite un approccio comportamentale
Di norma è più semplice e meno rischioso identificare un elemento dannoso nel punto di ingresso (workstation o server), prima che abbia la possibilità di diffondersi, bloccandone immediatamente le attività. È proprio per questo che esistono i sistemi di protezione che garantiscono la sicurezza delle postazioni di lavoro delle postazioni di lavoro. Il tradizionale software antivirus basato su firme non è sufficiente per contrastare il ransomware, che sta diventando sempre più sofisticato. Gli attacchi Zero-Day non vengono inoltre rilevati immediatamente.
Per ovviare a questa carenza, le analisi di un HIPS comportamentale hanno come parametro di riferimento il comportamento “normale” di un host o delle sue applicazioni. In presenza di un’attività sospetta di applicazioni legittime, il sistema lancia immediatamente un allarme (o blocca subito le attività in questione), per limitare il rischio di propagazione. Nonostante l’implementazione di queste soluzioni sia un po’ più complessa, l’HIPS è facilmente adattabile a qualsiasi tipo di azienda e sarà in grado di contrastare gli attacchi Zero-Day.
Bloccare gli attacchi in modo proattivo e anticipare quelli futuri
Sapere come porre fine a un attacco, sia esso noto o sconosciuto, è ovviamente essenziale. Ma per fare un ulteriore passo in avanti è necessario trarre insegnamenti da questi attacchi, in modo da poterli prevenire più facilmente in futuro. Questo è uno dei ruoli ascrivibili alle soluzioni EDR (Endpoint Detection & Response): oltre alla reazione immediata, l’ispezione dei log consente, dopo un’analisi approfondita, di migliorare l’efficacia delle soluzioni nella ricerca degli attacchi.
Per far ciò sono possibili due approcci: quello incentrato su soluzioni cloud si basa sul feedback di un thin client installato su ogni postazione di lavoro e che da un lato offre tutti vantaggi dell’intelligenza artificiale, ma dall’altro richiede una connessione costante delle postazioni di lavoro a Internet. Una soluzione autonoma basata su agenti fornisce sia una protezione proattiva in tempo reale per ogni postazione, sia informazioni che consentono un’ulteriore analisi dell’attacco. Sistemi di terze parti saranno quindi in grado di tenere conto di questi eventi, correlandoli attraverso l’intelligenza artificiale.
Garantire anche la sicurezza del sistema di protezione delle postazioni di lavoro
L’obiettivo principale di un cybercriminale sono i dati aziendali, ma anche i sistemi di sicurezza delle aziende sono sotto assedio. D’altronde, se gli aggressori riescono a disattivare le protezioni, o peggio, a sfruttare i privilegi di queste soluzioni, spalancano le porte del sistema informativo.
Come per l’implementazione di qualsiasi hardware o software, il rischio di un errore di configurazione o di una vulnerabilità va limitato il più possibile anche per le postazioni di lavoro e le rispettive applicazioni. Un obiettivo raggiungibile tramite configurazioni blindate e altamente efficaci che tengano conto della rispettiva superficie di attacco. A causa dei privilegi estesi solitamente concessi ai sistemi di protezione di sicurezza delle postazioni di lavoro, la loro superficie di attacco è naturalmente più ampia. Pertanto, è necessario promuovere un approccio di security-by-design sin dalla fase di sviluppo di tali soluzioni.
di Mark Johnson, Presales Engineer Stormshield Endpoint Security
