Una piattaforma di protezione degli endpoint (EPP) è una soluzione di sicurezza completa distribuita su dispositivi endpoint per assicurare protezione contro le minacce.

Definizione di piattaforma di protezione degli endpoint

Le soluzioni EPP sono in genere gestite dal cloud e utilizzano i dati del cloud per supportare il monitoraggio avanzato e la correzione remota.
Utilizzano un'ampia gamma di funzionalità di sicurezza, ma a livello di base offrono:

• Prevenzione contro malware basati su file
  
• Rilevamento di attività sospette utilizzando tecniche che vanno dagli indicatori di compromissione (IoC) all'analisi comportamentale
• Strumenti di indagine e correzione per gestire incidenti e avvisi dinamici

Le piattaforme di protezione degli endpoint sono la più recente evoluzione della sicurezza degli endpoint. Sono state sviluppate per identificare gli hacker che possono aggirare la sicurezza degli endpoint tradizionali e anche per contribuire a consolidare stack di sicurezza complessi. Il consolidamento assicura una migliore condivisione dei dati, che rende più efficienti le funzionalità di analisi disponibili per rilevare comportamenti sospetti. Inoltre, semplifica notevolmente le operation di sicurezza.

Un altro importante vantaggio delle piattaforme di protezione degli endpoint è il passaggio al cloud. Le soluzioni EPP native per il cloud possono utilizzare un unico agente leggero per monitorare tutti gli endpoint e i dati che possono raccogliere e utilizzare vanno ben oltre gli endpoint di una singola azienda. È possibile acquisire i dati globali condivisi che illustrano le tattiche degli hacker per migliorare il rilevamento dei loro comportamenti.

Nell'analisi "Critical Capabilities for Endpoint Protection Platforms", Gartner sottolinea l'importanza di una EPP basata su cloud affermando che queste soluzioni basate su cloud offrono un time-to-value più rapido, costi di amministrazione inferiori e miglioramenti del prodotto più agili rispetto alle distribuzioni on-premise tradizionali.

Nell'ultimo report Magic Quadrant di Gartner sulle piattaforme di protezione degli endpoint, Gartner osserva che le EPP si stanno evolvendo per fornire una risposta alle violazioni e un'analisi degli incidenti automatizzate e orchestrate e invita i responsabili della sicurezza e della gestione sui rischi ad assicurarsi che il loro vendor EPP si evolva abbastanza rapidamente da tenere il passo con le minacce moderne.

Andando oltre l'IR, le piattaforme di protezione degli endpoint basate su cloud offrono funzionalità di analisi comportamentale in tempo reale. I sistemi EPP più avanzati utilizzano l'elaborazione del flusso di eventi, la stessa tecnologia utilizzata per il rilevamento delle frodi con le carte di credito, per trasformare la sicurezza degli endpoint. Ciò consente di rilevare i comportamenti degli hacker che tentano intenzionalmente di "sembrare normali" per nascondere le loro tattiche. Oggi VMware Carbon Black Cloud è l'unica piattaforma di protezione degli endpoint a utilizzare l'elaborazione del flusso degli di eventi e sta già offrendo eccellenti risultati nel rilevamento degli hacker prima che possa verificarsi l'esfiltrazione dei dati.

La piattaforma di protezione degli endpoint è stata sviluppata soprattutto perché gli hacker riuscivano a eludere più facilmente i team SecOps che utilizzavano le soluzioni tradizionali. Fondamentalmente, gli hacker sono andati oltre le funzionalità di sicurezza degli endpoint tradizionali e ora riescono a rimanere inosservati sulle reti per lunghi periodi di tempo.

Cinque modi con cui gli hacker aggirano la sicurezza degli endpoint tradizionale

• Ransomware senza file: senza un file da rilevare e bloccare, le tecniche "fileless" per distribuire i ransomware riescono normalmente a eludere i tradizionali sistemi di sicurezza degli endpoint. Secondo un report sulla sicurezza informatica di SecureWorld, gli attacchi senza file sono aumentati del 18% nella prima metà del 2019 rispetto alla seconda metà del 2018. Solo con un'EPP è possibile tenere traccia dei comportamenti e trovare modelli che avvisano sui metodi di attacco senza file.
  
• Disponibilità di nuove tecniche di attacco: tecniche di attacco avanzate sono state rubate o sviluppate da criminali informatici e vendute o messe a disposizione come Open Source su Internet e sul dark web. L'utilizzo di questi script e di queste tattiche consente agli hacker di "sembrare normali" e di rimanere nascosti all'interno di una rete.
• Endpoint obsoleti: il panorama delle minacce si evolve rapidamente e ciò significa che i vendor di sicurezza stanno sviluppando patch e aggiornamenti il più rapidamente possibile per tentare di tenere il passo con le minacce emergenti. Spesso gli aggiornamenti superano le funzionalità dei team SecOps, soprattutto in mancanza di automazione e gestione delle patch. Inoltre, gli agenti degli endpoint spesso non funzionano, lasciando i singoli endpoint non protetti. Secondo un report sui trend globali della sicurezza degli endpoint del 2019, il 35% delle violazioni degli endpoint è causato da vulnerabilità esistenti. Poiché le piattaforme di protezione degli endpoint sono in genere basate su cloud, sono in grado di rimanere sempre aggiornate per garantire la sicurezza degli endpoint protetti dalle minacce più recenti.
• Molteplici origini dei dati: le soluzioni di sicurezza degli endpoint tradizionali vengono eseguite in modo relativamente isolato rispetto al resto dello stack di sicurezza, pertanto sono necessari molti sistemi per visualizzare l'attività su un singolo endpoint e tracciare qualsiasi attività sospetta nella rete durante un'indagine. Le piattaforme di protezione degli endpoint offrono una SSOT (Single Source of Truth), combinando i dati provenienti da tutte le soluzioni di sicurezza della piattaforma per fornire accesso agevole ai dati e un'analisi degli avvisi.
• Filtrazione dei dati degli endpoint: molte soluzioni di sicurezza escludono i dati degli endpoint considerati non correlati a una minaccia secondo modelli di comportamento noti e IoC. Ora che gli hacker dispongono di tecniche più avanzate, utilizzano i filtri dei dati degli endpoint per escludere la loro attività. Ciò significa che SecOps non è in grado di visualizzare nuovi modelli. Grazie all'acquisizione continua dei dati sull'attività degli endpoint, è possibile individuare queste nuove tecniche e prevedere le nuove minacce.

Analisti ed esperti di sicurezza concordano nel ritenere che le EPP sono la soluzione migliore per proteggere le reti dalle minacce avanzate. Gartner e Forrester analizzano le soluzioni disponibili, rispettivamente, nel Magic Quadrant di Gartner per le piattaforme di protezione degli endpoint e nel report Forrester Wave sulle suite per la sicurezza degli endpoint. La convalida delle EPP deriva da un'analisi del ROI eseguita da Forrester. Lo studio Total Economic Impact of an Endpoint Protection Platform Study di Forrester ha rilevato che il ROI medio di sette aziende che hanno scelto di adottare un'EPP è stato del 204%. Ciò equivale a un risparmio medio di 2,1 milioni di dollari in tre anni.

Ecco cosa dicono gli esperti di sicurezza che hanno adottato una piattaforma di protezione degli endpoint sul valore delle EPP:

Risparmio di tempo significativo
"Ora ho un SOC attivo 24 ore su 24, 7 giorni su 7, capace di identificare qualsiasi problema e di intervenire immediatamente senza dover contattare il mio team a qualsiasi ora del giorno o della notte."
- Cosy Lavalle, IT Infrastructure Manager, Progress Residential

Un unico punto di monitoraggio
"Le funzionalità IR e di ricerca delle minacce disponibili consentono al nostro team di muoversi con rapidità ed efficacia utilizzando i vantaggi di una console basata su cloud con un unico punto di monitoraggio. È un punto di svolta per il team."
- Eric Samuelson, Senior IT Manager, Lithium

Tenere il passo con le minacce
"[EPP] è esattamente quello di cui le aziende hanno bisogno per mantenere la continuità alla luce delle più grandi minacce informatiche odierne. Con [EPP], siamo in grado di analizzare e rispondere alle minacce ed eliminare rapidamente le soluzioni AV obsolete."
- Steven Lentz, CISO, Samsung Research Americas