Momento della lettura: 5 verbale
Le aziende di oggi spendono più che mai in soluzioni di sicurezza informatica. Ma tutta questa spesa sta facendo ben poco per limitare i danni causati dalla criminalità informatica o per ridurre la vulnerabilità e il rischio delle aziende. La spesa mondiale per prodotti e servizi di sicurezza informatica ha superato i 114 miliardi di dollari nel 2018 Gartner prevede che il mercato crescerà a un vigoroso 8.7% per raggiungere i 124 miliardi di dollari entro la fine del 2019. Tuttavia, si stima che la criminalità informatica sia già in aumento costano alle imprese globali più di 3 trilioni di dollari all’anno, con perdite annuali previste in aumento fino a oltre 6 trilioni di dollari entro il 2021. Questo lo rende il criminalità in più rapida crescita nel mondo, mettendo nelle tasche dei criminali più denaro di quanto metta insieme il commercio globale di tutte le droghe illegali.
Una cosa è chiara: ciò che viene fatto per proteggere le aziende dalla criminalità informatica semplicemente non funziona. I leader continuano a fare affidamento su strumenti e soluzioni legacy antiquati. Continuano a basare le decisioni su modi di pensare obsoleti che non sono più adeguati a proteggere le reti senza confini di oggi, in trasformazione digitale, contro aggressori instancabili e dotati di risorse adeguate (spesso finanziati dagli stati nazionali). Anche i cosiddetti prodotti di protezione endpoint di “prossima generazione” non riescono a prevenire il 100% degli attacchi.
Finché continueremo a valutare sistemi e soluzioni tenendo a mente i paradigmi di ieri, non possiamo aspettarci di invertire la tendenza nella guerra contro il crimine informatico. Dobbiamo invece adottare approcci proattivi alla progettazione delle infrastrutture di sicurezza, alla scelta delle tecnologie e alla protezione endpoint.
Troppi decisori stanno ancora selezionando le tecnologie di sicurezza informatica pensando alle architetture di rete legacy. In passato, i gateway di sicurezza o i firewall erano situati ai confini di un perimetro di rete aziendale definito e tutto il traffico all’interno di tale perimetro era considerato “affidabile”. I computer desktop o le workstation dei dipendenti rimanevano in ufficio alla fine della giornata lavorativa ed erano accessibili solo agli aggressori che avevano violato la rete o si erano infiltrati nell'edificio fisico stesso.
Gli ecosistemi tecnologici dell'informazione di oggi sono diversi ed eterogenei. I dipendenti utilizzano i dispositivi mobili insieme ai desktop aziendali, mentre coloro che lavorano da casa accedono alle risorse aziendali tramite router wireless domestici e coloro che lavorano in ufficio controllano i propri account di posta elettronica personali sui computer aziendali. Le reti incorporano molte combinazioni di dispositivi in un'ampia gamma di posizioni geografiche disparate. La loro composizione è in continua evoluzione poiché questi dispositivi si connettono e si disconnettono e la loro forma è amorfa.
Abbiamo bisogno di una sicurezza che possa viaggiare con i dati mentre si spostano in questo panorama complesso. Dobbiamo inoltre spostare la nostra attenzione sulla protezione degli endpoint, e in particolare dei dispositivi degli utenti finali, poiché sono diventati l'obiettivo più attraente (e spesso il più facile) per i criminali informatici che cercano di ottenere un accesso più ampio alle reti aziendali.
Le prime piattaforme di protezione degli endpoint (EPP) legacy rilevavano malware utilizzando approcci basati su firme. Ciò significa che hanno scansionato regolarmente tutti i file scaricati o eseguiti su un dispositivo endpoint alla ricerca di quelli con valori hash corrispondenti alle firme di file malware noti. In base alla progettazione, nessuna di queste soluzioni legacy è in grado di bloccare il 100% del malware. Ogni nuova minaccia doveva essere identificata, catalogata e aggiunta al database del "malware noto" prima che la sua firma potesse essere rilevata. Qualsiasi nuovo ceppo di malware presente in questo sistema, non importa quanto pericoloso, potrà essere eseguito, scritto su disco e apportato modifiche ai file di sistema.
I criminali hanno iniziato ad aggirare le protezioni antimalware basate su firme inserendo programmi software dannosi all'interno di codici mutaforma. Il malware polimorfico è progettato per riscriversi parzialmente ogni volta che viene eseguito in modo che le successive iterazioni del codice non vengano riconosciute dai metodi di rilevamento basati sulla firma. Lo dicono gli esperti quanto 94% del malware odierno ha una forma polimorfica.
Per combattere queste minacce più sofisticate, i fornitori ora offrono sistemi dinamici basati sul comportamento protezione endpoint soluzioni. Questi strumenti si concentrano sul rilevamento e sull'indagine di attività sospette o dannose eseguite sugli endpoint in modo da impedire al malware di accedere alla rete più ampia. Il file in questione può essere eseguito e, se tenta di eseguire un'azione anomala o non autorizzata, come l'installazione di un rootkit o la disattivazione di un controllo di sicurezza, viene contrassegnato come potenzialmente dannoso.
Il problema con questo approccio è che rimane di natura reattiva. Una volta che è stata autorizzata l'esecuzione del file nell'ambiente endpoint, è stato fornito il potere di causare danni. Inoltre, i ceppi di malware più sofisticati di oggi sono programmati per cercare e aggirare qualsiasi metodo di rilevamento basato sul comportamento che trovano immediatamente dopo l'esecuzione. Oppure gli aggressori possono nascondere le loro intenzioni dannose nel codice che inizialmente emette istruzioni apparentemente benigne, consentendo loro di tornare e installare una backdoor per ottenere l'accesso alla rete in un secondo momento.
Perfino i fornitori che pubblicizzano offerte di protezione endpoint “avanzate” o “di nuova generazione” non possono garantire che riusciranno a fermare tutti gli attacchi. Sebbene gli approcci basati sull’intelligenza artificiale e sull’apprendimento automatico stiano guadagnando popolarità, attenzione da parte dei media e quote di mercato, queste tecnologie semplicemente non sono ancora coinvolti al punto da essere infallibili. Negli approcci basati su regole, gli algoritmi vengono addestrati a cercare caratteristiche dei file che siano statisticamente simili alle caratteristiche del codice dannoso noto. Ciò richiede tempo e grandi quantità di dati. Nel frattempo, gli aggressori identificano nuovi obiettivi, inventano nuove tattiche e codificano nuovi file ogni giorno, il tutto da soli utilizzando l’apprendimento automatico per identificare le vulnerabilità nei sistemi e nel software commerciale.
Ma data la portata e il volume degli attacchi informatici odierni, tutti gli approcci che non sono infallibili sono destinati a fallire. E basta un solo fallimento per compromettere il vostro ambiente, violare i dati riservati dei vostri clienti, danneggiare la vostra reputazione e far lievitare alle stelle i costi e le perdite.
Una cosa che le architetture di rete legacy e le soluzioni EPP legacy hanno in comune è l’eccessivo affidamento sulla fiducia. Negli ambienti informatici distribuiti e diversificati di oggi non esiste più una zona “interna” di cui ci si possa fidare. E con oltre 350,000 file malware nuovi e unici rilevati ogni giorno, non è ragionevole presumere che sia possibile considerare attendibile l'esecuzione di file sconosciuti sui dispositivi endpoint.
Implementazione di una piattaforma AEP (Advanced Endpoint Protection) che include analisi e verdetto basati su cloud ogni file sconosciuto è essenziale per le aziende di oggi in trasformazione digitale. Poiché sempre più processi aziendali core si spostano online, un numero crescente di carichi di lavoro si sposta nel cloud e una più ampia varietà di tipi di dispositivi deve connettersi alla rete, la superficie di attacco continuerà ad espandersi. E poiché i clienti si aspettano esperienze digitali migliori, più fluide, più disponibili e più affidabili, da ogni azienda, le conseguenze di una violazione non potranno che diventare più gravi.
La protezione avanzata degli endpoint consente alle aziende di oggi di andare oltre la fiducia e adottare invece un approccio di sicurezza veramente solido. Se puoi prevenire contro tutti i file sconosciuti dall'esecuzione sugli endpoint e combinare tecniche di analisi (esame delle firme, inserimento in whitelist e blacklist di file noti sicuri/dannosi, esecuzione di analisi comportamentali statiche e dinamiche basate sull'intelligenza artificiale e identificazione di attacchi PowerShell e rootkit senza file), il tutto senza consentire l'accesso ad applicazioni potenzialmente non sicure ai sistemi operativi endpoint, avrai a disposizione le difese più potenti oggi disponibili. Con questi, avrai compiuto i passi fondamentali necessari per andare oltre i paradigmi di sicurezza obsoleti e verso vera protezione dalle minacce complesse e in continua evoluzione di oggi.
Per saperne di più su come valutare le piattaforme di protezione degli endpoint per trovare un valore reale in mezzo al clamore dell'affollato mercato della sicurezza informatica di oggi, scarica la nostra guida, Tutto quello che avresti voluto sapere sulla protezione degli endpoint ma non avevi paura di chiedere, Oggi.
PROVA LA TUA SICUREZZA E-MAIL OTTIENI IL TUO SCORECARD DI SICUREZZA ISTANTANEO GRATUITAMENTE Fonte: https://blog.comodo.com/it-security/legacy-cybersecurity-solutions-are-broken/
