Kaspersky protegge gli endpoint per difendere le infrastrutture

Morten Lehn di Kaspersky: la protezione aziendale parte da un'efficace difesa degli endpoint con le Security Foundations.

Autore: Redazione ImpresaCity

La pandemia e il lockdown hanno messo in luce le molte criticità della cyber security in Italia. La mancanza di adeguate misure di sicurezza ha causato una maggiore esposizione ai rischi. L'argomento COVID-19 è stato sfruttato in maniera importante dai criminali informatici per mettere a segno attacchi di spam, di phishing e per diffondere malware. Tutto questo, insieme allo smart working, ha creato una situazione dal potenziale esplosivo. Come ha sottolineato Morten Lehn, General Mananger di Kasperky Italia, il COVID-19 ha dato una spinta determinante per comprendere l'importanza della sicurezza informatica.

Alcune aziende si sono fatte trovare più preparate di altre per gestire il lavoro da remoto. La valutazione comprende la dotazione hardware, come i computer aziendali e le connessioni VPN, così come la formazione adeguata del personale. A tal proposito è bene ricordare che l'utente è sempre il primo elemento di vulnerabilità. Ma non si può pretendere che faccia tutto da solo, per questo esistono gli strumenti di sicurezza.

In questo momento il mercato chiede soluzioni efficaci per identificare le minacce nascoste ed evasive, ed evitare l'impatto maggiore degli attacchi (danni economici e d'immagine). Chi sta scegliendo soluzioni per la sicurezza e chi sta pianificando le modifiche alla propria infrastruttura mira a ottenere una strategia di sicurezza efficace, adatta allo scenario contemporaneo.

La difesa degli endpoint


Fabio Sammartino, Head of Pre-Sales Kaspersky, sottolinea che l'azienda russa punta prima di tutto sugli endpoint. Perché i cyber criminali prendono sempre più di mira gli endpoint per attaccare l'infrastruttura, e perché questi ultimi sono di fatto i sistemi aziendali più difficili da proteggere.

La parola d'ordine è prevenzione. In uno scenario in cui le soluzioni tradizionali non sono più sufficienti, c'è la necessità di estendere la visibilità sugli endpoint per identificare le minacce più complesse e rispondere tempestivamente alle criticità.

Inoltre, si chiede ai software EDR (Endpont Detection and Response) la semplicità d'uso, per agevolare gli addetti in azienda che a volte non hanno le skill adeguate per fronteggiare le minacce, e non riescono a rispondere in maniera adeguata. Su questi due elementi si articola il portafoglio Kaspersky.

La base è costituita dalle Security Foundations, ossia le soluzioni indirizzate agli endpoint. Comprendono la protezione per le applicazioni legacy, per quelle in cloud e per le email, al centro della maggior parte delle campagne di attacco. La novità trasversale a tutti questi prodotti è l'automatizzazione nella risposta. Tutte le soluzioni per gli endpoint sono progettate per individuare le minacce in modo automatico, e per rispondere in modo automatico così da estendere le capacità di difesa.

Optimum Framework


Un gradino più sopra c'è Optimum Framework. È un EDR che soddisfa la necessità di IT manager e security manager di "guardare più a fondo" e capire se una minaccia è in effetti la detection singola che è stata bloccata dall'endpoint, o se dietro c'è una criticità di alto livello che richiede una visione più ampia dell'incidente.

EDR Optimum garantisce la possibilità di trovare la causa principale dell'attacco tramite analisi in dettaglio dei processi. Individua le azioni svolte dall'intruso nel computer, cerca relazioni fra altri incidenti simili rilevati e determina se l'elemento di detection fa parte o meno di uno schema più complesso. Inoltre, identifica potenziali diffusioni all'interno degli altri nodi della rete.

L'analisi può essere svolta in maniera automatica o semi automatica. E nello stesso modo genera una regola di blocco preventivo della minaccia, estende la ricerca sugli altri nodi e contiene il potenziale rischio. Optimum comprende anche la Kaspersky Sandbox, che analizza alcuni formati di file con l'obiettivo di riconoscere minacce che non sarebbero rilevabili dal solo endopoint.

Kaspersky Managed Detect and Responce


Non tutte le aziende dispongono di un team di security dedicato o con skill sufficienti per svolgere analisi avanzate. Per questo una delle tendenze che si sta affermando è quella di esternalizzare il servizio di cyber security affidandolo a MSSP o usando servizi terzi, come Kaspersky Managed Detect and Responce.

Senza arrivare all'Expert Framework che contiene soluzioni per esperti (per i SOC o i team specializzati), Kaspersky Managed Detect and Responce fornisce analisi avanzate. Nel caso di minacce complesse, espande le analisi di rilevamento anche in mancanza di expertise, per questo alleggerisce di molto i costi.

Managed Detection and Responce è un SOC che analizza i metadati raccolti dagli endpoint. Una volta raccolte, le telemetrie analizzate dal SOC vengono sottoposte a strategie di detection che fanno riferimento ai principali threat detector. Il vantaggio di questo approccio è che fornisce un servizio che in genere è appannaggio esclusivo dei SOC di terzo livello. Consente di identificare un potenziale attacco, anche complesso, ai suoi primi stadi evolutivi, quindi di intervenire tempestivamente per la mitigazione.

Nel caso in cui venga identificata una potenziale compromissione, risponde automaticamente, nell'ambito di un piano d'azione concordato con il cliente. Questo strumento aumenta la capacità di detection laddove il team di security non è in grado di farlo, e offre risposta immediata all'eventuale criticità. Molti MSSP usano questo servizio per erogare a loro volta i propri servizi di sicurezza e per aumentare le capacità di rilevamento dei propri SOC.