Black Kite ha riferito che il 53% delle organizzazioni è stato colpito da attacchi ransomware nel 2021, e si prevede che questo numero aumenterà al 69% nel 2022. Gli attacchi informatici non mostrano segni di rallentamento, pertanto è fondamentale che le organizzazioni adottino le necessarie precauzioni di sicurezza informatica. Uno dei modi migliori per proteggere l’ambiente IT è un processo di sicurezza degli endpoint.
Che cos’è la sicurezza degli endpoint?
La sicurezza degli endpoint prevede il rafforzamento e la protezione degli endpoint per proteggersi da attacchi dannosi. È un approccio alla sicurezza informatica che mira a proteggere un sistema riducendo al minimo gli attacchi.
Esempi di endpoint
Gli endpoint sono dispositivi remoti utilizzati per motivi informatici. Tra gli esempi vi sono: desktop, laptop, server, tablet, smartphone, workstation e dispositivi IoT (Internet of Things).
Qual è la differenza tra sicurezza degli endpoint e antivirus?
La sicurezza degli endpoint coinvolge tutti i processi, gli strumenti e le configurazioni utilizzati per proteggere un endpoint dalle minacce. La visione è molto più ampia dell’ antivirus, che è uno strumento particolare che fa parte dello stack di protezione degli endpoint. Nella sicurezza degli endpoint, l’antivirus viene utilizzato insieme all’EDR, alle configurazioni di rafforzamento degli endpoint, al filtraggio DNS, al firewall, alla sicurezza di rete e alla formazione degli utenti finali sulla sicurezza.
Perché la sicurezza degli endpoint è cruciale
Nell’ambiente IT della tua organizzazione, ci sono tre punti principali di ingresso in un sistema. Questi punti di ingresso sono le persone, le reti e gli endpoint. Gli attori delle minacce possono tentare di convincere le persone a fornire le proprie credenziali attraverso strategie come il phishing e gli attacchi che sfruttano la fiducia. Un punto debole nella rete può anche consentire a qualcuno di entrare e attaccare i tuoi sistemi. Quando si tratta di endpoint, in definitiva non si può fare nulla a un sistema se non si può accedere a un dispositivo. Ecco perché sono un importante punto di accesso ai sistemi IT. Ogni singolo endpoint dell’organizzazione è un punto di accesso all’ambiente IT che potrebbe essere sfruttato per una minaccia informatica o un attacco informatico. Pertanto, il rafforzamento degli endpoint dovrebbe essere una delle principali preoccupazioni della tua azienda in materia di cybersecurity.
Come funziona la sicurezza degli endpoint?
1) Ottieni informazioni utili
Per proteggere efficacemente i tuoi endpoint dalle minacce attuali, devi sapere quali sono queste minacce. Cerca fonti affidabili che ti forniscano le informazioni più recenti sulle minacce e su come affrontarle. Ecco alcune idee per iniziare:
Risorse affidabili per la sicurezza e feed di minacce
- InfoSec Twitter (inizia qui)
- CVE, RSS e feed governativi
- Feed di fornitori di sicurezza affidabili
Community di esperti
- MSP:
- IT interno e aziendale:
- Sicurezza mirata:
2) Aggiorna il processo di rafforzamento
Con le informazioni ottenute da queste fonti, sarai pronto a implementarle nel tuo ambiente IT. Per garantire il successo dell’implementazione, è necessario disporre di un processo di rafforzamento consolidato. Includi questi passaggi essenziali per la riduzione delle minacce ed il rafforzamento dei dispositivi:
- Identifica il rischio
- Individua la probabilità e l’impatto
- Sviluppa la configurazione per rimediare o ridurre il rischio
- Testa e verifica la fase di riduzione dei rischi
- Implementa la fase di riduzione dei rischi in vari step, con un piano di backout
- Documenta la modifica e segnala le eccezioni
- Monitorizza la riduzione della vulnerabilità con il tuo RMM
3) Riduci le vulnerabilità tradizionali del passato
Purtroppo, sono molte le tecnologie tradizionali del passato che soffrono di vulnerabilità. È necessario adottare misure adeguate per ridurre queste vulnerabilità. Ecco un elenco delle principali vulnerabilità tradizionali del passato:
- Server Message Block v1: stop all’uso di SMB1
- PowerShell 2.0: disabilita Windows PowerShell 2.0
- TLS 1.0/1/1 e SSL (tutte le versioni): risolvere il problema di TLS 1.0
- LanMan (LM) e NTLMv1: Impostazioni del livello di autenticazione di LanMan
- Autenticazione Digest: Autenticazione WDigest deve essere disabilitata
- Patching: aggiorna e applica delle patch come parte della gestione delle vulnerabilità utilizzando la gestione delle patch basata su cloud
4) Proteggi gli endpoint dell’organizzazione
Rafforzamento del sistema operativo
Al centro delle moderne iniziative di sicurezza c’è innanzitutto il miglioramento del livello di sicurezza del sistema operativo e della sua configurazione. Rafforzare la struttura a questo livello permette al resto degli sforzi di poggiare su fondamenta solide e moderne. Per sapere come farlo in modo efficace, consulta le seguenti risorse:
- Regole ASR/Anti Exploit
- Limita gli strumenti e le tecniche di movimento laterale
- Caratteristiche native
- Protezione basata sulla reputazione
- SmartScreen per Microsoft Edge
- Blocco delle app potenzialmente indesiderate
- SmartScreen per le app del Microsoft Store
- Avvio sicuro
- Registrazione
- Rimuovi le app e le funzioni non necessarie
Rafforzamento della rete
Ora che hai rafforzato il sistema operativo locale, rivolgiti alla rete più ampia e ai servizi esposti nel mondo interconnesso. Si va dalla configurazione della rete locale alla riduzione del traffico in entrata.
- Disattiva RDP o rafforza RDP
- Disabilita il multicast DNS
- Disattiva NetBios
- Disabilita SmartNameResolution
- Configura il firewall
Protezioni degli account
Limitare il raggio di attacco disponibile con gli account locali, i servizi e l’archivio delle credenziali ostacola gli aggressori e impedisce una rapida e facile scalata dei privilegi. Ciò potrebbe avvisare l’utente di un attacco, aumentare il tempo necessario per aggirare le riduzioni o addirittura impedire il successo dell’attacco.
- Rimuovi i diritti di amministratore locale
- Rafforza gli account di amministratore locale
- Limita i diritti di accesso per gli account
- Utilizza il gruppo di utenti protetti (dispositivi uniti ad Active Directory)
- Proteggi le credenziali di dominio con la protezione delle credenziali
Rafforzamento dell’applicazione
Gli aggressori tentano spesso di sfruttare alcuni degli strumenti e delle impostazioni più comuni su cui le organizzazioni fanno affidamento. Questi elementi sono ampiamente distribuiti e installati sugli endpoint. Senza ulteriori configurazioni, possono portare a facili opportunità d’attacco.
- Office Suite
- Adobe Reader
- Rendilo un processo
- Scegli un’applicazione
- Valuta le esigenze e i rischi
- Collabora con i contatti chiave per garantire un buon equilibrio tra rischio e usabilità
- Ricerca tecniche di rafforzamento per quel programma specifico
- Riduci il rischio e l’esposizione con configurazioni più complete
Rafforzamento del browser
I browser web tendono a essere uno degli elementi più trascurati dello stack. Tuttavia, la loro configurazione è alla base di uno dei programmi più utilizzati oggi sui computer. Bloccare e far rispettare alcune caratteristiche di sicurezza di base può aiutare a proteggere questo punto di ingresso critico.
- Filtro antiphishing e protezione avanzata Smartscreen
- Sandboxing dedicato ai processi
- La maggior parte dei browser ora isola i processi che formano lo stack che tutti noi utilizziamo per navigare sul Web; è possibile estendere Application guard ad altri browser, il che consente di isolare una sessione hardware del browser per i siti a rischio.
- Edge
- Altri browser
- Controlla le estensioni installate
Inizia subito a migliorare la sicurezza degli endpoint
La sicurezza degli endpoint è una componente essenziale di una cybersecurity efficace. Se i dispositivi dell’organizzazione sono protetti contro gli attori delle minacce e gli attacchi dannosi, si evita che si verifichi una catena di possibili effetti negativi. Inoltre, è molto più semplice mettere in atto le protezioni e le precauzioni adeguate prima di un attacco, piuttosto che cercare di recuperare i dati dopo il fatto. Il software di gestione automatizzata degli endpoint di NinjaOne mette a disposizione i fondamenti della sicurezza degli endpoint. I nostri strumenti offrono una maggiore visibilità su un dispositivo, la possibilità di distribuire configurazioni per rafforzare gli endpoint, gestire e distribuire le patch e altro ancora. Scopri come Ninja può aiutarti ad aumentare la sicurezza dei tuoi endpoint iscrivendoti oggi stesso ad una prova gratuita.
