Forse ti stai annoiando un po 'con la protezione degli endpoint.
A dire il vero, sembra più che un po 'rievocativo della guerra fredda.
Da un lato ci sono i produttori di malware, fondamentalmente i cattivi, che lavorano duramente per far evolvere le loro tecniche per trovare e sfruttare anche la più piccola vulnerabilità.
Dall'altro lato ci sono gli sviluppatori di protezione degli endpoint, che lavorano incessantemente anche alla ricerca di modi sempre più intelligenti per identificare, bloccare e distruggere il codice dannoso in tutte le sue forme.
Il conflitto è una lotta senza fine e, peggio, è uno di quelli che avviene principalmente in background.
Almeno finché non accade qualcosa di orribile.
È allora che la protezione degli endpoint diventa entusiasmante molto rapidamente.
Ma mentre quei giorni tendono a colpire i titoli dei giornali quando interessano le aziende Fortune 500 ei loro clienti, non dimenticare mai che le piccole e medie imprese (PMI) sono altrettanto vulnerabili e soggette a tutti gli stessi exploit e attacchi.
E poiché tendono a non avere i grossi budget di sicurezza delle organizzazioni più grandi, le PMI in realtà sembrano obiettivi più facili o frutti a bassa quota per gli hacker.
Ciò significa che le PMI hanno bisogno di una protezione degli endpoint sofisticata e reattiva tanto quanto le aziende, se non di più.
Che cos'è una soluzione di protezione degli endpoint in hosting?
Una soluzione di protezione degli endpoint in hosting equivale a una piattaforma antivirus e antimalware di livello aziendale, il cui cuore è ospitato interamente nel cloud.
Ciò significa che gli amministratori accedono a una console Web per eseguire scansioni, registrare utenti, gestire licenze ed eseguire altre attività di gestione quotidiana, nonché rapporti.
Questa è un'evoluzione naturale poiché i vantaggi di un servizio di sicurezza gestito dal cloud sono troppi per essere ignorati.
Attenersi a una suite di protezione degli endpoint vecchio stile significa che l'IT deve creare un back-end basato su server in sede, quindi distribuire software e agenti di scansione su ogni dispositivo che desidera proteggere manualmente, assumendosi la responsabilità degli aggiornamenti del motore di scansione.
Confrontalo con un servizio gestito dal cloud e la maggior parte di questi grattacapi viene affrontata dal fornitore di servizi.
Il back-end è interamente gestito dal fornitore e gli utenti ricevono automaticamente il software e gli aggiornamenti del dispositivo, fornendo al contempo all'IT rapporti chiari su eventuali eccezioni, problemi e minacce.
Il cloud aiuta anche i fornitori a implementare soluzioni più avanzate per le minacce più difficili.
La sfida che tutti questi strumenti devono affrontare è il panorama in continua evoluzione delle minacce alla sicurezza informatica.
Hanno bisogno di capire esattamente cosa sia dannoso e reprimerlo senza segnalare così tanto che la protezione del business in realtà lo ferma.
Questo è un problema difficile da risolvere poiché la malizia può essere una cosa molto confusa.
I falsi positivi, quindi, sono un problema continuo e gestirli è uno degli aspetti principali del modo in cui gli sviluppatori differenziano i loro prodotti e competono per la quota di mercato.
È qui che il cloud si è dimostrato un vantaggio negli ultimi anni.
Qualsiasi soluzione di protezione degli endpoint ospitata avrà almeno una parte della sua architettura complessiva residente nel cloud.
Con ciò arriva la capacità di sfruttare la scienza dei Big Data e l'analisi avanzata sul lato server.
Ciò consente ai fornitori di servizi di creare modelli di machine learning (ML) che possono migliorare in modo significativo i tassi di rilevamento, cosa che non era così realizzabile quando i fornitori dovevano fare affidamento sulla potenza di elaborazione in loco dei loro clienti.
Sebbene il rilevamento basato sulle firme svolga ancora un ruolo importante nel chiarire il campo, l'apprendimento automatico è il punto in cui la maggior parte dei nostri fornitori vede il futuro e abbiamo visto grandi passi avanti durante i test di quest'anno.
Le nostre recensioni hanno chiaramente evidenziato il ML come il componente di sicurezza più caldo dell'anno, guidando molte delle funzionalità più recenti, in particolare il rilevamento basato sul comportamento.
Sebbene questi motori possano ancora essere ingannati, sta diventando rapidamente più difficile da fare.
Tuttavia, con la giusta quantità di modifiche, gli sviluppatori di malware sono ancora più che in grado di camuffare abilmente i loro payload dannosi e di intrufolarli oltre le difese del reparto IT.
Le cattive applicazioni utilizzano tutti i tipi di trucchi per ottenere questo risultato, dai travestimenti digitali all'ingegneria sociale.
Per questo motivo, è fondamentale eseguire la due diligence prima di decidere una soluzione di protezione degli endpoint.
Per aiutare in questo, questo riepilogo mette alla prova dieci dei migliori giocatori di protezione degli endpoint.
In primo luogo, esaminiamo le capacità di distribuzione e gestione dal punto di vista di un professionista IT, quindi eseguiamo una suite di test di rilevamento in quattro parti per vedere come questi strumenti si confrontano l'uno con l'altro.
Come testiamo le soluzioni di protezione degli endpoint in hosting
Con minacce e contromisure in continua evoluzione, testare la protezione degli endpoint è diventata una cosa complicata.
Gli algoritmi ML che abbiamo visto distribuire dai fornitori sono ottimi per individuare i problemi noti, il che rende l'utilizzo di batch di malware noti una sorta di gesto simbolico.
Tutti sono preparati per questo, quindi quanto può essere efficace un test? Beh, è ??certamente un test necessario per stabilire una base di competenza per ogni fornitore, ma è anche una buona ragione per adottare un approccio su più fronti per testare queste soluzioni.
Come regola generale, l'anello di sicurezza più debole nella catena di difesa di qualsiasi organizzazione saranno sempre le persone che ci lavorano.
Quindi, Daxdi Labs inizia testando il rilevamento del phishing.
A volte il modo più veloce per arrestare un attacco è semplicemente impedire agli utenti di consegnare le proprie credenziali, anche se lo fanno in modo innocente.
Per fare ciò, utilizziamo un sito Web chiamato PhishTank, che pubblica un elenco in continua crescita di siti Web di phishing convalidati.
Qui selezioniamo a caso 10 siti ancora attivi e li utilizziamo come barometro per verificare l'efficacia del rilevamento del phishing nel nostro candidato al test.
Ci limitiamo a navigare in tutti e dieci i siti utilizzando una macchina di prova che esegue il software del candidato e registra ciò che accade.
Un altro vettore di attacco molto popolare è quello di indurre gli utenti a scaricare un'applicazione apparentemente legittima che viene quindi utilizzata per scopi nefasti o anche solo per attendere un po ', comportarsi normalmente e quindi far esplodere un qualche tipo di payload dannoso.
Essere in grado di guardare sotto il cofano delle app che potrebbero contenere codice canaglia deve essere un'area di interesse significativa per qualsiasi soluzione di protezione degli endpoint vincente.
Ci concentriamo su come ogni candidato esegue tale analisi, come vengono riportati i risultati, quali contromisure possono essere prese e quanto facilmente potrebbero essere sconfitti.
Ci assicuriamo inoltre che ogni candidato abbia familiarità con l'attuale panorama delle minacce.
Lo facciamo lanciando un nuovo database di malware noto contro il nostro sistema di test che esegue il client di protezione del candidato.
Finora, non abbiamo testato un sistema che non raccoglie almeno l'80%, e di solito molto di più, di queste varianti di malware conosciute.
Tuttavia, a volte può esserci un ritardo prima che il sistema sia in grado di funzionare ai suoi livelli migliori, il che è importante che i potenziali acquirenti sappiano.
Inoltre, alcuni sistemi si basano sull'attesa fino a quando il software dannoso non viene eseguito prima di contrassegnarlo e quindi mirano solo a ripulire il disordine in seguito.
Altri ancora si affidano ad algoritmi di rilevamento basati su firme puri e ML per individuare le caratteristiche comuni.
Ciascuno di questi approcci, o anche un mix giudizioso, significa un diverso livello di successo e gli acquirenti vogliono sempre che la percentuale rilevata e pulita sia la più alta e il prima possibile.
I nostri test più avanzati stanno cercando di vedere se il sistema può essere penetrato utilizzando il browser o gli exploit di Microsoft Windows, nonché quanto sia facile per un aggressore attivo compromettere il sistema.
Realizziamo la prima parte rilasciando eseguibili dannosi direttamente sul nostro sistema di test per vedere come reagisce il software di protezione degli endpoint.
Abilitiamo anche un sito web fittizio con uno specifico (ed efficace) exploit basato su browser e lo lanciamo anche contro il nostro sistema di test.
Usiamo la password RDP (Remote Desktop Protocol) del sistema di test e presumiamo che sia stata compromessa da un attacco di forza bruta.
Quindi scarica un'ampia varietà di esempi di malware nel sistema tramite RDP.
Questa procedura si basa molto sul framework Metasploit e sul framework Veil 3.1 per generare e codificare gli attacchi.
La velocità con cui il motore di rilevamento prende piede è la metrica fondamentale qui, poiché in natura questi tipi di attacchi possono passare inosservati per un po 'di tempo.
Sebbene abbiamo scoperto che la maggior parte dei sistemi li rileverà durante l'esecuzione, alcuni permetteranno al processo di persistere per un periodo di tempo inquietante.
Il punteggio si basa sulla quantità di danni che possono essere causati mentre il sistema viene compromesso.
Tentiamo inoltre di eliminare documenti, alterare i file di sistema e persino disinstallare o disabilitare il pacchetto antivirus.
Altre caratteristiche chiave
Il potenziale di protezione grezzo è certamente una metrica di acquisto chiave per una soluzione di protezione degli endpoint, ma ci sono altre caratteristiche da considerare.
Per prima cosa, il supporto per i dispositivi mobili era una caratteristica chiave, anche quando abbiamo testato le soluzioni di protezione degli endpoint in hosting lo scorso anno, abbiamo sicuramente scoperto che questa tendenza continua quest'anno.
Assicurarsi che la suite di protezione scelta possa proteggere tutti i dispositivi nella stalla della tua organizzazione può fare la differenza tra dover imparare e pagare per più strumenti ed essere in grado di vedere l'integrità della sicurezza degli endpoint della tua azienda da un unico pannello di controllo.
Le funzionalità mobili da cercare includono non solo gli agenti che possono essere installati su Google Android e Apple iOS, ma anche funzionalità di base per la gestione dei dispositivi mobili (MDM), come la registrazione automatica del dispositivo, l'applicazione dei criteri di crittografia remota e la cancellazione dei dati da remoto del dispositivo.
La gestione delle patch è un altro componente pesante in questo raccolto di prodotti per la protezione.
Molti dei problemi derivanti dal malware si verificano perché il software dannoso ha sfruttato un bug lasciato su un sistema senza patch.
Microsoft Windows è probabilmente il colpevole più spesso citato qui, ma in realtà gli exploit delle patch si verificano su tutti i tipi di sistemi e la tua soluzione di protezione degli endpoint dovrebbe risolvere questo problema, soprattutto ora che Microsoft ha costretto gli utenti ad aggiornare automaticamente le sue patch.
Ciò ha generato un falso senso di sicurezza tra gli utenti che pensano che finché Windows ha i suoi aggiornamenti installati automaticamente, sono al sicuro.
Ma in realtà, innumerevoli altre applicazioni spesso non vengono applicate e i malintenzionati spesso usano uno o più di questi per realizzare lo stesso caos.
Il solo fatto di sapere che la patch esiste è il primo passo per comunicare i pericoli agli imprenditori e consentire un processo di patch che deve includere non solo il download della patch, ma prima il test e solo successivamente la distribuzione.
Essere in grado di distribuire e ripristinare quelle patch da una console Web è qualcosa che nessuna azienda dovrebbe fare a meno, sia che tu lo ottenga come parte della tua soluzione endpoint o come strumento di gestione delle patch separato.
Un'altra abilità chiave, su cui abbiamo dato grande importanza ai nostri test, è la gestione delle politiche.
La possibilità di impostare policy personalizzate su gruppi grandi o piccoli di utenti o dispositivi non è solo uno strumento utile da avere, è praticamente una necessità in un'epoca in cui gli utenti utilizzano comunemente più dispositivi, anche ...
