Gestione dei rischi in tempo reale: protezione intelligente dei tuoi endpoint

Individuare e risolvere le vulnerabilità di sicurezza dell’infrastruttura aziendale può essere un compito arduo per la maggior parte dei team di sicurezza IT. I criminali informatici di oggi sono abili ad individuare le vittime perfette a cui indirizzare email o minacce web-based, così come a sfruttare le vulnerabilità degli endpoint, bypassando i tradizionali meccanismi di sicurezza.

Come può un’organizzazione contrastare efficacemente queste minacce avanzate?

protezione endpointMettere a punto e rispettare strutturate politiche di sicurezza, parallelamente aggiornare puntualmente le patch su endpoint e server, sono attività che fanno parte di un corretto approccio iniziale. Ma nel caso in cui il numero di vulnerabilità identificate su una rete fosse molto elevato, il processo di scansione risulterebbe molto lento e il patching non sarebbe più sufficiente: queste debolezze potrebbero causare pericolose lacune alla sicurezza dell’intera infrastruttura.

I 3 pilastri su cui basare un sistema di sicurezza in grado di proteggere le informazioni aziendali più preziose sono: Persone, Processi e Tecnologia (PPT). Oltre ad essere competenti, ben strutturati e all’avanguardia, occorre che tali pilastri interagiscano senza soluzione di continuità, al fine di massimizzare la rispettiva efficacia. Un solo anello debole può compromettere l’integrità dell’intera soluzione. Per contrastare quindi le minacce, in evoluzione continua e sempre più sofisticate, il PPT di un’organizzazione deve essere in grado di comunicare, prendere decisioni basate sul rischio, interagire e condividere informazioni, in modo strutturato e veloce, per aumentare costantemente l’intelligence dell’intero sistema.

Trovare le vulnerabilità e capirne il contesto, in modo da dirigere gli sforzi di bonifica presso le aree di maggior rischio, sono attività basate sull’analisi di una vastissima quantità di informazioni, che devono necessariamente essere processate in tempo reale. Per ottenere avanzati livelli di sicurezza occorre quindi adottare un approccio integrato, intelligente ed automatizzato, partendo dal server e arrivando fino ai singoli ed eterogenei endpoint.

 

L’obiettivo è quello di proteggere, non solo una porzione di rete, ma l’intera infrastruttura, integrata nel tempo con sistemi sempre nuovi e quindi che presentano criticità di protezione costantemente diverse, costruendo quindi un forte livello di sicurezza generale.

Nello specifico occorre:

  • Conoscere lo stato up-to-the-minute di diversi endpoint
  • Confrontare le informazioni pervenute dai vari endpoint
  • Assegnare maggiore priorità alle vulnerabilità che devono essere risolte per prime
  • Agire rapidamente per porre rimedio – o mitigare – le criticità sui singoli endpoint
  • Condividere l’esito delle azioni correttive

Come si potrebbe garantire un adeguato supporto nell’identificazione dei i punti deboli dei sistemi – software o di rete – sfruttabili dagli aggressori, per poi porre rimedio a tali vulnerabilità, prevenire attacchi, o comunque ridurre al minimo l’impatto sul business?

La parola d’ordine è SIEM

(Security Information and Event Management)

SIEM rappresenta un agente intelligente, in grado di compiere costanti valutazioni, rispetto delle politiche individuate, fornendo le informazioni necessarie per l’analisi della situazione in tempo reale del livello di sicurezza, rispetto agli eventi.

Da una precisa serie di informazioni a disposizione, il team di sicurezza aziendale può, per esempio, attivare applicazioni risiedenti su un server, che per qualche motivo risultano inattive; proteggere con firewall dispositivi che appaiono esposti; applicare patch ad endpoint che presentano vulnerabilità. Questo avviene mediante l’utilizzo di query, sviluppate appositamente per aiutare ad identificare intrusioni, incidenti sospetti o attività dannose. Correlando comportamenti sospetti che provengono sia dall’interno – come ad esempio attività dannose da parte degli utenti – che dall’esterno alla rete, con altri dati sulle minacce, è possibile aggiornare continuamente le priorità di vulnerabilità, in modo da pianificare con estrema cura gli interventi di bonifica.

 

Per rendere la gestione delle vulnerabilità più efficace, le organizzazioni hanno bisogno perciò di un approccio integrato che incorpori sia la protezione degli endpoint, sia il controllo del contesto di rete, sia processo di bonifica. Il team di sicurezza deve essere in grado di adottare rapidamente l’azione di prevenzione/rimedio individuata, rendendo necessari aggiornamenti, in tutti gli endpoint interessati.

Un approccio intelligente, automatizzato e integrato, è in grado di fornire valore strategico, consentendo il consolidamento delle procedure di gestione delle anomalie, nonché un uso più efficiente delle risorse destinate alla sicurezza. Incidenti, tempi di risposta – inclusi i ritardi tra vulnerabilità, esposizione e rilevazione – possono essere semplificati processando le informazioni, raccolte in tempo reale, sullo stato degli endpoint, con sistemi di sicurezza intelligenti in grado di controllare milioni di eventi, in maniera strutturata, attenta e rapida.

In questo modo, le organizzazioni possono adottare un approccio proattivo per il rafforzamento delle loro risorse IT, anche contro le minacce più persistenti, riducendo in modo significativo i rischi.

 

Quadro Security

Alessandro Rani

VM Sistemi – Pre Sales Manager

Related Posts

Pin It on Pinterest