Le minacce si sono evolute considerevolmente negli ultimi due anni, sia in termini di complessità che di numeri, consentendo agli attori delle minacce di evitare le tradizionali difese di sicurezza e penetrare nelle infrastrutture e nelle organizzazioni. Motivati ​​da guadagni finanziari o punti di vista politici, i cybercriminali non sono più singoli individui in cerca di auto-glorificazione, ma gruppi cybercriminali molto competenti, altamente finanziati e che a volte fungono da società di outsourcing software che offrono servizi al miglior offerente.

Il divario tra sicurezza tradizionale e cybercriminali è in costante espansione. Solo attraverso i livelli di sicurezza di nuova generazione e di nuova generazione l'industria della sicurezza informatica può superare queste sfide e non solo bloccare le minacce, ma anche concentrarsi sulla prevenzione, l'investigazione e la risposta ad esse. Mentre gli strumenti tradizionali di sicurezza informatica si concentravano sulla prevenzione delle minacce note, la piattaforma di protezione di nuova generazione è incentrata sul monitoraggio continuo dei segnali di attività sospette associate a minacce avanzate, offrendo gli strumenti necessari per condurre un'indagine forense che può aiutare a identificare potenziali errori di sicurezza nella vostra infrastruttura, ed essendo specificamente costruito e ottimizzato anche per la virtualizzazione.

  • Abbiamo anche evidenziato il miglior antivirus

La digitalizzazione perseguitata dal passato

La potenza della digitalizzazione e del cloud è stata alimentata dalla virtualizzazione e dalla capacità di condividere risorse fisiche (informatica, networking e storage) su più carichi di lavoro virtuali. Mentre questo porta gli enormi benefici di minori costi operativi, agilità e scalabilità, sono emerse nuove sfide per la sicurezza che le tradizionali soluzioni di sicurezza non sono state create per gestire.

Ad esempio, poiché i carichi di lavoro virtuali hanno una quantità limitata di risorse, si sono dimostrate soluzioni di sicurezza tradizionali “pesante” e ad alta intensità di risorse, negando tutti i vantaggi che la virtualizzazione avrebbe dovuto portare avanti. Uno dei maggiori problemi incontrati dalle soluzioni di sicurezza tradizionali negli ambienti virtuali è stato il problema di “Tempeste AV”. Ciò è avvenuto quando tutte le soluzioni di sicurezza avrebbero iniziato a eseguire gli aggiornamenti o le scansioni dei carichi di lavoro virtuali in una volta, rendendoli effettivamente inutilizzabili durante l'intero processo.

Mentre la digitalizzazione ha introdotto un nuovo livello di visibilità, controllo e gestione sugli endpoint virtuali, le soluzioni di sicurezza tradizionali non sono mai state progettate per essere gestite centralmente dai team IT e di sicurezza. Sono stati progettati semplicemente con una mentalità install-and-forget, lasciando gli esperti di sicurezza al buio per quanto riguarda la loro efficacia all'interno dell'infrastruttura. Ciò significava che una violazione dei dati o un'infezione poteva verificarsi facilmente su uno o più endpoint all'interno dell'organizzazione, ei team IT e di sicurezza non avrebbero avuto modo di saperlo a meno che non diventassero di disturbo o che i sistemi interessati diventassero del tutto inutilizzabili.

La sicurezza consente la digitalizzazione

La sicurezza che consente la digitalizzazione deve essere costruita da zero per supportare gli stessi vantaggi offerti dal cloud e dalla virtualizzazione: agilità, prestazioni e scalabilità. Di conseguenza, indipendentemente dal fatto che le infrastrutture avessero endpoint fisici o virtuali, la piattaforma di protezione di nuova generazione avrebbe dovuto adattarsi automaticamente a quegli ambienti, a diversi sistemi operativi e tecnologie hypervisor, al fine di coprire l'intera infrastruttura con le stesse funzionalità di sicurezza senza compromettere prestazione.

Con le minacce sempre più sofisticate e sfruttando tutto, dalle vulnerabilità zero-day al malware senza file e alle armi informatiche di livello militare, una soluzione di sicurezza di prossima generazione deve garantire la riduzione della superficie degli attacchi consentendo ai team IT e di sicurezza di controllare strettamente le applicazioni, il tipo di contenuto essendo accesso da parte dei dipendenti e persino la possibilità di applicare patch alle vulnerabilità critiche applicando gli aggiornamenti e le correzioni di sicurezza più recenti.

Mentre la sicurezza tradizionale si concentra sul rilevamento delle minacce mentre vengono eseguite, rilevarle durante la pre-esecuzione tramite algoritmi di apprendimento automatico, ispezione del processo e persino analisi sandbox è obbligatoria quando si difendono le organizzazioni da minacce avanzate e sofisticate.

Il vantaggio principale di una piattaforma di protezione di nuova generazione è che dovrebbe avere un approccio a più livelli verso la sicurezza, consentendo l'indurimento e il controllo, il rilevamento pre-esecuzione, il rilevamento in esecuzione e post-esecuzione, le azioni automatiche, le capacità di indagine e risposta e anche reporting e alerting, tutti insieme per aumentare la postura generale della sicurezza informatica offrendo al tempo stesso una maggiore visibilità sulle minacce, attraverso l'intera infrastruttura.

Concentrandosi sulla prevenzione non rilevamento

Sono state create soluzioni di sicurezza tradizionali per rilevare minacce, sia note che sconosciute, ma non per prevenirle. Le piattaforme di protezione di nuova generazione hanno livelli aggiuntivi che includono tempra e controllo, per esempio. Questo livello di prevenzione ha il compito di consentire ai team IT e di sicurezza di applicare patch a software obsoleti, crittografare i dati memorizzati sugli endpoint, impedire l'accesso a dispositivi di archiviazione esterni non autorizzati, rilevare phishing e siti Web fraudolenti e persino controllare quali applicazioni dovrebbero o non dovrebbero essere installate sugli endpoint. Poiché questi sono i vettori di attacco più comuni utilizzati dagli attori delle minacce, questo livello di prevenzione è unico per le piattaforme di protezione degli endpoint di nuova generazione.

Nuove leggi e normative, come GDPR, richiedono alle organizzazioni di predisporre le capacità tecniche per indagare sulle potenziali violazioni della sicurezza e segnalarle ai clienti entro 72 ore. Le capacità di investigazione e risposta integrate nella stessa piattaforma di protezione degli endpoint consentono all'IT di fare molto più che mettere in quarantena, disinfettare, rimuovere o eseguire il rollback delle modifiche apportate dal malware, isolando anche reti potenzialmente compromesse, facendo detonare file potenzialmente sospetti in ambienti controllati e visualizza anche l'intera sequenza temporale degli eventi che portano a un'infezione, a partire dal secondo in cui ha raggiunto l'organizzazione.

Le piattaforme di protezione degli endpoint di nuova generazione sono più di semplici soluzioni di sicurezza tradizionali: hanno livelli di sicurezza aggiuntivi e funzionalità EDR (Endpoint Detection and Response). Con una facilità di gestione e visibilità che guida queste funzionalità, le organizzazioni possono agire immediatamente contro minacce nuove e sconosciute, prima che si trasformino in violazioni di dati in piena regola.

Liviu Arsene, analista e-Threat Senior presso Bitdefender

  • Queste sono le migliori suite di sicurezza Internet del 2018