Sophos svela “Le 7 scomode verità dell’Endpoint Security”

Sophos presenta i risultati della sua ricerca dedicata alle 7 scomode verità dell’endpoint security che svela come oggi gli attacchi dei cybercriminali vengano individuati dagli IT manager sempre più spesso a livello di server o rete che non su endpoint o device mobili.

37%: questo il tasso di attacchi rilevati su server o reti mentre solo il 17% viene identificato a livello di endpoint e il 10% su dispostivi mobili.

La ricerca ha coinvolto più di 3.100 decision maker in ambito IT di aziende di medie dimensioni in 12 paesi, e Chester Wisniewski, principal research scientist di Sophos l’ha commentata spiegando che “I server custodiscono informazioni sensibili relative all’azienda, ai suoi dipendenti e ai dati finanziari e le normative sempre più stringenti – come il GDPR – mettono le imprese nella condizione di dover comunicare tempestivamente eventuali attacchi subiti. La sicurezza a livello server e rete ha dunque conosciuto una notevole impennata e resta una priorità assoluta per le aziende. Di conseguenza, gli IT manager dedicano massimo impegno a proteggere queste aree al fine di prevenire il possibile ingresso di attacchi proprio da questi due punti di accesso che diventano inevitabilmente il luogo in cui è più facile individuare e bloccare i cybercriminali. Tuttavia, gli IT manager non devono ignorare gli endpoint perché molti cyber attacchi iniziano proprio lì ed è allarmante notare che troppo spesso ancora non sia possibile identificare come e quando le minacce siano entrate nel sistema”.

Il 20% degli IT manager che nell’ultimo anno sono stati vittime di uno o più attacchi, non sono in grado di identificare come sia avvenuto l’ingresso delle minacce e il 17% non sa per quanto tempo tali pericoli siano stati presenti nel sistema prima di essere rilevati.

Al fine di ovviare a questa mancanza di visibilità, gli IT manager devono avvalersi di soluzioni EDR (Endpoint Detention and Response) in grado di rivelare il punto di partenza della diffusione delle minacce e l’impronta digitale lasciata dai cybercriminali che si muovono lateralmente all’interno di una rete.

“Se i responsabili IT non riescono ad individuare l’origine o il modo in cui si muove un attacco, non saranno in grado di ridurre al minimo i rischi per la sicurezza aziendale ed interrompere la catena di attacco al fine di prevenire ulteriori infiltrazioni pericolose” continua Wisniewski. “L’EDR supporta gli IT manager nell’identificazione del rischio e nella messa a punto di un processo per le aziende che si trovano ad entrambi i lati del Security Maturity Model: nel caso in cui l’IT sia prevalentemente concentrato sul rilevamento, l’EDR potrà supportarlo trovando, bloccando e rimediando ai danni dell’attacco. Se invece l’IT aziendale sta ancora costruendo le fondamenta della sicurezza, l’EDR rappresenterà una componente fondamentale, andando a fornire la Threat Intelligence necessaria”.

Secondo la ricerca Sophos, in media, le aziende che si trovano ad affrontare uno o più attacchi alla propria sicurezza ogni mese, dedicano circa 48 giorno all’anno (circa 4 al mese) per analizzarli.

Non c’è dunque da sorprendersi se gli IT manager hanno indicato l’identificazione di eventi sospetti (per il 27%), la gestione degli alert (per il 18%) e l’assegnazione di priorità agli eventi sospetti (per il 13%) come le tre principali funzionalità che si aspettano di trovare in una soluzione EDR, al fine di ridurre sensibilmente il tempo dedicato ad identificare e contrastare gli alert di sicurezza.

“La maggior parte degli attacchi spray and pray (nei quali l’hacker diffonde una quantità elevata di link infetti destinandoli ad un ampio gruppo di persone, aspettando che alcune di esse cadano in trappola ndr) può essere bloccata in pochi secondi a livello endpoint senza generare alcun allarme. Gli attacchi persistenti, inclusi quelli di tipo ransomware come SamSam, si prendono invece il tempo necessario per bucare un sistema aziendale, individuando ad esempio password o sistemi di accesso remoto (RDP, VNC, VPN…) semplici da bypassare e trovando così il punto d’appoggio dal quale muoversi silenziosamente fino a riuscire a portare a termine l’attacco” spiega Wisniewski “Con la sicurezza approfondita garantita dall’EDR, gli IT manager potranno analizzare molto più rapidamente l’attacco subito e utilizzare i risultati ottenuti attraverso la Threat Intelligence per trovare le infezioni simili all’interno di un sistema. Quando i cybercriminali capiscono che un certo tipo di attacco funziona, tendono a replicarlo all’interno dell’azienda che vogliono colpire. Scoprire e bloccare i modelli di attacco significa dunque ridurre drasticamente i giorni che i responsabili IT devono dedicare allo studio dei potenziali incidenti di sicurezza”.

La ricerca Sophos ha evidenziato altri dati interessanti:

• il 57% degli intervistati ha dichiarato che prevede di implementare una soluzione EDR entro i prossimi 12 mesi.
• Scegliere l’EDR significa colmare una lacuna nelle competenze. L’80% degli intervistati ha ammesso che sarebbe utile avere a disposizione un team più ricco e preparato.

Sophos ha presentato la ricerca in occasione della RSA Conference in San Francisco il 5 e 6 marzo. Per maggiori informazioni sulla partecipazione di Sophos: Sophos.com/spin.