Sophos presenta i risultati della sua ricerca dedicata alle 7 scomode verit\u00e0 dell\u2019endpoint<\/a> security che svela come oggi gli attacchi dei cybercriminali vengano individuati dagli IT manager sempre pi\u00f9 spesso a livello di server o rete che non su endpoint o device mobili.<\/p>\n 37%:<\/strong> questo il tasso di attacchi rilevati su server o reti mentre solo il 17% viene identificato a livello di endpoint e il 10% su dispostivi mobili.<\/p>\n La ricerca ha coinvolto pi\u00f9 di 3.100 decision maker in ambito IT di aziende di medie dimensioni in 12 paesi, e Chester Wisniewski, principal research scientist di Sophos l\u2019ha commentata spiegando che \u201cI server custodiscono informazioni sensibili relative all\u2019azienda, ai suoi dipendenti e ai dati finanziari e le normative sempre pi\u00f9 stringenti \u2013 come il GDPR \u2013 mettono le imprese nella condizione di dover comunicare tempestivamente eventuali attacchi subiti. La sicurezza a livello server e rete ha dunque conosciuto una notevole impennata e resta una priorit\u00e0 assoluta per le aziende. Di conseguenza, gli IT manager dedicano massimo impegno a proteggere queste aree al fine di prevenire il possibile ingresso di attacchi proprio da questi due punti di accesso che diventano inevitabilmente il luogo in cui \u00e8 pi\u00f9 facile individuare e bloccare i cybercriminali. Tuttavia, gli IT manager non devono ignorare gli endpoint perch\u00e9 molti cyber attacchi iniziano proprio l\u00ec ed \u00e8 allarmante notare che troppo spesso ancora non sia possibile identificare come e quando le minacce siano entrate nel sistema<\/em>\u201d.<\/p>\n Il 20% degli IT manager che nell\u2019ultimo anno sono stati vittime di uno o pi\u00f9 attacchi, non sono in grado di identificare come sia avvenuto l\u2019ingresso delle minacce e il 17% non sa per quanto tempo tali pericoli siano stati presenti nel sistema prima di essere rilevati.<\/p>\n Al fine di ovviare a questa mancanza di visibilit\u00e0, gli IT manager devono avvalersi di soluzioni EDR (Endpoint Detention and Response) in grado di rivelare il punto di partenza della diffusione delle minacce e l\u2019impronta digitale lasciata dai cybercriminali che si muovono lateralmente all\u2019interno di una rete.<\/p>\n \u201cSe i responsabili IT non riescono ad individuare l\u2019origine o il modo in cui si muove un attacco, non saranno in grado di ridurre al minimo i rischi per la sicurezza aziendale ed interrompere la catena di attacco al fine di prevenire ulteriori infiltrazioni pericolose<\/em>\u201d continua Wisniewski. \u201cL\u2019EDR supporta gli IT manager nell\u2019identificazione del rischio e nella messa a punto di un processo per le aziende che si trovano ad entrambi i lati del Security Maturity Model: <\/strong>nel caso in cui l\u2019IT sia prevalentemente concentrato sul rilevamento, l\u2019EDR potr\u00e0 supportarlo trovando, bloccando e rimediando ai danni dell\u2019attacco. Se invece l\u2019IT aziendale sta ancora costruendo le fondamenta della sicurezza, l\u2019EDR rappresenter\u00e0 una componente fondamentale, andando a fornire la Threat Intelligence necessaria<\/em>\u201d.<\/p>\n Secondo la ricerca Sophos, in media, le aziende che si trovano ad affrontare uno o pi\u00f9 attacchi alla propria sicurezza ogni mese, dedicano circa 48 giorno all\u2019anno (circa 4 al mese)<\/strong> per analizzarli.<\/p>\n Non c\u2019\u00e8 dunque da sorprendersi se gli IT manager hanno indicato l\u2019identificazione di eventi sospetti (per il 27%), la gestione degli alert (per il 18%) e l\u2019assegnazione di priorit\u00e0 agli eventi sospetti (per il 13%) come le tre principali funzionalit\u00e0 che si aspettano di trovare in una soluzione EDR, al fine di ridurre sensibilmente il tempo dedicato ad identificare e contrastare gli alert di sicurezza.<\/p>\n \u201cLa maggior parte degli attacchi spray and pray (nei quali l\u2019hacker diffonde una quantit\u00e0 elevata di link infetti destinandoli ad un ampio gruppo di persone, aspettando che alcune di esse cadano in trappola ndr) pu\u00f2 essere bloccata in pochi secondi a livello endpoint senza generare alcun allarme. Gli attacchi persistenti, inclusi quelli di tipo ransomware come SamSam, si prendono invece il tempo necessario per bucare un sistema aziendale, individuando ad esempio password o sistemi di accesso remoto (RDP, VNC, VPN\u2026) semplici da bypassare e trovando cos\u00ec il punto d\u2019appoggio dal quale muoversi silenziosamente fino a riuscire a portare a termine l\u2019attacco<\/em>\u201d spiega Wisniewski \u201cCon la sicurezza approfondita garantita dall\u2019EDR, gli IT manager potranno analizzare molto pi\u00f9 rapidamente l\u2019attacco subito e utilizzare i risultati ottenuti attraverso la Threat Intelligence per trovare le infezioni simili all\u2019interno di un sistema. Quando i cybercriminali capiscono che un certo tipo di attacco funziona, tendono a replicarlo all\u2019interno dell\u2019azienda che vogliono colpire. Scoprire e bloccare i modelli di attacco significa dunque ridurre drasticamente i giorni che i responsabili IT devono dedicare allo studio dei potenziali incidenti di sicurezza<\/em>\u201d.<\/p>\n La ricerca Sophos ha evidenziato altri dati interessanti:<\/p>\n Sophos ha presentato la ricerca in occasione della RSA Conference in San Francisco il 5 e 6 marzo. Per maggiori informazioni sulla partecipazione di Sophos: Sophos.com\/spin<\/a>.<\/p>\n<\/p><\/div>\n\n
![](\"https:\/\/sophos.files.wordpress.com\/2019\/03\/7-truths.jpg\"\/)
<\/p>\n