Considerazioni per Aumentare la Protezione Antivirus sull’ Endpoint

Quando si decide in che modo aumentare la protezione AV di base sull’ endpoint, è necessario comprendere i vantaggi e le caratteristiche operative di ciascun approccio che si sta considerando. Ecco alcune linee guida.

Consapevoli del fatto che gli strumenti antivirus non sono infallibili, le imprese aumentano tali protezioni attraverso altri controlli di sicurezza. Le opzioni per la copertura del gap AV sull’ endpoint includono una seconda soluzione antivirus, la mitigazione degli exploit, l’isolamento/contenimento dell’applicazione dannosa, il controllo/whitelisting del software malevolo e la lotta contro l’elusione dei propri sistemi. Come possono le imprese valutare l’adeguatezza di tali misure di salvaguardia e scegliere gli approcci più adatti al loro ambiente? Diamo un’occhiata.

Evitare di replicare funzionalità esistenti

Sebbene il concetto di difesa “in profondità” sia di grande valore per le aziende, è difficile giustificare l’impiego di più tecnologie di sicurezza che si sovrappongono in modo significativo alle reciproche capacità. È necessario quindi rivedere le funzionalità di sicurezza offerte dal sistema operativo e dalla piattaforma di protezione degli endpoint di base (EPP). Bisogna dunque comprendere i punti di forza e le debolezze di questi approcci, aggiungere livelli di sicurezza che introducano vantaggi significativi, senza però replicare le funzionalità esistenti.

Ad esempio, se si sta considerando la possibilità di aggiungere un secondo agente Antivirus, urge il bisogno di verificare che l’approccio fornito dal nuovo strumento si distingua davvero dalle funzionalità fornite dal software Antivirus di base. Le capacità fondamentali della maggior parte delle soluzioni antivirus consistono nel decidere se consentire o meno l’esecuzione di un programma in base alla somiglianza con il malware visto in precedenza. Anche se possono differire negli algoritmi che impiegano per prendere le proprie decisioni, tutti i software AV sono assoggettati ai limiti del rilevamento di malware basati sulla conoscenza preliminare di modelli dannosi.

Allo stesso modo, le capacità di mitigazione di un exploit sono sempre più incorporate da Microsoft nel nucleo stesso di Windows 10. Le soluzioni EPP offrono ulteriori capacità di mitigazione, al fine di rafforzare la capacità del sistema di resistere agli attacchi che sfruttano le vulnerabilità non identificate. Con questi strati in posizione, potrebbe essere difficile giustificare l’aggiunta di un livello la cui proposta è basata sulla medesima mitigazione di exploit, si potrebbe raggiungere rapidamente il punto di diminuzione dei propri ritorni.

Comprendere le Responsabilità del Proprio Personale

Alcuni approcci alla sicurezza degli endpoint sono più onerosi di altri. Capire quali compiti il vostro staff dovrà svolgere per impostare la soluzione non è necessario solo inizialmente, ma è fondamentale anche per assicurarne l’efficacia su base continuativa. Oltre alla messa a punto della configurazione dello strumento, il vostro personale deve essere pronto a gestire qualsiasi evoluzione derivante dai falsi positivi del prodotto o da altri problemi che potrebbero compromettere le attività aziendali.

Per esempio, quando si distribuisce una soluzione di isolamento di un’applicazione, che a sua volta contiene applicativi in un ambiente ristretto, sarà necessario definire i percorsi attraverso i quali l’applicazione potrà interagire sulle risorse aziendali. Una configurazione eccessivamente ambiziosa potrebbe interferire con le normali attività dell’utente. D’ altro canto, restrizioni eccessivamente permissive, andrebbero a indebolire la capacità della tecnologia di prevenire le infezioni. Per raggiungere il giusto equilibrio, non è necessario solo uno sforzo iniziale, ma anche una sorveglianza continua per tenere il passo con gli aggiornamenti delle applicazioni, le nuove posizioni degli asset e l’evolversi delle esigenze aziendali.

Allo stesso modo, le soluzioni di controllo delle applicazioni richiedono un notevole investimento di tempo per poter costruire e preservare la whitelist dei programmi autorizzati e mantenerla in esecuzione sull’ endpoint. Senza una whitelist ben definita, l’efficacia di questo approccio per garantire la sicurezza degli endpoint è drasticamente ridotta. Quando ci si prepara a distribuire l’applicazione in whitelist, bisogna essere pronti a gestire rapidamente le richieste, anche urgenti, da parte degli utenti, così da poter autorizzare l’elenco dei programmi di cui hanno necessità. Come nel caso dell’isolamento delle applicazioni, è difficile raggiungere il perfetto equilibrio tra un sistema di bloccaggio e la necessità di supportare i requisiti aziendali.

Valutare l’Impatto sulle Prestazioni del Sistema

Non è sufficiente che la tecnologia di protezione degli endpoint offra vantaggi significativi in termini di sicurezza: è necessario che questo obiettivo venga raggiunto in modo da non causare alcun indebito stress sulle prestazioni del sistema. Ciò è particolarmente importante in presenza di uno strumento che aumenta la funzionalità Antivirus di base, software che già di per sé consuma risorse. È quindi d’obbligo valutare l’effetto che il livello di sicurezza aggiuntivo esercita sulle prestazioni del sistema, in una configurazione coerente con lo scenario di distribuzione previsto. Perciò, assicuratevi di tenere in considerazione sia i sistemi moderni, che quelli obsoleti e preesistenti.

Degli effetti negativi sulle prestazioni vengono spesso osservati per quanto riguarda gli strumenti di sicurezza impiegati nella scansione di file e processi, che spesso richiedono un’intensa attività della CPU e della memoria. Allo stesso modo, l’architettura di alcuni prodotti di isolamento delle applicazioni porta ad un sovraccarico delle prestazioni dovuto alla latenza della rete o all’ introspezione dell’attività locale. Talvolta, l’introduzione di uno strumento ad alta intensità di risorse comporta lo spegnimento di alcune delle sue capacità, il che compromette l’efficacia della soluzione nel salvaguardare l’endpoint.

Domande da Porsi Prima di Prendere in Considerazione una Soluzione di Sicurezza degli Endpoint

Quando si decide se e come incrementare la protezione antivirus di base, bisognerebbe porsi e trovare una risposta alle seguenti domande, relative ai benefici offerti dalla soluzione in termini di sicurezza e delle caratteristiche operative reali:

  • È efficace contro le minacce che aggirano i miei controlli esistenti?
  • Come cambia la sua efficacia di fronte alle minacce in evoluzione?
  • Si integra con il flusso di lavoro e gli strumenti attuali?
  • È compatibile con i sistemi già esistenti e lo sarà con quelli futuri?
  • Quant’è la riduzione delle prestazioni effettuata sull’ endpoint?
  • Quanto è oneroso il lavoro di impostazione iniziale?
  • Come vengono svolti i lavori di manutenzione?

La piattaforma antievasione di Minerva è stata progettata pensando a tutte queste questioni, in modo da migliorare drasticamente la sua capacità di bloccare gli attacchi che aggirano gli altri controlli di sicurezza,senza assumere oneri operativi e senza ottenere sovrapposizioni con le misure di sicurezza già esistenti. Offre un modo efficace e pratico per aumentare la protezione fornita dall’ antivirus di base sull’ endpoint, prevenendo che i malware abusino delle caratteristiche del suo ambiente, per riuscire così a eludere gli strumenti di sicurezza. Per discuterne più approfonditamente e vedere l’approccio appena accennato in azione, vi preghiamo di contattarci.

Per ulteriori riflessioni sui metodi con cui le aziende coprono il divario che le soluzioni Antivirus lasciano sugli endpoint, ascoltate il seguente webinar: Covering the AV Gap: Anti-Evasion and Other Approaches (Copertura del divario AV: Anti-Evasione e Ulteriori approcci).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *