Vendor Spotlight Template
Transcript
Vendor Spotlight Template
I D C T E C H N O L O G Y S P O T L I G H T Integrazione e Controllo degli Endpoint Gennaio 2013 Questo documento è ripreso da: Western Europe Security Software Forecast, 2012-2016, di Kevin Bailey, IDC # IS01U, e SMB Security Competitive Best Practices Key Performance Attributes, di Charles Kolodgy e Raymond Boggs; IDC # 233439 Sponsorizzato da Kaspersky Lab Il presente Technology Spotlight esplora i vantaggi offerti alle organizzazioni dalle piattaforme di sicurezza integrate degli endpoint dotate di gestione centralizzata. Inoltre, esamina il ruolo di Kaspersky Endpoint Security for Business nel soddisfare le esigenze legate al mondo della sicurezza IT quali la semplicità di utilizzo, l’efficacia e la redditività del capitale investito in un mercato strategicamente importante per la sicurezza degli endpoint. Introduzione Le organizzazioni di qualsiasi dimensione fanno fatica a stare al passo con uno scenario di minacce in costante evoluzione e, allo stesso tempo, a controllare una gamma sempre più ampia di dispositivi, software, applicazioni, hardware e diversi profili utente. Come messo in evidenza da molti osservatori, le informazioni sono il nuovo petrolio, hanno un grande valore a livello aziendale ma spesso vengono date per scontate. Organizzazioni di qualsiasi dimensione hanno acquisito familiarità con i processi di archiviazione di terabyte e petabyte di dati, sia in data mart e data warehouse strutturati o presenti all'interno di blog, video, pagine Web e altri documenti. Indipendentemente dal contenitore dei dati, gli utenti finali si aspettano, in misura sempre maggiore, di poter accedere alle informazioni in tempo reale. E, analogamente a quanto avviene con il petrolio, le informazioni vanno controllate rigidamente per evitare brutte sorprese. Una piccola perdita può causare danni considerevoli. IDC continua ad incoraggiare i fornitori di IT ad offrire piattaforme endpoint autentiche, integrate, intuitive e gestite in modo centralizzato. Piattaforme come queste non solo aiutano le organizzazioni a tenere il passo con uno scenario IT in constante evoluzione, ma consentono anche di proteggere disponibilità commerciale, proprietà intellettuale, informazioni personali dei clienti, reputazione del marchio e fidelizzazione dei clienti. La complessità degli attacchi La protezione della sicurezza degli endpoint ha avuto inizio negli anni '80, quando attacchi di virus informatici come il Vienna furono lanciati per la prima volta contro i computer. Questi primi virus si basavano principalmente sull'auto-riproduzione e raramente contenevano codici nocivi studiati per distruggere i sistemi o rubare informazioni. Con la diffusione di nuovi virus e malware piú insidiosi, numerosi programmatori e sviluppatori hanno iniziato a formare alleanze e gruppi di discussione mirati al miglioramento dei processi di rilevamento e riduzione delle minacce. Tra le prime iniziative, segnaliamo una mailing list denominata VIRUS L, di cui Eugene Kaspersky è stato tra i membri fondatori. IDC 1419 Gli sviluppatori di virus del passato si sono evoluti nei moderni "hacktivist" o cybercriminali, capaci di creare malware altamente mirati e progettati per attaccare le reti aziendali e e applicazioni ad esse connesse, proprio laddove esse sono piú vulnerabili. I moderni cybercriminali sfruttano appieno la connettività avanzata oggi disponibile e la crescente disponibilità di informazioni che da questa deriva. Le minacce moderne sono in costante evoluzione per garantire profitti sempre maggiori ai criminali e causare danni sempre più ingenti alle aziende interessate (vedi tabella 1). Analizziamo qualche esempio: Dal phishing allo spear phishing: questi malware prendono di mira individui specifici invece di colpire l'intera organizzazione. Dai trojan al ransomware: i criminali minacciano di attivare il codice nocivo incorporato nei trojan o di utilizzare strumenti di "scareware" per estorcere denaro a utenti finali e aziende. Dal malware per PC al malware mobile: la crescita esponenziale nel settore dei dispositivi smart ha portato alla creazione di nuove tipologie di malware studiate per sfruttare le falle nei sistemi operativi e nelle applicazioni mobili. L'incremento dell'utilizzo degli smartphone sul posto di lavoro, unitamente alla capacità di questi dispositivi di accedere a reti aziendali e informazioni sensibili, ha offerto ai criminali l'opportunità di accedere a nuovi flussi di denaro oltre alla possibilità di causare interruzioni alle operazioni aziendali. Tabella 1 Dinamiche degli attacchi cibernetici attraverso diversi segmenti di mercato: Viruses, Worms, Trojans Malware Botnets Attacchi legati al Web Furto di dispositivi Malicious Insiders (informatori nocivi) Phishing & Social Engineering Denial of Service (DDoS) Il 100% dei mercati è stato e continuerà a essere bersaglio di attacchi in tempo reale, "zero day" e APT (Advanced Persistent Threats) avanzati Gli attacchi verso Android sono triplicati nei primi 6 mesi del 2012. Gli impenetrabili computer Mac (Apple) sono stati colpiti nei primi mesi del 2012 con centinaia di migliaia di "vittime" 9 milioni di PC sono stati colpiti dal botnet ZeroAccess, principalmente negli Stati Uniti, ma non solo Download indesiderati superano i firewall per infettare gli utenti Web nascondendo malware per attacchi futuri ID del dispositivo, codici postali, numeri di telefono, indirizzi, nomi utente e tipi di dispositivo sono esempi di dati regolarmente presi di mira dalle attività criminali Fanno riferimento a organizzazioni criminali strutturate e/o interne per attività di estrazione, modifica e fornitura di false credenziali. Oltre il 71% degli attacchi si verifica durante il normale orario di lavoro. Sfruttamento della fusione in costante crescita tra aziende e social network: LinkedIn, Facebook, Chatter, Yammer, ecc. . Nessuno è al sicuro: i siti Web HSBC sono stati colpiti nell'ottobre 2012; Wikileaks nell'agosto 2012; questa minaccia si sta trasformando in TDoS alle telecomunicazioni. Inoltre, ricatti ed estorsioni anticipano un attacco pianificato. Fonte: IDC, BGR, Wired, Computer Economics, Carnegie Mellon, InfoSecurity La diversità delle minacce illustrate spiega la ridotta efficacia della sicurezza degli endpoint. Le minacce moderne, che combinano più vettori di attacco, richiedono soluzioni integrate in grado di risolvere le vulnerabilità di dispositivi, Web ed e-mail. Molti responsabili della sicurezza cercano di affrontare la situazione utilizzando più soluzioni mirate a fronte di uno stress eccessivo sulle risorse per le operazioni di manutenzione e monitoraggio. Questa risposta incoraggia un approccio reattivo alla sicurezza e aumenta il tempo che deve essere dedicato allo sviluppo e all'implementazione di 2 ©2012 IDC criteri individuali per ogni soluzione. Tempo che invece potrebbe essere dedicato all'ottimizzazione dell'esperienza dei clienti, allo sviluppo di progetti più redditizi dal punto di vista commerciale e all'adozione di un approccio alla sicurezza più proattivo. Oltre ai tradizionali vettori di attacco quali Web ed e-mail, i cybercriminali adesso esaminano le organizzazioni alla ricerca dei loro principali punti di vulnerabilità nei sistemi operativi, applicazioni, sistemi hardware e software e connettività esterne alle reti aziendali. Le minacce informatiche sono aumentate da una al giorno a una al second; IDC ritiene quindi che, senza una fusione intelligente tra sicurezza e funzionalità di gestione dei sistemi, le organizzazioni saranno vulnerabili ad attacchi nascosti che potrebbero restare dormienti o essere utilizzati da criminali occasionali o coordinati. La diversità delle offerte di protezione della sicurezza La portata e l'intensità degli attacchi offre ai fornitori maggiori opportunità di introdurre sul mercato prodotti per la sicurezza in grado di mitigare in modo reattivo lo sfruttamento del malware esterno e interno e le violazioni dei dati. La tabella 2 identifica l'ampiezza delle categorie di sicurezza avanzata che i fornitori devono prendere in considerazione per aiutare le organizzazioni a migliorare il proprio approccio alla sicurezza. Questo scenario risulta ulteriormente complicato dall'introduzione di modelli di erogazione come la virtualizzazione, il Software as a Service (SaaS), il cloud e altri modelli di fornitura di servizi informatici „‟on-premise‟ , nonché le recent strategie di ottimizzazione del budget. Tabella 2 Categorie di sicurezza per sotto-funzione AntiMalware Network Web Prevenzione della perdita di dati Crittografia Firewall Controllo dei dispositivi Gestione delle appicazioni Gestione delle Patch Gestione dei dispositivi mobili Gestione delle vulnerabilità Collaborazione Storage Virtualizzazione Gestione della sicurezza Email Gestione delle policy Fornitura dei sistemi Ciascuna delle categorie di sicurezza subfunzionali illustrate nella tabella 2 rafforza l'approccio alla sicurezza dell'organizzazione ma, se le stesse categorie vengono considerate come soluzioni individuali, in realtà non fanno altro che aumentare le risorse e l'impegno richiesti ai responsabili della sicurezza. Quando vengono implementati singolarmente, questi prodotti richiedono quanto segue: Più implementazioni iniziali Più implementazioni degli aggiornamenti Più set di competenze Più sistemi di gestione ©2012 IDC 3 Più motori per i criteri Più processi di scansione Più mappature di profili La complessità non è solo nemica della sicurezza, ma inibisce anche la capacità delle organizzazioni di adottare un atteggiamento più agile e proattivo, capace di supportare una forza lavoro sempre più mobile continuando a proteggere le risorse (dispositivi, dati e persone) da attacchi o esposizione a danni finanziari o di immagine. I responsabili della sicurezza non sono infallibili e devono costantemente aumentare le proprie competenze per semplificare la gestione di più sistemi operativi con piccole differenze, criteri eterogenei che utilizzano tabelle di prioritizzazione differenti e tempi insufficienti per la correzione di più vulnerabilità continuando, inoltre, a mantenere una topologia gestibile dell'intera architettura informatica. Endpoint: dalle soluzioni e le suites alle piattaforme Secondo IDC, la sicurezza degli endpoint è sempre stata la linea finale di difesa contro malware e altre minacce. Oggi, con l'aumento della mobilità dei dipendenti, le soluzioni di sicurezza degli endpoint sono la principale linea di difesa. Le organizzazioni devono combinare prodotti, persone e processi in modo efficace per risolvere le complesse problematiche di sicurezza incontrate. Quando analizzano un nuovo prodotto, devono riuscire a stabilire se si tratta di una piattaforma autentica invece di un'offerta di più prodotti "in confezione unica" e denominata "soluzione" o "suite". Nella terminologia IT, una "soluzione" è da sempre considerata scetticamente come un modo per combinare più prodotti e servizi di consulenza o prodotti e servizi che richiedono un elevato utilizzo di risorse per risolvere un problema noto. La preoccupazione di fondo in ogni soluzione sta nel fatto che consulenti di terze parti vengono impiegati per risolvere il problema e alla fine del progetto vanno via, per poi essere richiamati al verificarsi di altri problemi (spesso correlati), a causa della mancanza di formazione impartita a tecnici e specialisti della sicurezza presenti all'interno dell'organizzazione. Solitamente, una "suite" combina un certo numero di prodotti raggruppati da un unico SKU e studiati per risolvere una specifica categoria di problemi tra i quali spiccano la gestione della sicurezza, la protezione degli endpoint e la sicurezza mobile. Le suite vengono commercializzate come lo strumento per promuovere una semplificazione della strategia IT e forniscono un'offerta completa per ogni specifica categoria di prodotti. L‟inadeguatezza intrinseca di una suite deriva dal fatto che, di solito, si tratta semplicemente di una combinazione di prodotti priva di controllo centralizzato; una suite non dispone di un'architettura intelligente completamente integrata. Le soluzioni basate su piattaforma e completamente integrate ottimizzano ogni componente funzionale minimizzando, al contempo, l'intensità di utilizzo delle risorse. Le architetture della piattaforma garantiscono comunicazione, applicazione dei criteri e longevità del prodotto. IDC ritiene che i fornitori di prodotti di sicurezza dovrebbero sviluppare attivamente una piattaforma di sicurezza degli endpoint per differenziarsi dal concetto tradizionale di "soluzione" o "suite" incoraggiando, al contempo, le organizzazioni a ottenere i seguenti vantaggi: Architettura a codice singolo per la riduzione di emulazione, traduzione o creazione di bridge tra gruppi di codici Gestione unica dei criteri definita per tutte le funzioni della piattaforma 4 ©2012 IDC Controllo unico della gestione della copertura della sicurezza degli endpoint su tutti i dispositivi in uso (attualmente e in futuro) Console unica e unificata per eseguire, monitorare e correggere l'approccio alla sicurezza desiderato La disposizione, la gestibilità e un'architettura unificata sono fattori essenziali da prendere in considerazione quando si implementano sistemi complessi, siano questi integrati o per associazione. Pertanto, i fornitori dovrebbero prendere in considerazione l'inclusione di opzioni quali: Procedure guidate automatizzate al fine di creare un sistema “chiavi in mano” per gli utenti finali e consentire di realizzare un ritorno immediato sugli investimenti. Opzioni ottimizzate di personalizzazione e configurazione in grado di reagire e adattarsi alle esigenze interne esclusive degli utenti oltre che a minacce provenienti dall'esterno/ IDC ritiene che i vantaggi ottenuti dall'abbinamento di una piattaforma di sicurezza degli endpoint e una rapida implementazione consentono alle piccole imprese di raggiungere gli alti livelli di protezione generalmente associati alle risorse e ai budget di grandi aziende. I vantaggi di una “Endpoint Platform Architecture” Un'architettura a piattaforma degli endpoint unisce sicurezza e funzioni di gestione dei sistemi centralizzate. Questo approccio offre una struttura capace di rispondere a minacce in costante evoluzione oltre che alle fluttuazioni interne di personale, commercializzazione e tecnologie. Qualsiasi piattaforma dovrebbe essere in grado di fornire alle organizzazioni una codifica programmatica comune, ma anche incoraggiare l'utilizzo di API per la connessione verso o da architetture collaborative di sicurezza (e non). Un'architettura degli endpoint basata su una specificamente incentrata sulle minacce APT (Advanced Persistent Threats) e sulle ottimizzazioni della tecnologia dovrebbe inoltre garantire i seguenti vantaggi: Rilevamento del malware. I cybercriminali stanno sviluppando malware sempre più complessi per attaccare dispositivi, applicazioni e siti Web. Insieme ad altri metodi, i criminali utilizzano un codice polimorfico/paramorfico in grado di compilare informazioni sul bersaglio prima di sovrascrivere i file di avvio al fine di evitare il riavvio del sistema. Un'architettura a piattaforma singola può identificare il flusso e la presenza di codice in dispositivi, aziende o relativi paesi utilizzando comuni tecniche di rilevamento euristiche, comportamentali, di whitelisting e reputazione al fine di limitare lo sfruttamento dei dati. Gestione dei dispositivi. Con il crescente aumento di iniziative BYOD all'interno di organizzazioni di tutte le dimensioni, un'architettura a piattaforma singola garantisce l'applicazione di standard di sicurezza comuni a dispositivi di proprietà dell'azienda e dell'utente. Monitoraggio delle risorse. I dati aziendali sono una risorsa preziosa e un obiettivo allettante per i criminali. La capacità di monitorare i dati in uso, in transito e archiviati consente alle organizzazioni di mantenere il controllo completo sui dati stessi (compresi posizione, tempi e modalità di utilizzo). Il cosiddetto „‟Social engineering”, l‟ingenuità degli utenti, la perdita o il furto di dispositivi e lo scambio di informazioni sono solo alcuni dei rischi per i dati aziendali. Solo un'architettura a piattaforma integrata può supportare un sistema di gestione del controllo centralizzato e capace di garantire i processi di sicurezza fondamentali tra cui applicazione dei criteri, crittografia (automatizzata e ondemand) e separazione dei dati aziendali e personali. ©2012 IDC 5 Analisi di Kaspersky Endpoint Security for Business Kaspersky Endpoint Security for Business consente ai responsabili IT di visualizzare, controllare e proteggere gli ambienti IT mediante l'utilizzo di strumenti e tecnologie all'interno di un'architettura a livelli non frammentata. Kaspersky Endpoint Security for Business si basa su codici di base comuni nell‟ambito di modelli di erogazione di servizi in sede e tramite cloud. Le principali funzioni includono: Protezione progressiva su endpoint, Web, file server, dispositivi mobili e dispositivi e applicazioni virtuali con possibilità di gestire le modifiche all'architettura IT e la diversità commerciale. Crittografia a livello di disco intero (FDE) o di file (FLE), organicamente integrata nelle tecnologie anti-malware di Kaspersky che utilizzano AES 256. Sicurezza per i dispositivi mobili più ampia rispetto alle funzionalità Mobile Device Management (MDM) di base al fine di offrire containerizzazione di dati e applicazioni, provisioning OTA (Overthe-Air) e blocco del dispositivo in remoto. Sicurezza per posta e gateway Web, protezione di Microsoft Exchange, Lotus Notes/Domino, Sendmail, Qmail, Postfix ed Exim e rimozione automatica di programmi nocivi/ostili dal traffico HTTP(S), FTP, SMTP e POP3. Gestione delle vulnerabilità mediante l'integrazione della funzionalità di gestione dei sistemi per gestire livelli comuni dei sistemi operativi, scansione dell'infrastruttura e gestione delle patch. Un fattore chiave di differenziazione organicamente sviluppato all'interno del codice base di Kaspersky è la possibilità di implementare integrazione e controllo su una piattaforma unica: Kaspersky Security Center offre ai responsabili della sicurezza una visione centralizzata della rete, degli utenti e dei dispositivi, consentendo di eseguire e raffinare le funzionalità offerte da Kaspersky per dispositivi virtuali, fisici e mobili da una postazione centralizzata. Applicazione dei criteri integrati e funzionalità di reporting dello stato supportano ulteriormente un ambiente di sicurezza stabile. Gli strumenti di controllo degli endpoint vengono ottimizzati dalla tecnologia anti-malware di Kaspersky e offrono un approccio alla sicurezza su più livelli, tra cui: Controllo delle applicazioni con whitelisting dinamico: consente di autorizzare, bloccare o regolare le applicazioni eseguite in rete o sui dispositivi degli utenti Controlli Web: consentono di limitare, negare o applicare controlli granulari (ad es.: limiti temporali) sull'accesso Web da parte dell'endpoint Controllo dei dispositivi: consente di applicare criteri in base a tipo di dispositivo, numero di serie, utente/funzione e bus di connessione (non solo USB/CD). I controlli vengono allineati ad Active Directory per consentire l'applicazione dei criteri a livello aziendale. Le criticità legate all’integrazione di Enpoint e Piattaforme di Controllo L'implementazione di architetture di sicurezza degli endpoint completamente integrate e controllate in modo centralizzato richiede l'allineamento di criteri e procedure esistenti e spesso eterogenei. L'implementazione dell'integrazione non è certo una modifica rapida e semplice; se non si basa su una console intuitiva e facile da utilizzare e agenti per gli endpoint trasparenti, può richiedere l'acquisizione di nuove competenze da parte dei responsabili della sicurezza, la formazione degli utenti finali e la modifica delle architetture esistenti. Pertanto, il successo sul breve periodo è 6 ©2012 IDC soggetto alle limitazioni delle competenze esistenti all'interno dell'organizzazione e alla burocrazia aziendale. L'offerta di Kaspersky deve provare che è in grado di fornire una gestione dei criteri unica a organizzazioni attive in più giurisdizioni. Standard e leggi in materia di protezione dei dati possono variare considerevolmente tra aree geografiche e settori economici: per questo, una gestione semplice dei criteri è un fattore di successo fondamentale per i responsabili della sicurezza che lavorano in tali ambienti. Kaspersky sostiene di essere la prima azienda a commercializzare un'architettura della piattaforma di questo tipo anche se vi sono altri fornitori di prodotti di sicurezza che utilizzano una terminologia simile con offerte di prodotti più limitate. Kaspersky ritiene che il proprio approccio unificato aggiunga valore a organizzazioni di qualsiasi dimensione, dalle più piccole imprese alle grandi aziende. In particolare, le piccole e medie imprese possono ottenere grandi vantaggi in quanto Kaspersky le aiuta ad abbracciare complesse tecnologie di sicurezza, in precedenza dominio esclusivo delle più grandi organizzazioni aziendali. Le organizzazioni otterranno vantaggi dall'utilizzo di tecnologie di sicurezza conosciute, ma con un'esperienza utente significativamente più semplice e utilizzando una piattaforma più armonizzata. L'importanza della categoria SIEM (Security Information & Event Management) sta crescendo e fornisce un framework di sicurezza per tutte le architetture. La mancanza di offerta di Kaspersky in questo settore deve essere colmata in Kaspersky Endpoint Security for Business mediante l'integrazione con concorrenti o fornitori SIEM come IB'Q1 o ArcSight di HP. Conclusioni Negli ultimi due o tre anni, le organizzazioni sono state il bersaglio di un numero sempre crescente di attacchi che possono essere mitigati con l'adozione di una piattaforma di sicurezza integrata. I fornitori hanno risposto con offerte attuabili, ma spesso frammentate o difficili da gestire quali soluzioni e suite che forniscono copertura nello scenario delle minacce, ma non rispondono a esigenze come integrazione intelligente e controlli centralizzati. L'evoluzione di contenuti sicuri basati su piattaforma e offerte di gestione delle minacce consente alle organizzazioni di gestire in modo proattivo attacchi mirati, di phishing e avanzati. Il budget non dovrebbe essere un fattore limitante, ma consentire l'implementazione di una piattaforma di sicurezza degli endpoint in grado di soddisfare le esigenze aziendali. La sempre maggiore diffusione di tecnologie informatiche e l‟avvento del Web 2.0, unita a una forza lavoro sempre più mobile sono fattori centrali delle attuali pratiche aziendali; di conseguenza, i responsabili della sicurezza di sicurezza devono riesaminare l'infrastruttura corrente e pianificare la migrazione a un'architettura della piattaforma capace di abbracciare e adottare queste tecnologie di sicurezza e mantenere un approccio di protezione molto elevato. IDC ritiene che l'esigenza di proteggere tutti gli endpoint e i vettori di minacce (fisici, virtuali, mobili e tramite cloud) da una piattaforma comune e mediante una visione centralizzata sia essenziale per mitigare gli attacchi. Kaspersky Endpoint Security for Business offre l'integrazione e i controlli centralizzati necessari e mette Kaspersky Lab in una posizione ottimale per continuare ad avere successo sul mercato attuale. ©2012 IDC 7 I N F O R M A Z I O N I S U Q U E S T A P U B B L I C A Z I O N E Questa pubblicazione è stata realizzata da Go-to-Market Services di IDC. Le opinioni, l'analisi e i risultati della ricerca qui presentati sono stati estrapolati da ricerche e analisi più approfondite svolte in modo indipendente e pubblicate da IDC, se non diversamente specificato. Go-to-Market Services di IDC mette i contenuti a disposizione in un'ampia gamma di formati per la distribuzione da parte di società differenti. L'ottenimento di una licenza alla distribuzione dei contenuti IDC non equivale all'approvazione o all'espressione di qualsiasi opinione sul licenziatario. C O P Y R I G H T E U L T E R I O R I L I M I T A Z I O N I Qualsiasi informazione su IDC o riferimento a IDC per un utilizzo in annunci pubblicitari, comunicati stampa o materiale promozionale richiede la previa approvazione scritta da parte di IDC. Per richieste di autorizzazione, contattare la linea di informazioni GMS al numero 508-988-7610 o all'indirizzo [email protected]. La traduzione e/o la localizzazione di questo documento richiedono un'ulteriore licenza da parte di IDC. Per ulteriori informazioni su IDC, visitare www.idc.com. Per ulteriori informazioni su IDC GSM, visitare www.idc.com/gms. 8 ©2012 IDC