Che cos’è l’endpoint security?

In ambito aziendale, è necessario potersi collegare alla rete interna utilizzando una moltitudine di dispositivi diversi, sia appartenenti all’azienda che appartenenti ai dipendenti stessi. Questo può avvenire sia quando i dipendenti sono in sede che da remoto, quando i dipendenti si collegano alla rete principale attraverso una VPN.

Questa abitudine può però presentare notevoli problemi di sicurezza. Se i vari dispositivi non sono protetti, l’intera rete risulta essere vulnerabile, perché i singoli dispositivi potrebbero essere sfruttati come gateway per l’accesso. È quindi evidente come sia assolutamente necessario mettere in sicurezza non soltanto la rete aziendale, ma anche tutti i dispositivi a essa collegati, chiamati anche dispositivi endpoint.

Tra i dispositivi su cui è necessario intervenire per garantire la sicurezza dell’intera rete aziendale, al primo posto si trovano indubbiamente laptop, tablet e smartphone. Nel caso di dispositivi forniti direttamente dall’azienda, il problema non si pone: dovrebbero essere già predisposti con tutte le misure di sicurezza necessarie. Sono invece potenzialmente pericolosi i dispositivi personali appartenenti ai dipendenti, i quali potrebbero non aver implementato alcun sistema di protezione.

Altri dispositivi che potrebbero dare origine a vulnerabilità sono le memorie esterne, come hard disk e chiavette USB. Si tratta di oggetti che spesso contengono dati sensibili e che possono venire spostati tra sedi diverse, o portati a casa per continuare a lavorare: in questo modo, però, ci si espone maggiormente ad attacchi esterni.

Infine, telefoni e telecamere IP, che quindi hanno pieno accesso alla rete aziendale, possono dare non pochi problemi. Spesso non si pensa che questi dispositivi possano rappresentare un pericolo, ma al loro interno contengono dei chip che li rendono sostanzialmente dei micro-computer, quindi in grado di danneggiare la rete nel caso vengano controllati da un hacker.

Per implementare una strategia di sicurezza volta a proteggere da attacchi eseguiti tramite endpoint, è necessario prima di tutto comprendere come questi attacchi possono essere lanciati. Esistono molte tecniche diverse, ma le più diffuse sono le seguenti:

Un hacker che utilizza questo metodo, come prima cosa deve riuscire ad avere accesso a uno dei dispositivi collegati alla rete in cui si vuole introdurre. Una volta fatto ciò, potrà sfruttare l’ecosistema aziendale per spostarsi da un endpoint all’altro, mantenendo il pieno accesso alla rete ed evitando di essere rintracciato.

Lo strumento più utilizzato per questo scopo è Mimikatz, inizialmente creato per individuare i problemi di sicurezza di Windows ma oggi sfruttato soprattutto per eseguire attacchi ransomware di grandi dimensioni.

Con questo termine si indicano tutte le operazioni informatiche che avvengono “nell’ombra”, cioè fuori dal controllo degli amministratori della rete aziendale. Ad esempio, ogni volta che un dipendente sincronizza la propria e-mail di lavoro sul computer di casa, o che trasferisce un file utilizzando una chiavetta USB personale, esegue un’operazione potenzialmente pericolosa.

Queste operazioni possono essere facilmente intercettate da un hacker, sfruttando tecniche diverse: spoofing, malware, virus, ecc.

Questa tecnica, che significa letteralmente “passare da un’isola all’altra”, prevede l’attacco di dipartimenti aziendali generalmente poco controllati o di aziende satellite che hanno accesso alla rete dell’azienda principale. Ad esempio, gli hacker rivolgono spesso la loro attenzione ai dipartimenti di marketing o di risorse umane, che non sono direttamente coinvolti nella produzione ma che hanno accesso alla rete su cui vengono scambiati e conservati i dati più importanti. Una volta ottenuto l’accesso a questi dipartimenti secondari, riuscire ad accedere alla rete aziendale è piuttosto semplice.

Questo tipo di attacchi, che è anche il più diffuso, può essere eseguito in diversi modi. Ad esempio, si può sfruttare una VPN o una macchina virtuale utilizzata in azienda, oppure ci si può impossessare di un server di posta elettronica per inviare malware direttamente ai dipendenti, nella speranza che cadano nella trappola.

Per proteggere la propria rete aziendale da attacchi informatici che sfruttano gli endpoint, è possibile ricorrere a diverse strategie, che possono essere ricondotte a due gruppi generali: quello della crittografia, e quello del controllo remoto delle applicazioni. Vediamo più nel dettaglio di cosa si tratta.

• Crittografia. Tutti i dati, sia quelli archiviati che quelli che vengono inviati ad altri, devono essere crittografati con sistemi complessi, in modo che, anche se dovessero cadere nelle mani sbagliate, non possano essere decifrati.
• Data loss prevention. Si tratta di un sistema che impedisce l’invio di dati sensibili a dispositivi o reti non controllati direttamente dall’azienda.
• Whitelisting. Quando implementata, questa soluzione permette di scegliere quali servizi possono eseguiti sui vari dispositivi collegati alla rete aziendale. Ad esempio, si può scegliere di consentire l’uso di determinate applicazioni soltanto da terminali aziendali e non da dispositivi personali.
• Gestione centralizzata del cloud. Quando i dipendenti devono poter accedere ai dati aziendali da remoto, è preferibile che i vari file non vengano fisicamente trasferiti su dispositivi esterni ma che vengano utilizzati direttamente sul cloud, in modo che siano presenti soltanto sui server aziendali.
• Gestione automatica degli accessi. Spesso, quando un endpoint viene sfruttato per un attacco informatico, il traffico che ne proviene risulta anomalo. È possibile implementare delle strategie che riconoscano eventuali comportamenti anomali dei dispositivi remoti e blocchino automaticamente il loro accesso alla rete aziendale.

Fino a qui abbiamo parlato di endpoint security in ambito aziendale. Indubbiamente, gli obiettivi principali per gli hacker sono le aziende, ma anche i singoli utenti “normali” possono beneficiare di una migliore sicurezza degli endpoint.

Anche le reti domestiche sono infatti rese vulnerabili quando utilizzate da dispositivi non protetti, che potrebbero essere facilmente sfruttabili da un malintenzionato. È quindi molto importante implementare delle strategie protettive che permettano di difendersi da qualsiasi tipo di attacco. Una delle soluzioni più semplici ed efficaci è quella di utilizzare una VPN.

Con una VPN è possibile crittografare il proprio traffico e mascherare il proprio indirizzo IP. Non solo: scegliendo una soluzione come quella di NordVPN, si può avere accesso anche a funzionalità aggiuntive molto importanti per la sicurezza degli endpoint. Threat Protection è una funzionalità progettata per proteggere la propria privacy: grazie ad essa è infatti possibile bloccare i cookie di tracciamento, eliminare automaticamente il malware e bloccare i siti potenzialmente pericolosi.