La propensione delle aziende all’endpoint protection è un trend in crescita. Forrester, nel suo rapporto The State of Endpoint Security 2019 ha calcolato che il 9% del budget globale riferito all’IT security l’anno scorso è stato destinato alla sicurezza degli endpoint, prevedendo un aumento che dovrebbe attestarsi attorno al 10%. Un dato che, tuttavia, non poteva tenere conto degli stravolgimenti causati dall’epidemia da coronavirus che avranno un impatto significativo proprio su una maggiore attenzione nel proteggere da minacce lato client. Il proliferare degli accessi in remote working, infatti, ha spostato l’asse dell’attenzione sull’endpoint protection come elemento da integrare maggiormente all’interno di una strategia complessiva della sicurezza aziendale che comprende la difesa di applicazioni e infrastrutture da possibili violazioni. Ma la tendenza all’integrazione delle soluzioni di security era già stata registrata da Forrester, insieme a quella sempre più marcata a ricorrere a managed service provider per un approccio non frammentato nell’endpoint protection.
La scelta di affidare a service provider l’endoint protection oggi è dettata da criteri economici e funzionali. Sebbene il mercato offra un’ampia gamma di suite allo scopo, spesso hanno lo svantaggio di non dialogare con gli altri strumenti di protezione esistenti in azienda o di risultare inadeguati per via di una loro rapida obsolescenza.
Secondo il Ponemon Institute, nel 2019 ben il 68% delle aziende è stato vittima di attacchi agli endpoint. In precedenza, lo stesso istituto aveva rivelato che la vulnerabilità derivava da approcci molto diversi nell’edpoint protection da parte delle organizzazioni: il 76% usava antivirus, il 57% gestiva le patch, mentre percentuali minori avevano adottato soluzioni EDR (endpoint detection and response) o antivirus di ultima generazione con tecnologia di machine learning e UBA (user behavioral analysis). A fronte dei costi affrontati, l’efficacia dell’endpoint protection non era risultata all’altezza. Basti pensare al fenomeno dei “falsi positivi” frutto di software UBA implementati senza competenze specifiche.
I service provider colmano i gap indicati sopra poiché hanno skill specifiche e risorse dedicate all’endpoint management in generale e all’endpoint protection in particolare. Ciò significa che rispondono nativamente all’esigenza di integrazione di patch e sicurezza a 360 gradi, introducendo economie di scala che rendono più conveniente il loro intervento, oltre che più efficace nel contrastare attacchi sempre più aggressivi (zero-day malware, fileless attack ecc.). Partendo, perciò, da un inventario centralizzato dell’hardware e del software in dotazione, i service provider anzitutto governano gli accessi con sistemi di autenticazione rigorosa che mitigano il rischio di accessi indebiti.
In secondo luogo, i service provider bilanciano l’utilizzo dei device di proprietà aziendale con quelli adoperati in modalità BYOD (bring your own device), circoscrivendo app e dati aziendali rispetto a quelli personali. In terzo luogo, la loro gestione unificata guida meccanismi di ottimizzazione nell’acquisto delle licenze (license metering) e nella loro distribuzione sui vari dispositivi che coinvolge tutto il parco applicativo.
Le criticità su cui talvolta i reparti IT delle aziende hanno difficoltà a porre rimedio dipendono dalla pluralità di licenze da amministrare su più device nonché da uno scenario continuamente nuovo di cyber attack. Il fattore aggiunto di un service provider, perciò, deriva da una visione completa, che si traduce in monitoraggio e controllo costanti, di tutto l’universo degli endpoint che ruota attorno all’organizzazione. Per quanto riguarda l’endpoint protection, questo significa una gestione proattiva delle vulnerabilità, aggiornamenti over-the-air del software, modelli di patch management che includono tutte le postazioni di lavoro, impostazione di blocchi contro eventi minacciosi, deployment remoto e gestione delle autorizzazioni. A questo si aggiunge la sicurezza di rete, il backup e le attività di data loss prevention (DLP) che impediscono l’accesso agli endpoint in caso di furto o smarrimento del device. L’endpoint protection, così, invece di essere un onere a carico dell’azienda, diventa un servizio con SLA (service level agreement) concordati in cui sono previsti anche assistenza e supporto tecnico.