Eccoci arrivati al blog finale sulle Guida rapida alle Strategie GDPR. Leggi i blog precedenti per conoscere le altre strategie illustrate finora:

Blog 1 – Fornire formazione sulla sicurezza ai dipendenti dei clienti

Blog 2 – Protezione della posta e whitelisting delle applicazioni

Blog 3 – Gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’hard disk…

In questo ultimo blog tratteremo delle tecnologie di difesa dell’endpoint “Easy Four “:

  1. Protezione della posta
  2. Protezione della rete
  3. Antivirus
  4. End point Detection & Defense (EDR)

Quando si tratta di combattere le minacce informatiche e proteggere i dati personali, queste quattro tecnologie possono costituire una parte importante della strategia di difesa. Tuttavia, è importante rendersi conto che le soluzioni “Easy Four” non possono essere autonome, ma devono essere adottate in sinergia se si desidera evitare multe ai sensi del Regolamento generale sulla protezione dei dati (GDPR). Perché in definitiva, il GDPR riguarda i diritti di privacy dei dati personali dell’utente e la protezione di tali diritti. Mentre la difesa dell’endpoint svolge un ruolo fondamentale, è importante tenere presente che esistono molte parti della protezione dei dati come definito nel GDPR.

Prima di iniziare …

La cosa grandiosa di queste tecnologie è che sono facili da implementare e semplici da gestire da uno strumento RMM. Ogni MSP ha la sua suite di strumenti preferita, alcuni costosi e altri no. Alcuni hanno un alto tasso di successo e altri no. Riunisci due MSP e vedrai un dibattito appassionato su quale prodotto funziona meglio.

Sfortunatamente, le tecnologie “easy four” non funzionano bene contro i criminali informatici senza altre componenti fondamentali. È simile a costruire una casa su una base traballante: sappiamo tutti cosa succede alla casa nel tempo.

Una parola sull’uso delle risorse di sistema

Affrontare il problema all’endpoint senza utilizzare gli strumenti e le tecniche menzionati nei precedenti articoli di strategia sulle strategi vincenti richiede generalmente più soluzioni basate su agenti endpoint. Queste soluzioni endpoint, spesso costruite per organizzazioni più grandi, possono includere un componente di prevenzione della perdita di dati (DLP), gestione dei privilegi, un firewall supplementare (o la sostituzione del firewall di Windows ® interamente) o un componente VPN: l’elenco continua. Quando si aggiunge la protezione antivirus e Web all’endpoint stesso, le risorse di quel computer verranno ridotte. Potresti persino ricevere alcuni reclami dagli utenti che odiano aspettare che tutte queste “cose ​​di sicurezza” si accendano. Inoltre, se un endpoint è carente di risorse, il software di sicurezza può smettere di funzionare.

Se l’apparecchiatura è vecchia e utilizza CPU più lente o dischi rigidi non SSD, il sistema potrebbe essere estremamente lento. Quando l’endpoint ha anche applicazioni ricche di risorse o applicazioni client-server, è probabile che l’utente riceva i reclami degli utenti in merito alle prestazioni.

Pertanto, la prima regola del club di protezione degli endpoint è testare la protezione degli endpoint prima di implementarla in massa. E tieni presente che, come minimo, i server meritano le stesse protezioni endpoint delle workstation. Se qualcosa supera le difese di una workstation, è probabile che il server lo rilevi. Non correre rischi qui.

Cosa forniscono le difese “Easy Four”

1. Protezione della posta

“Uccidilo prima ancora che entri all’interno dell’organizzazione.”

Questa è l’idea centrale alla base di un prodotto di protezione della posta locale o basato su cloud. La protezione della posta riduce lo spam, mette in quarantena le e-mail con allegati sospetti e persino combatte i tentativi di phishing. Alcuni prodotti per la protezione della posta utilizzano più motori antivirus attivi per proteggere la rete, mentre altri conducono analisi sandbox per verificare se eventuali allegati causano problemi.

La protezione della posta può essere utile in due scenari.

  1. In primo luogo, la protezione della posta aiuta a impedire all’email dannosa di entrare nell’organizzazione.
  2. In secondo luogo, la protezione della posta aiuta anche quando spam o e-mail dannose escono dall’organizzazione. Non è raro che i criminali informatici dirottino le caselle di posta come un modo per inviare spam o falsificare le informazioni dei mittenti per una truffa di phishing.

2. Protezione della rete

“Uccidere la connessione di rete o prevenire l’infezione in primo luogo.”

La protezione Web può essere ottima per tenere gli utenti fuori dai siti che potrebbero potenzialmente infettare i loro computer. Ma fa molto di più. Le protezioni del proxy Web e del livello di rete possono essere utilizzate come tecnologia preventiva di ultima generazione per cercare di eliminare i tentativi di un trojan di contattare un’infrastruttura di comando e controllo (C2) per scaricare un payload dannoso. Con l’accesso dei cybercriminali al DNS a flusso rapido, all’algoritmo di generazione del dominio (DGA) e persino ai server Dark Web, le protezioni a livello di rete sono davvero all’ultimo passo, ma sono comunque utili. Certamente, se l’analisi del traffico mostra comunicazioni verso siti potenzialmente dannosi, questo potrebbe essere un buon indicatore di compromesso. Le protezioni a livello di rete aiutano a identificare la presenza di qualcosa di brutto se la protezione e-mail e l’antivirus lo mancavano.

Non è un segreto che parti del Web siano assolutamente piene di malware. Siti di contenuti rubati (film e programmi TV famosi) e materiale per adulti sono entrambi estremamente pericolosi anche per gli endpoint più protetti da visitare. La protezione Web impedisce agli utenti di accedere a tali siti per prevenire malware (nonché problemi relativi alle risorse umane).

3. Antivirus Gestito – MAV

“Uccidilo prima che infetti la workstation.”

Questo è il ruolo centrale del tuo prodotto antivirus, qualunque sia il prodotto che scegli. Se i criminali informatici attaccano utilizzando un exploit di un programma software installato, un allegato che richiama PowerShell ® , JavaScript ® o una macro di Visual Basic o se viene visualizzato un file binario senza segno e tenta immediatamente di dirottare un processo e stabilire una connessione a Internet, il tuo antivirus dovrebbe rilevare il problema e tentare di risolverlo. Cerca un programma antivirus che includa la scansione basata su firma, il rilevamento euristico e l’analisi comportamentale per ottenere la massima protezione.

L’antivirus gestito è “un’opzione software gestita a livello centrale che protegge tutti i computer dell’azienda dalle minacce dei virus”. Con i MAV, gli MSP gestiscono gli aggiornamenti automatici del programma e gli aggiornamenti delle definizioni dei virus, quindi l’intervento dell’utente non è necessario. Quando viene scoperto un virus o un malware, viene immediatamente messo in quarantena. È una prima linea di difesa semplice e diretta per i dipendenti: non richiede alcuna conoscenza tecnica e fa un buon lavoro nel respingere molte minacce.

4. La soluzione End point detection – EDR

“Uccidilo prima che infetti gli altri devices e l’intera rete”

EDR è una soluzione poliedrica che fa tutto ciò che MAV può fare, ma fa un ulteriore passo avanti, fornendo maggiore sicurezza e (soprattutto) tranquillità. Le funzionalità includono, ma non sono limitate a:

  • Monitoraggio
  • Rilevazione delle minacce
  • Whitelisting / Blacklisting
  • Risposta alle minacce
  • Integrazione con altre soluzioni di sicurezza informatica

EDR è incentrato sulla protezione degli endpoint .

Come l’Antivirus, gli MSP lo gestiscono senza richiedere alcun input da parte dell’utente finale. Dato il numero di minacce che si generano quotidianamente, la gestione di un gran numero di endpoint può essere più difficile con antivirus e altre soluzioni puntuali. Questo è il punto in cui le differenze tra MAV ed EDR vengono messe a fuoco.

EDR è proattivo . Composto da software di monitoraggio e agenti endpoint, machine learning integrato e intelligenza artificiale avanzata (AI) consente a EDR di identificare i vettori di minacce che mostrano comportamenti sospetti e di affrontarli prima che vengano riconosciuti dannosi. Invece di fare affidamento sugli aggiornamenti delle definizioni, cerca comportamenti anomali. Ad esempio, se diversi file cambiano contemporaneamente, è probabilmente dovuto a un attacco endpoint.

Se si utilizza SolarWinds®Endpoint Detection and Response (EDR), l’elaborazione viene eseguita localmente sull’endpoint, a differenza di altri fornitori EDR che richiedono una risorsa e caricamenti intensivi nel cloud per l’analisi e l’elaborazione delle minacce. Puoi recuperare rapidamente, in modo automatizzato.

Le difese dell’endpoint sono indispensabili

La maggior parte dei framework di conformità richiede difese endpoint. Ma dati i pericoli e le capacità dei criminali informatici, i “tre facili” necessitano di rinforzi e devono basarsi su solide basi per massimizzare la protezione degli endpoint e dei dati.

L’ultima parola: non lesinare le difese degli endpoint, ma non dimenticare di utilizzare anche altre tecnologie di base per garantire la protezione dei dati a tutti i livelli.

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni.

 

 

FONTE: Solarwinds MSP BLOG

Traduzione – N4B SRL Distributore Autorizzato Solarwinds MSP