Threat Intelligence & Prevention

Quale è la soluzione giusta per la protezione degli endpoint e dei server aziendali?
Questa è una delle domande più frequenti che ricorre almeno una volta nella vita di tutti gli “addetti ai lavori”.
Che voi siate Microsoft oriented o Linux Addicted, che vi piacciano o meno le soluzioni verticali o preferite integrare, la protezione dei client e dei server in azienda è prerogativa di tutti almeno che non si ami rischiare la pelle.

Quali devono essere le caratteristiche quindi di una buona soluzione AV? Stiamo parlando ovviamente di soluzioni Aziendali che differiscono per necessità operative dai classivi endpoint protectors che possiamo installare nel pc di casa.
Innanzitutto un sistema di protezione aziendale deve necessariamente tenere conto di quelo che è il normale “processo di vita” del business dell’azienda stessa. Ovvero non deve essere troppo invasivo nello svolgere le sue funzioni ma al tempo stesso deve chiudere le porte in faccia alle minacce, sempre dietro l’angolo.

E’ possibile quindi avere la botte piena e la moglie ubriaca?

Diciamo subito che gli antivirus (almeno quelli decenti) si equivalgono sul piano dell’efficacia, la vera differenza in termini pratici la fa la velocità con cui aggiorna i propri database delle infezioni, e quindi la rapidità con cui riesce a tenere il passo delle nuove minacce presenti.
Il TIE (Threat Intelligence Exchange) è un sistema ideato da McAfee che punta all’ottimizzazione dei tempi intercorsi tra l’inviduazione e il contenimento del malware. Si basa su un sistema collaborativo fondato sui dati di intelligence sulle minacce che provengono in tempo reale rendendolo in grado di saper agire quasi sempre di fronte all’insorgere di una minaccia “neonata”.

Questo sistema, combinato con una approfondita fase di auditing dei client e dei server consente all’utilizzatore di poter calibrare ad hoc lo scudo per la sua infrastruttura senza ostacolare i normali processi aziendali.

La fase di “auditing” è una fase in cui la Threat Prevention resta in osservazione e registra tutte le normali attività che si svolgono in rete, firme, eseguibili, librerie, impara tutto ciò che i sistemi eseguono quotidianamente bloccando solo quanto rientra nel livello di “restrizione” che il configuratore decide.

Così facendo l’antivirus si crea le sue liste di tolleranza, eseguibili che normalmente bloccherebbe perchè senza reputazione (o con reputazione bassa) vengono lasciati girare evitando spiacevoli fermi. Proviamo a pensare a una piccola-media azienda che si scrive il proprio CRM, senza registrare una firma certificata, ovviamente questo eseguibile dato in pasto ad un qualsiasi antivirus risulta sconosciuto, nessuna firma, nessuna reputation online, secondo una qualsiasi security policy questo exe verrebbe bloccato in quanto potenzialmente dannoso. Questo è uno dei casi in cui il sistema antivirus ostacola la normale produzione. Ostacolo che si evita tranquillamente mettendo il sistema in ascolto e dando la possibilità all’AV di imparare che quell’eseguibile è utilizzato quotidianamente e quindi è buono, se la modalità fosse troppo a rischio per i più puristi c’è la possibilità di far interagire la Threat Intelligence con la User Experience e quindi fare in modo che sia l’utente a dire al sistema che può e deve fidarsi di un determinato processo.

Questo è un buon metodo per costruirsi una tranquillità dal punto di vista della Threat Prevention, un puzzle che si costruisce sfruttando le informazioni presenti sulla rete, la user experience e la business routine e integrando il tutto con la Threat Intelligence che in questo caso McAfee ha sviluppato.

Il post non vuole essere assolutamente pubblicitario. Da utilizzatore ho avuto modo di sperimentare l’utilizzo di vari Anti Virus e a livello strutturale mi sento vicino a questo approccio pratico e funzionale. Il prodotto lo sto ancora conoscendo, installato da qualche mese in modalità learning sulla rete e in enforcemnt sul mio client e sui terminal server. Ho diversi Ticket aperti perchè ovviamente la soluzione su misura non esiste per nessuno, quello che però conta è l’approccio verso un tema delicato per le aziende e sporatutto per chi deve garantirne l’integrità dei dati e la business continuity.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *