Di Paolo Ardemagni, Regional Director of Sales Southern Europe and Emerging Markets di SentinelOne
Per proteggere le aziende dalle cyber minacce, i team di sicurezza possono utilizzare il software apposito fornito dal vendor del proprio sistema operativo, considerandolo più “sicuro” di quello offerto da terzi. Tuttavia, questa scelta incrementa la dipendenza dell’impresa da un unico vendor. Per questo motivo è necessario individuare i pro e i contro di questa opzione, evidenziando i potenziali vantaggi nell’adozione di una tecnologia di sicurezza alternativa.
Le soluzioni di sicurezza devono provenire da vendor competenti
Le criticità nella cybersecurity sono spesso causate dal fatto che gli sviluppatori non comprendono pienamente le conseguenze delle proprie soluzioni sul piano della sicurezza. Le aziende più scrupolose, infatti, implementano programmi di bug bounty facendo controllare il loro software da specialisti esterni, e lo stesso fanno i vendor di sistemi operativi come Microsoft, Google, Apple e Red Hat Linux, gli sviluppatori di browser e i vendor di software di sicurezza. Come confermano le recenti statistiche CVE relative a Microsoft Windows, più complesso è il software, più probabile è che ci siano vulnerabilità, ed è questo il motivo per cui nel sistema operativo Windows si trovano più bug di sicurezza.
Queste considerazioni devono far riflettere sull’opportunità di aumentare la propria dipendenza da un vendor caratterizzato da un eccesso di vulnerabilità, anche di vecchia data. Un fornitore esterno, invece, con robuste competenze nella sicurezza può essere più idoneo ad offrire una soluzione affidabile e conveniente in termini di installazione, licenze, costi, semplicità d’uso, possibilità di integrazione con altre tecnologie ed efficacia di protezione.
Criticità delle soluzioni con licenza E5 di Microsoft
Microsoft è l’unico, tra i principali vendor, ad aver sviluppato e distribuito una soluzione per proteggere il software del proprio sistema operativo. Tuttavia, l’acquisto delle licenze per Microsoft 365 E5 Security, Enterprise Mobility and Security E5 o Windows E5 spesso richiede l’adozione di soluzioni esterne per colmare le lacune di sicurezza:
- Microsoft 365 Defender non è in grado di integrare i dati di terze parti, quindi, al contrario di una tecnologia Extended Detection Response (XDR), può elaborare soltanto il proprio set di dati, proteggendo unicamente le soluzioni Microsoft
- Microsoft Defender for Endpoint, che comprende le soluzioni Endpoint Platform Protection (EPP) ed Endpoint Detection Response (EDR), presenta criticità nell’azione di rilevamento, nella correzione automatica delle minacce informatiche sugli endpoint non Windows 10 e nel sistema di ripristino con 1 click a seguito di cyber minacce
Nonostante queste lacune, Microsoft continua a implementare soluzioni di nicchia che richiedono licenze aggiuntive e processi di approvvigionamento complessi per la presenza di modelli di licenza diversi, rendendo difficile prevedere il costo finale effettivo per un’azienda. La piattaforma Singularity, invece, ha un modello di licenza semplice e chiaro, senza ulteriori costi, in cui i clienti possono scegliere tra:
- Singularity Core: è la soluzione di sicurezza on-device, NGAV con AI comportamentale autonoma che rileva, previene e neutralizza gli attacchi basati su file e senza file, tra cui i ransomware, senza dipendere dal cloud
- Singularity Control: offre funzionalità aggiuntive per il controllo degli endpoint, tra cui il controllo del firewall, quello dei dispositivi ed altro ancora
- Singularity Complete: include ulteriori funzionalità di Endpoint Detection Response (EDR), Cloud Workload Security e Network Security
Semplicità d’uso e possibilità di integrazione con altre soluzioni
Un vendor che offre un software ad un’azienda mira a proporle altre soluzioni tra le proprie. Tuttavia, un software di sicurezza adeguato su un piano oggettivo deve essere in grado di ridurre il rischio ed integrarsi facilmente all’interno dello stack di sicurezza di un’impresa.
A questo proposito, Singularity XDR offre una visibilità unificata su tutto l’ecosistema tecnologico, attivando analisi dei dati e azioni di risposta centralizzate per workload misti. Questo approccio consente, quindi, ai clienti di SentinelOne di scegliere con flessibilità una strategia best-of-breed, pur nell’ambito di una piattaforma di sicurezza unificata. La tecnologia di Microsoft, invece, conduce le imprese in un ecosistema chiuso, incrementandone la dipendenza da un singolo vendor, il che può costituire una vulnerabilità.
Occorre confrontare i vendor di sicurezza sul grado di protezione delle loro soluzioni
È fondamentale confrontare i vendor analizzando le valutazioni indipendenti di terze parti, come ad esempio MITRE Engenuity ATT&CK Evaluation. In essa si è scoperto che la soluzione di sicurezza di Microsoft presentava 23 rilevazioni mancanti e necessitava di continue modifiche di configurazione, con grave difficoltà per un’impresa eventualmente coinvolta in un cyberattacco. Al contrario, SentinelOne non ha avuto rilevazioni mancanti, né bisogno di cambiamenti di configurazione, garantendo una visibilità del 100%.
È possibile adottare un approccio Best-of-Breed
A fronte delle criticità rilevate, i responsabili di sicurezza stanno adottando un approccio best-of-breed, attivando partnership con vendor specializzati nella sicurezza. In particolare, SentinelOne con Singularity offre una piattaforma Extended Detection Response (XDR) best-in-class, capace di estendere la protezione oltre gli endpoint, garantendo visibilità e azioni di difesa e risposta efficaci:
- Sia per identificare i malintenzionati, sia per configurare policy di controllo dei dispositivi, c’è un’unica console che gestisce le attività di sicurezza
- Le soluzioni EPP ed EDR best-in-class consentono ad ogni endpoint, anche quando è offline, di prevenire e rilevare le cyber minacce attraverso un’AI statica e comportamentale
- SentinelOne garantisce coerenza, in termini di funzionalità disponibili, e parità di funzioni per i sistemi operativi di Windows, Mac e Linux
- L’automazione aiuta a risparmiare tempo, impiegando la tecnologia Storyline™, che ricostruisce automaticamente gli attacchi, implementando azioni di remediation autonoma e in 1 clic e funzionalità di rollback, prevedendo esperti interni che si dedichino a soluzioni MDR, DFIR e ad attività di threat hunting
Conclusione
Poiché nessuna azienda è al riparo dalle minacce informatiche, è necessario dotarsi di soluzioni in grado di gestire il rischio in modo efficace, collaborando con imprese security-first, capaci di offrire un approccio olistico in materia di sicurezza.
Per ulteriori informazioni consultare www.sentinelone.it