APPROFONDIMENTISECURITY

Difendere gli end point nella nuova guerra cibernetica

L’Italia è tra i Paesi più colpiti dai cyberattacchi. Gli endpoint sono il punto d’ingresso preferito dai criminali informatici. Proteggerli con soluzioni EPP, EDR e XDR, integrate con intelligenza artificiale, è oggi essenziale per difendere sistemi e dati sensibili.

Tempo di lettura9 min.
di Maurizio Ferrari

L’Italia è al centro del mirino per quanto riguarda gli attacchi alla sicurezza informatica. L’ultimo Rapporto Clusit 2025  ha evidenziato come il nostro Paese sia tra quelli più colpiti dai criminali informatici. Ciò che è accaduto nel 2024 ha confermato come l’Italia sia, dal punto di vista della sicurezza informatica, una realtà insicura. È necessario intervenire con le giuste contromisure a ogni livello, a partire dagli endpoint che rappresentano il punto di ingresso dei criminali informatici per portare i loro attacchi.

Uno sguardo complessivo

Prima di affrontare il tema della protezione degli endpoint, che in un ambiente IT moderno può essere qualsiasi dispositivo che si connette a una rete, inclusi desktop, laptop, server, smartphone e dispositivi Internet of Things (IoT), è necessario comprendere il contesto in cui ci si sta muovendo, sia a livello globale sia in Italia. A livello globale, il numero di incidenti continua a crescere. La media mensile è passata da 156 incidenti nel 2020 a 295 nel 2024.

È importante notare che dal 2022, con l’inizio del conflitto in Ucraina, si è entrati in una nuova fase di “guerra cibernetica diffusa”, dinamica che si è confermata anche nel 2024. A questa situazione si sono aggiunte nuove problematiche derivanti dall’intelligenza artificiale generativa e dalle aumentate tensioni socioeconomiche e geopolitiche, che hanno portato a un aumento degli attacchi DDoS. Nel 2024, oltre agli attacchi di cybercriminali e gruppi State Sponsored, un numero crescente di sigle antagoniste ha colpito organizzazioni e governi, alimentando un senso di incertezza.

In alcuni casi, si sospetta che questi gruppi di sedicenti hacktivisti siano, in realtà, manovrati da agenzie governative per attività di guerra psicologica, disinformazione e sabotaggio. In questo complesso scenario, l’Italia è uno dei Paesi più colpiti, con una crescita del 15% degli incidenti nel 2024 rispetto al 2023. Il nostro Paese ha fatto registrare il 10% degli attacchi a livello globale nel 2024. In Italia, le principali tipologie di attaccanti sono i cybercriminali (78%) e gli hacktivisti (22%). A differenza del panorama globale, nel nostro Paese non si sono verificati incidenti significativi nelle categorie Spionaggio/Sabotaggio o Guerra Informatica.

Il settore News/Multimedia ha subito un aumento straordinario degli attacchi nel 2024 a causa di una vulnerabilità zero-day in un CMS ampiamente utilizzato, con un singolo attacco che ha colpito ripetutamente numerose testate giornalistiche. Altri settori particolarmente colpiti in Italia sono il manifatturiero e la pubblica amministrazione.

End point sotto attacco

L’analisi delle tecniche di attacco in Italia nel 2024 ha evidenziato come il malware sia tornato a occupare la prima posizione (38%). Questo dato, unito al significativo aumento degli alert associati all’esecuzione di malware, rilevati dal Security Operations Center (SOC) di Fastweb e con la collaborazione della Polizia Postale e per la Sicurezza Cibernetica, suggerisce una persistente e crescente minaccia diretta agli endpoint. Anche le tecniche di Phishing/Social Engineering (11%) rimangono una porta d’accesso cruciale per l’installazione di malware sugli endpoint.

La debolezza degli endpoint si può collegato a pratiche di sicurezza degli utenti finali non ottimali, che evidenziano la necessità di una formazione mirata. Anche l’utilizzo di soluzioni ad hoc, come un EDR (Endpoint Detection and Response), è fondamentale per monitorare e prevenire potenziali compromissioni degli endpoint. Grazie all’intelligenza artificiale, i cybercriminali raccolgono e analizzano dati per adattare le loro campagne a settori e organizzazioni specifiche, o persino a singoli individui, rendendo gli attacchi agli endpoint più efficaci.

In Italia, sono state osservate tecniche come l’uso di BITS Jobs e script PowerShell, spesso eseguiti sugli endpoint, per programmare download malevoli in background e mantenere la persistenza. A livello globale e italiano, emerge una situazione della sicurezza cibernetica sempre più complessa e un aumento del numero e della gravità degli incidenti. Gli attacchi agli endpoint rimangono una minaccia primaria, veicolati principalmente tramite malware, phishing e sfruttamento di vulnerabilità.

EPP, EDR, XDR

Le soluzioni per la protezione degli endpoint si suddividono generalmente in tre categorie principali: EPP, EDR e XDR. Ognuna di queste risponde a esigenze specifiche, presenta caratteristiche differenti e si rivolge a tipologie di organizzazioni diverse.

La Endpoint protection platform (EPP) è progettata per offrire una protezione preventiva degli endpoint. Include funzionalità come antivirus, antimalware e firewall, risultando particolarmente adatta alle realtà che cercano una difesa di base contro le minacce già note. Il suo punto di forza sta nella semplicità di implementazione, nella gestione centralizzata e nella capacità di proteggere efficacemente da malware comuni.

Più avanzato è l’approccio della Endpoint detection and response (EDR), pensato per rilevare e rispondere a minacce sofisticate che riescono a superare le difese tradizionali. Le soluzioni EDR utilizzano tecniche di analisi comportamentale per individuare attività sospette, anche in assenza di firme conosciute. Questo tipo di protezione è indicato per le organizzazioni che vogliono rilevare attacchi zero-day e rispondere rapidamente agli incidenti.

Infine, troviamo le soluzioni eXtended detection and response (XDR), che ampliano il campo d’azione oltre gli endpoint, includendo anche rete, email e ambienti cloud. XDR è ideale per le realtà che hanno bisogno di una visibilità estesa e di una risposta coordinata su più livelli di sicurezza. Offre una visione olistica delle minacce, consente la correlazione dei dati provenienti da fonti diverse e introduce automazioni nella risposta agli attacchi, aumentando l’efficacia del rilevamento e della gestione degli incidenti.

Se un’azienda ha bisogno di una protezione avanzata e integrata su più livelli, una soluzione XDR è la scelta migliore. Se invece l’attenzione è focalizzata principalmente sugli endpoint, un EDR potrebbe essere più che sufficiente. Per una protezione di base, un EPP è una buona opzione.

L’offerta del mercato

Le aziende di sicurezza offrono prodotti per soddisfare tutte le esigenze, tenendo conto anche dei costi: una soluzione EPP costerà meno di una XDR. Inoltre, diversi fornitori si presentano sul mercato con prodotti che uniscono le caratteristiche di EPP e EDR o EDR e XDR. Tra le principali società che offrono queste soluzioni troviamo: Bitdefender, Broadcom (Symantec), Cisco, CrowdStrike, ESET, Fortinet, Kaspersky, Malwarebytes, Microsoft, OpenText Cybersecurity,  Palo Alto Networks, SentinelOne, Sophos, Trellix e Trend Micro. Naturalmente, non è possibile fare affidamento solo su una soluzione per proteggere gli endpoint e garantire la sicurezza del sistema, ma questa deve far parte di un progetto più ampio che mira a proteggere l’intera architettura IT aziendale.

Strategie contro gli attacchi LOTL e LOTS 

Le tecniche di attacco Living off the land (LOTL) e Living off trusted sites (LOTS) sono a disposizione dei criminali informatici da diversi anni, ma negli ultimi tempi sono state utilizzate per colpire gli endpoint italiani. Hanno successo perché sono difficili da individuare con strumenti tradizionali, richiedono investimenti minimi da parte degli attaccanti e permettono attacchi prolungati prima che vengano rilevati. Sono un ottimo strumento per installare malware.

Un attacco LOTL è una tecnica utilizzata da criminali informatici e attaccanti avanzati per nascondere le proprie attività malevole sfruttando strumenti e processi legittimi già presenti nel sistema target, come PowerShell di Windows, Bash di Linux o Automator di MacOS.

In un attacco LOTS, invece, gli aggressori sfruttano siti web legittimi e attendibili (come servizi cloud, piattaforme di condivisione file o social media) per nascondere le proprie attività malevole. Per proteggersi da questa tipologia di attacchi è necessario adottare un approccio multilivello che combina hardening dei sistemi, monitoraggio avanzato e mitigazione proattiva. In primo luogo, è necessario applicare il principio del “Minor Privilegio”, monitorare e analizzare comportamenti anomali e rendere più sicuri gli endpoint aggiornando il sistema operativo, installando le patch in tempi brevi e disabilitando i protocolli non necessari. Gli attaccanti evolvono rapidamente, quindi è essenziale adottare un approccio “Zero Trust” e comportamentale, anziché affidarsi solo alle firme tradizionali.

Le soluzioni per la protezione

Installare una soluzione software è il migliore modo per garantire la protezione di un endpoint. Questi software specializzati monitorano i dispositivi per individuare attività sospette o dannose, sono molto versatili e possono includere funzionalità come antivirus, antimalware, firewall integrati, crittografia dei dati e gestione delle patch di sicurezza. Prima di scegliere il software più adatto alle proprie esigenze è necessario adottare una strategia per proteggere gli endpoint che si dovrebbe basare su questi tre punti:

  • Approccio centralizzato: adottare una console di gestione centralizzata per monitorare e proteggere tutti gli endpoint.
  • Tecnologie avanzate: utilizzare tecnologie come il machine learning e l’analisi del comportamento per rilevare minacce zero-day.
  • Automazione e monitoraggio continuo: implementare soluzioni automatizzate per migliorare l’efficacia della protezione.

Cosa rileva una piattaforma di protezione end point

  • Phishing Tipo di attacco che manipola le vittime per far loro condividere informazioni sensibili. Le piattaforme di protezione degli endpoint possono includere gateway e-mail per proteggersi da questi attacchi.
  • Malware e virus Includono trojan, worm e altri tipi di malware che arrecano danni ai dispositivi. Le piattaforme di protezione endpoint usano antivirus avanzati per rilevare e rimuovere le minacce.
  • Ransomware Particolare malware che cripta i dati e li rende inaccessibili, richiedendo un riscatto per il loro ripristino.
  • Minacce zero-day Minacce sconosciute che non sono ancora state identificate. Le soluzioni basate su machine learning e intelligenza artificiale possono aiutare a rilevarle.
  • Download inconsapevoli e malvertising Minacce si verificano quando il software viene scaricato senza il consenso dell’utente o attraverso annunci online compromessi.
  • Patch obsolete Vulnerabilità nei sistemi operativi o nel software che non sono state aggiornate, consentendo agli attaccanti di sfruttarle. Le piattaforme di protezione degli endpoint possono gestire le patch di sicurezza per prevenire tali attacchi.

AI dalla parte dei difensori

Le preoccupazioni legate all’utilizzo dell’intelligenza artificiale da parte dei criminali informatici sono più che giustificate, dal momento che le tecniche che la utilizzano sono in crescita. Questo tipo di tecnologia non è però destinato solo ai criminali informatici, ma viene ampiamente utilizzato anche dai difensori. Oggi sempre più soluzioni di endpoint protection sfruttano l’intelligenza artificiale (AI) e il machine learning (ML) per rilevare e prevenire attacchi avanzati. L’AI, infatti, consente di effettuare il rilevamento comportamentale avanzato, analizzando pattern anomali nei processi e identificando attività sospette anche senza firme malware note. Grazie a essa, si riducono anche i falsi positivi, in quanto l’AI impara il comportamento “normale” di un sistema e segnala solo le deviazioni significative. Inoltre, è in grado di correlare eventi provenienti da diverse fonti per individuare minacce complesse. Alcune soluzioni sono anche in grado di rispondere in modo autonomo, isolando un endpoint compromesso o terminando processi malevoli.

I vantaggi e limiti dell’AI security

Vantaggi

  • Rilevamento proattivo prima che l’attacco si completi
  • Adattamento a nuove tecniche evoluzione continua con l’ambiente
  • Riduzione del carico sui SOC automazione di analisi e risposta

Limiti

  • Falsi positivi l’AI può bloccare attività legittime se non ben calibrata
  • Costo le soluzioni basate sull’AI sono spesso più costose di quelle tradizionali
  • Complessità richiede l’integrazione con SIEM e log management per massimizzare l’efficacia

Proteggere gli endpoint

Proteggere gli endpoint significa rendere più difficile subire attacchi informatici e, al contempo, proteggere tutti, in tutto il mondo. L’Italia, infatti, è al secondo posto come origine di attacchi informatici ed è spesso utilizzata come base di partenza per lanciarli verso altri paesi o altri obiettivi globali.

Perché l’Italia è diventata il “trampolino di lancio” per condurre operazioni su scala globale?

Le cause sono diverse:

  • Diffusa presenza di infrastrutture digitali vulnerabili.
  • Ridotta percezione della sicurezza informatica in alcune organizzazioni o settori.
  • Disponibilità di risorse tecnologiche facilmente violabili.

Una doppia dimensione quella italiana, bersaglio e origine, che ci rende una zona critica nel panorama della cybersecurity globale. L’Italia deve diventare più sicura e per farlo può partire dalla protezione degli endpoint che sono, come visto, uno degli elementi messi al centro del mirino da parte dei cybercriminali.

LEGGI ANCHE

Gli ultimi articoli