Diventa Autore per CoreTech | Scopri di più
19/11/13 Filippo Moriggia Blog
Adobe, Sony, Evernote, Yahoo!, Apple, Ubisoft. È difficile non conoscere almeno uno di questi nomi. Stiamo parlando di aziende multinazionali che hanno subito un importante furto di dati all’interno della loro rete negli ultimi anni. Un furto di dati così rilevante da essere finito sui giornali, in prima pagina. In alcuni di questi casi il furto non ha danneggiato l’azienda solo a livello di immagine, con conseguente perdita di fiducia da parte degli utenti, ma ha portato danni ben più gravi: sono stati trafugati anche alcuni segreti industriali, come – nel caso di Adobe – parte del codice alla base di Photoshop.
Purtroppo moltissimi altri casi non vengono denunciati, ma avvengono nell’ombra: una causa o una notizia sui giornali infatti possono portare ancor più danno del furto in se. Spesso alla base di questi data breach (questo il termine inglese con cui vengono identificati), non c’è un potente hacker che attacca l’azienda dall’esterno, ma un dipendente che sta per licenziarsi o che cerca di arrotondare il suo stipendio vendendo dati alla concorrenza o utilizzandoli in altro modo per trarne profitto.
Oggi infatti un servizio di sorveglianza all’ingresso o un potente firewall non sono più sufficienti per bloccare i furti di dati. Per trafugare decine di gbyte di dati basta una memoria flash grande quanto un’unghia acquistata al supermercato o un qualsiasi smartphone e un cavo Usb.
In uno scenario simile un pacchetto come EgoSecure Endpoint è pressoché fondamentale per garantire un livello di sicurezza adeguato in qualsiasi azienda, dalla più piccola alla più grande. Si tratta infatti di una soluzione a 360°, facilissima da configurare e gestire che può proteggere da moltissimi pericoli e minacce, senza per questo limitare i dipendenti o i collaboratori nello svolgimento delle loro funzioni.
Prima di entrare nel dettaglio cerchiamo di capire però come funziona EgoSecure, come può essere implementato e quali sono i suoi veri punti di forza. Questo software è costituito da 8 moduli differenti: antivirus, controllo degli accessi, audit, controllo delle applicazioni, cifratura di cartelle e dispositivi rimovibili, gestione del risparmio energetico e Mobile Device Management (gestione dei dispositivi mobili).
Endpoint deve essere installato su una macchina server dotata di qualsiasi edizione di Windows Server dalla 2000 alla 2012, mentre su tutti i computer della rete deve essere caricato soltanto un piccolo agente software che viene generato dalla stessa interfaccia di amministrazione. Questo agente è un semplice file Msi (disponibile per piattaforme a 32 e a 64 bit) e può essere distribuito anche tramite Active Directory.
EgoSecure permette un controllo granulare di tutte le sue funzionalità e nello stesso tempo offre uno straordinario livello di flessibilità nella gestione delle licenze. Per ogni singolo modulo della suite si possono comprare licenze separate: tutte quelle disponibili vengono poi caricate sul server e assegnate dinamicamente ai vari client, mentre vengono configurati. Questo permette di acquistare solo le licenze effettivamente necessarie e di aggiungere funzioni in qualsiasi momento, così da soddisfare anche le esigenze degli ambienti più dinamici.
La compatibilità di EgoSecure con il parco macchine Windows installato ad oggi è praticamente totale: sono infatti supportate tutte le edizioni di Windows a 32 e a 64 bit dall’ormai obsoleto (ma ancora molto diffuso) XP fino al recentissimo Windows 8.1.
La protezione antivirus viene garantita dall’engine di BitDefender. Si tratta di uno dei motori antimalware più potenti ed efficaci sul mercato ed EgoSecure permette di gestirlo e configurarne le funzioni in modo centralizzato. Per ogni computer si può impostare l’aggiornamento automatico o pianificato ad orari stabiliti e – se necessario – si possono limitare anche i permessi utente bloccando ad esempio la possibilità di disattivare anche solo temporaneamente il controllo in tempo reale. Anche l’attivazione delle licenze e il download degli aggiornamenti viene gestito a livello globale dall’interfaccia grafica della suite. Chi ha già acquistato una protezione antivirus può ovviamente continuare ad utilizzarla e valutare alla scadenza se proseguire con il prodotto in uso o sfruttare quella di EgoSecure.
Il modulo antivirus di EgoSecure è leggero e non rallenta anche i terminali meno recenti a differenza di molte suite di sicurezza presenti sul mercato. L’azione combinata dell’antivirus e delle numerose funzionalità di protezione integrate nell’applicazione permettono però di raggiungere livelli di sicurezza ben superiori, bloccando Trojan, spyware e altro malware ben prima che venga riconosciuto da tutti gli altri pacchetti.
Un altro modulo particolarmente interessante è quello chiamato Audit. EgoSecure Endpoint permette di verificare tutte le azioni di lettura, scrittura, copia e cancellazione svolte dagli utenti sui file. Questa tipologia di protezione è particolarmente utile perché – nel rispetto della legge – mette l’azienda nella condizione di difendersi da azioni illegali commesse dai dipendenti, anche nel caso di contenziosi. Può essere attivata singolarmente solo su alcuni utenti o indiscriminatamente su tutti i membri di una organizzazione. Sfruttando la suddivisione in gruppi si può anche attivare questa funzionalità solo su quelli che appartengono a una business unit specifica, risparmiando così sulle licenze e garantendo la massima protezione ai reparti più a rischio.
Endpoint permette di attivare anche la funzione Shadow Copy (o copia nascosta) per gli utenti su cui è attivo il modulo audit. Questa funzionalità garantisce la creazione di una copia nascosta di tutti gli oggetti che vengono salvati o importati da dispositivi esterni. I dati memorizzati possono essere poi eliminati automaticamente in mancanza di spazio o conservati senza limiti di tempo: in ogni caso sono accessibili esclusivamente dai manager che gestiscono l’infrastruttura e non sono visibili ai singoli utenti.
L’azione svolta dal filtro sui contenuti è meno intuitiva rispetto a quella di altri moduli ma può essere utile per evitare il furto di contenuti riservati o proprietari dai computer dell’azienda. Si può lavorare tramite Black List o White List, dunque rispettivamente bloccando solo le tipologie di file espressamente vietate oppure permettendo solo quelle elencate. Per facilitare questa operazione il programma include le definizioni di centinaia di tipologie di file utilizzate in ambito lavorativo, dai più comuni documenti di Office, fino a specifici formati Cad o fotografici. Se necessario si possono ovviamente definire altri formati, per venire incontro anche alle esigenze meno comuni. Il blocco dei file avviene in base alla verifica di diversi parametri: non si parla solo di tipologia, ma si possono creare anche filtri sui nomi dei file o sulla loro dimensione (minima e massima). Ad esempio si può vietare l’accesso a tutti i file Mp4 che superano i 50 Mbyte o a tutti i Pdf che hanno dimensione compresa tra 10 e 100 Mbyte.
Nell’ottica di limitare i possibili problemi dovuti a dipendenti smaliziati o ingenui che installano sul proprio Pc applicazioni sconosciute o pericolose Endpoint permette anche di definire White List o Black List sulle applicazioni che possono essere eseguite. Il controllo avviene però in maniera ancora più flessibile rispetto a quello dei contenuti. Ad esempio EgoSecure in pochi minuti può fare la scansione del computer locale e rilevare le applicazioni che sono state firmate digitalmente. Si possono così definire degli oggetti attendibili che non richiedono autorizzazione per essere eseguiti: ad esempio tutte le applicazioni firmate da Microsoft, Oracle o Mozilla. Le varie applicazioni in uso nell’azienda possono poi essere suddivise in pacchetti e si possono definire ruoli differenti a cui assegnare permessi o divieti su alcuni pacchetti specifici. Bastano così pochi clic per attivare per ogni dipendente o gruppo di lavoro tutte le applicazioni necessarie: l’operatore del customer service non potrà eseguire le applicazioni dedicate al marketing e alla contabilità e a sua volta chi lavora in contabilità non potrà accedere ai programmi delle altre due unità organizzative. La gestione per ruoli permette però di creare facilmente eccezioni per chi svolge attività molteplici e non può essere limitato nelle sue possibilità di azione.
Merita una menzione anche il modulo di cancellazione sicura dei documenti, presente in tutte le release, senza alcun costo aggiuntivo: permette di pianificare anche cancellazioni programmate, utilizzando alcuni degli algoritmi più robusti disponibili: DoD e DoD II (Department of Defense, il sistema utilizzato dalle agenzie governative statunitensi), Vsitr e Peter Gutmann.
Le limitazioni imposte da uno strumento come Egosecure da una parte garantiscono un livello di sicurezza adeguato, dall’altra potrebbero rendere la vita molto difficile ai dipendenti che si trovano impossibilitati nello svolgere qualche funzione. Tutti gli utilizzatori del software fortunatamente possono fare in qualsiasi momento una richiesta di diritti di accesso a una applicazione, un file o un dispositivo specifico: l’amministratore di sistema potrà poi concedere questo diritto temporaneamente o in modo definitivo. Le richieste vengono gestite direttamente tramite l’interfaccia grafica dell’agente e appaiono ovviamente nel pannello generale di amministrazione. Se necessario il sistema di notifica via e-mail può avvisare anche gli amministratori distratti che – dopo l’installazione e configurazione iniziale – non tengono sotto controllo la situazione.
Per realtà di dimensioni significative è ovviamente importante predisporre anche un server di failover, che possa continuare ad operare nel caso di problemi o guasti a quello principale. La gestione dei server e della loro priorità avviene direttamente dall’interfaccia dell’applicazione.
Le funzionalità di controllo degli accessi e di cifratura di cartelle e dispositivi sono fondamentali per evitare furti o perdite di dati. Il rinnovato sistema di controllo degli accessi presente in EgoSecure permette di definire in modo granulare i diritti di accesso a periferiche Usb, condivisioni di rete, dischi fissi, floppy, stampanti, cellulari, dispositivi di comunicazione (Bluetooth, infrarossi, modem, Isdn), reti Wifi, scanner e fotocamere, porte di connessione esterna (Usb, parallela, seriale, Pcmcia), sintonizzatori Tv e periferiche multimediali. Si possono limitare o bloccare gli accessi anche ai più diffusi servizi di cloud storage (Dropbox, Google Drive, Skydrive, Box Sync, Mediencenter, YandexDisk) e si possono inibire le funzioni ad esempio di trasferimento file utilizzate da sistemi di messaging come Skype. Come per tutti gli altri moduli del programma si possono assegnare permessi diversi ad ogni utente o gruppo, per differenziarli in base all’unità organizzativa.
In EgoSecure si possono anche definire con facilità eccezioni, per concedere l’accesso solo a supporti di memorizzazione, dispositivi o share di rete. Ad esempio si può permettere il collegamento di una fotocamera specifica sui computer delle persone che ne fanno uso.
Un’altra funzionalità fondamentale di Endpoint è quella della cifratura di cartelle, dispositivi o persino dell’intero disco di sistema. Per quest’ultima il programma può sfruttare sia Bitlocker, il componente di Windows integrato nelle edizioni Professional, Business, Pro, Enterprise e Ultimate da Vista in avanti. Anche se si tratta di un componente integrato nel sistema può essere gestito tramite la console di amministrazione di EgoSecure.
In alternativa si possono sfruttare le funzionalità di cifratura integrate nella suite: il sistema può sfruttare delle smart card o la username/password dell’utente, tramite un sistema di single-sign-on. Gli algoritmi crittografici disponibili sono Blowfish, Desx, Des e Aes. Grazie a un sofisticato sistema di Challenge/Response il sistema sfruttato da EgoSecure permette comunque di restituire l’accesso al sistema anche qualora l’utente si dimentichi le sue username e password. Queste operazioni vengono gestite tramite il sistema di helpdesk integrato nel programma.
La cifratura dei dispositivi rimuovibili, come chiavette e dischi esterni è implementata direttamente da EgoSecure ed è fondamentale per concedere l’uso di questi dispositivi senza preoccupazioni legate a furti o smarrimenti. Il software può utilizzare per questo scopo gli algoritmi di cifratura Aes (a 256 bit) o Triple DES.
Merita una menzione infine anche l’ormai obsoleto ma necessario sistema di cifratura dei supporti ottici (Cd/Dvd), che può essere facilmente attivato per l’intera organizzazione.
Non serve avere Active Directory (AD) per utilizzare EgoSecure Endpoint: anche le realtà più piccole possono sfruttare immediatamente il prodotto inserendo manualmente gli utenti dell’organizzazione dall’interfaccia di amministrazione. Si possono anche personalizzare i profili di default che vengono applicati alla creazione di ogni nuovo utente per velocizzare le operazioni di inizializzazione e configurazione.
Chi invece utilizza Microsoft Active Directory o Novell eDirectory può lavorare in modo ancora più semplice: EgoSecure è in grado di recuperare tutti i dettagli dell’organizzazione tramite il servizio di directory in uso e può anche sincronizzarsi periodicamente per rilevare eventuali modifiche. Si possono configurare anche più domain controller, per sincronizzare contemporaneamente diverse organizational unit.
Un buon software di sicurezza non svolge bene la sua funzione se non tiene traccia di tutto ciò che succede e crea rapporti dettagliati che aiutino ad individuare i rischi per l’azienda e i problemi da risolvere. Sotto questo aspetto Endpoint si posiziona senza dubbio molto bene: una intera sezione della sua interfaccia di amministrazione è infatti dedicata alla visualizzazione e generazione dei rapporti e permette di verificare ad esempio quali agenti sono online e quali offline, quali utenti, gruppi e computer hanno diritti differenti da quelli di default, quali modifiche ai permessi sono state effettuate di recente o quali modifiche non sono state ancora inviate ai rispettivi agenti. I rapporti possono essere visualizzati e riordinati in base alla esigenze e – se necessario – anche stampati.
Tutti i log tenuti dal software possono essere poi manutenuti con facilità, ad esempio comprimendoli per risparmiare spazio. Si possono impostare limiti di tempo per la loro conservazione e si possono personalizzare le cartelle di memorizzazione, sia su server, sia sui singoli client. I dati di Audit possono essere esportati periodicamente in formato Csv, per l’analisi su altri sistemi o per altre esigenze.
Il software include anche alcune utility per la manutenzione del suo database, indispensabili per evitare che dopo alcuni anni le dimensioni dei dati memorizzati peggiorino in modo sensibile le prestazioni di tutto il sistema.
Tra tutti i membri dell’organizzazione si può poi definire chi appartiene alla categoria dei supervisori (ad esempio manager o quadri responsabili di alcune unità organizzative) e chi a quella degli amministratori di sistema. Per evitare problemi anche nelle realtà dove la struttura gerarchica non è particolarmente chiara si può poi definire una password generale di amministrazione che non è legata ad alcun utente in particolare.
Tra le funzionalità originali presenti in EgoSecure quella del risparmio energetico è spesso sottovalutata ma è particolarmente importante. In un paese come l’Italia, in cui l’energia elettrica è cara e soggetta a una tassazione particolarmente elevata disporre di un sistema centralizzato di gestione dell’energia di tutta l’organizzazione può infatti portare immediatamente a risparmi significativi, senza però ridurre l’efficienza di manager e dipendenti. Bastano pochi clic infatti per definire un profilo energetico per tutta l’azienda e applicarlo a livello globale, impostando direttamente gli orari di lavoro e definendo i programmi e i processi che hanno priorità, così da evitare inutili sprechi. Inserendo manualmente i dati di consumo dei Pc e il costo del Kwh si possono visualizzare in tempo reale i risparmi ottenuti sfruttando questo modulo di EgoSecure, così da decidere – ancora prima di acquistare la licenza definitiva – l’effettiva convenienza del pacchetto.
Produttore: EgoSecure
Distributore: Coretech Srl
Prezzi: a partire da 15 euro all’anno a computer (Iva esclusa) con funzionalità antivirus.
PRO:
CONTRO:
Filippo Moriggia
Scrive per PC Professionale, la rivista di informatica del gruppo Mondadori, dal 2004. E’ laureato in Ingegneria delle Telecomunicazioni e svolge attività di libero professionista come consulente presso aziende e studi professionali. Si occupa in particolare di software, virtualizzazione, reti e sicurezza. E’ VMware VCA for Data Center Virtualization.
