Classifica delle soluzioni di sicurezza endpoint secondo Gartner nel triennio 2016-2018

Facebooktwittergoogle_plusredditlinkedin

Introduzione

La corretta gestione di una moderna infrastruttura IT dipende principalmente dalle scelte dei prodotti software e una delle scelte più importanti è sicuramente la scelta della soluzione di sicurezza degli endpoint (workstations, smartphones e tablets) ovvero software antivirus, antimalware di ultima generazione.

In questo articolo vi proponiamo un approccio basato sulla comparazione dei report di Gartner dell’ultimo triennio per analizzare l’evoluzione del posizionamento dei Vendor di soluzioni Endpoint Protection Platforms (EPP) nel quadrante magico (QM) di Garner.

Lo scopo è quello di fornire una rapida panoramica di come, secondo Gartner, i Vendor si sono posizionati e di quale sia il loro l’attuale Trend senza fermarsi alla sola analisi dell’ultimo report annuale.

Le soluzioni di EPP hanno subito negli ultimi anni un’evoluzione tale da richiedere una rivisitazione da parte di Gartner della definizione di EPP e dei parametri di valutazione (a riguardo si veda il report Redefining Endpoint Protection for 2017 and 2018 – Published: 29 September 2017 – ID: G00337106) e quindi la valutazione di come un Vendor si è posizionato nel corso degli ultimi anni e del suo Trend può essere un’informazione in sede di scelta di una soluzione di Endpoint Security.

Struttura dell’analisi

Gartner è una importante azienda nel mondo IT che si occupa di Analisi e ricerche di mercato/prodotto e advisoring e il cui obiettivo è quello di supportare le decisioni strategiche con consulenze e report che hanno lo scopo di fornire un punto di vista “super partes” sullo stato generale di un mercato, di una azienda o dei suoi prodotti.

Uno dei report prodotti da Gartner più famosi è il quadrante magico (QM) che è di semplice comprensione perché permette rapidamente di avere una panoramica, secondo Gartner, sul posizionamento che hanno gli attori del mercato. L’analisi del QM va però sempre approfondita con la lettura del documento a cui è affiancato in cui viene motivato in dettaglio le ragioni del posizionamento e che quindi vanno poi contestualizzate negli specifici scenari in cui si sta eseguendo la valutazione perché alcune motivazioni potrebbero essere poco influenti per le scelte necessarie. L’elenco dei Magic Quadrant è disponibile al seguente Gartner Magic Quadrant.

L’analisi dei Vendor di prodotti classificati da Gartner come Endpoint Protection Platforms basata sui seguenti report:

Gartner definisce la categoria Endpoint Protection Platforms come segue:

“The endpoint protection platform provides security capabilities to protect workstations, smartphones and tablets. Security and risk management leaders of endpoint protection should investigate malware detection effectiveness, performance impact on the host machines and administrative overhead.”

Nell’analisi saranno presi in considerazione i Vendor che sono stati inseriti nel report nell’anno in corso (2018) e per semplicità di verranno ordinati in base ad uno Score calcolato sulla base del QM a cui verrà attribuito il seguente valore:

  • 4 = Leaders
  • 3 = Challengers
  • 2 = Visionaries
  • 1 = Niche Players
  • 0 = Non Classificato

Lo Score attributo a ciascun Vendor, sulla base del quale sono stati ordinati dal valore maggiore a minore, è stato ottenuto con la seguente formula per pesare maggiormente il valore del QM degli ultimi anni:

  • Se QM 2018 > 0 allora lo Score vale (100* QM 2018) + (10 * QM 2017) + QM 2016
  • Se QM 2018 = 0 allora lo Score vale 0

L’obbiettivo è quello di ottenere una classifica del Vendor di soluzioni EPP ordinata in base al miglior posizionamento nei quadrante Gartner nel triennio e in base al miglior Trend di posizionamento nel corso degli anni.

Di seguito i tre MQ di gartner sulla base dei quali è stata eseguita l’analisi:

Risultato

Di seguito i Vendor ordinati in base allo Score calcolato, in base alla considerazioni precedenti dal valore maggiore al minore:

Vendor

QM 2016

QM 2017

QM 2018

Score

Trend

Sophos

4

4

4

444

«

Symantec

4

4

4

444

«

Trend Micro

4

4

4

444

«

ESET

2

1

3

312

­

Kaspersky Lab

4

4

2

244

¯

Microsoft

3

3

2

233

¯

Cylance

2

2

2

222

«

SentinelOne

2

2

2

222

«

Carbon Black

0

2

2

220

«

CrowdStrike

0

2

2

220

«

F-Secure

2

1

2

212

­

Panda Security

2

1

2

212

­

Malwarebytes

0

1

2

210

­

Cisco

0

0

2

200

Endgame

0

0

2

200

McAfee

0

0

2

200

Palo Alto Networks

0

2

1

120

¯

Bitdefender

2

1

1

112

«

Comodo

0

1

1

110

«

FireEye

0

0

1

100

Fortinet

0

0

1

100

In base alla classifica ottenuta i leader della categoria Endpoint Protection Platforms del triennio 2016-2018 sono Sophos, Symantec e Trend Micro mentre ESET sta aumentato la sua competitività.

Di seguito gli aspetti positivi dei primi 3 Vendor della classifica ottenuta evidenziati nel report Gartner del 2018:

Pro di Sophos

  • Intercept X clients report strong confidence in not only protecting against most ransomware, but also the ability to roll back the changes made by a ransomware process that escapes protection.
  • Intercept X is available as a stand-alone agent for organizations that are unable to fully migrate from their incumbent EPP vendor.
  • The exploit prevention capabilities focus on the tools, techniques and procedures that are common in many modern attacks, such as credential theft through Mimikatz.
  • The Sophos Central cloud-based administration console can also manage other aspects of the vendor’s security platform, from a single console, including disk encryption, server protection, firewall, email and web gateways.
  • Root Cause Analysis provides a simple workflow for case management and investigation for suspicious or malicious events.
  • Root Cause Analysis capabilities are available to macOS, along with protection against cryptographic malware.

Pro di Symantec

  • Symantec seems to have finally found a stable footing with its management team bringing stability across the company.
  • SEP 14 and, most recently, SEP 14.1 have proven to be very stable and efficient on resources. Clients report that the addition of ML and other advanced anti-malware capabilities have improved threat and malicious software detection, and containment.
  • Symantec ATP, its EDR-focused solution, provides good capabilities for detection and response, and existing SEP customers will benefit from its use of the existing SEP agent.
  • Symantec has started to embrace a cloud-first strategy with the introduction of its latest product updates, including SEP Cloud and EDR Cloud, which provide a cloud-based console with feature parity to the on-premises management console.
  • Symantec’s broad deployment across a very large deployment population of both consumer and business endpoints provides it with a very wide view into the threat landscape across many verticals.

Pro di Trend Micro

  • Trend Micro participates in a wide range of third-party tests, with good results overall, and the OfficeScan client delivers functionality that other traditional vendors provide in their separate EDR add-on, such as IOA-driven behavioral detection.
  • The virtual patching capabilities can reduce pressure on IT operational teams, allowing them to adhere to a strategic patch management strategy without compromising on security.
  • For customers looking for a single strategic vendor, Trend Micro has strong integration across the endpoint, gateway and network solutions to enable real-time policy updates and posture adjustments.
  • Trend Micro offers managed detection and response services, in its Advanced Threat Assessment Service, to augment the technology with expert analysis and best practices.

Di seguito invece gli aspetti negativi dei Vendor che hanno avuto un trend in discesa rispetto al 2017, inteso come cambio di quadrante, evidenziati nel report Gartner del 2018.

Contro di Kaspersky Lab secondo Gartner

  • Gartner clients report that the management console, Kaspersky Security Center, can appear complex and overwhelming, especially when compared to the fluid, user-centric design of newer EPP and EDR vendor management consoles.
  • The mainstream EDR capabilities were introduced into the Kaspersky Anti Targeted Attack Platform in late 2017, one of the last vendors to begin adding these features.
  • The EDR investigation lacks step-by-step, guided investigations for less experienced organizations, but Kaspersky Lab can provide training on using its products for advanced topics like digital forensics, malware analysis and incident response.
  • The Kaspersky Endpoint Security Cloud — a cloud-based management solution — is currently available only for SMB customers. Larger organizations looking for cloud-based management must deploy and maintain the management server in AWS or Azure.

Conro di Microsoft secondo Gartner

  • The biggest challenge continues to be the scattered security controls, management servers, reporting engines and dashboards. Microsoft is beginning to center its future management and reporting around the Windows Defender Security Center platform, which is the management interface for the whole Windows Defender suite, including ATP. Microsoft Intune is replacing System Center as the primary management tool.
  • To access advanced security capabilities, organizations need to sign up for the E5 tier subscription, which clients report as being more expensive than competitive EPP and EDR offerings, reducing the solution set’s overall appeal.
  • Microsoft relies on third-party vendors to provide malware prevention, EDR and other functionality on non-Windows platforms, which may lead to disparate visibility and remediation capabilities and additional operational complexities.
  • The advanced security capabilities are only available when organizations migrate to Windows 10. It does much less to address all other Windows platforms currently in operation.

Contro di Palo Alto Networks secondo Gartner

  • There is currently no cloud-based management option; customers must use an on-premises management server.
  • While Traps collects endpoint forensics data, it does not provide any response capabilities or postevent remediation tools. Organizations that do not use a Palo Alto Networks NGFW will need to take a multivendor approach to gain these capabilities.
  • Traps lacks EDR capabilities beyond simple IOC searching, making investigation hard without an additional product.
  • Palo Alto Networks acquired LightCyber in early 2017, but has not yet used the technology to improve the limited detection and response capabilities in Traps.
  • Traps displayed a high rate of false positives in AV-TEST testing between August and October 2017.

Conclusioni

Ovviamente come già scritto precedente prima di trarre conclusioni è necessaria la lettura del documento a cui è affiancato il QM Gartner, inoltre le considerazioni relative ai vendor ovviamente prendono in esame la situazione che vi era alla data di pubblicazione del report, quindi, ad esempio, nel caso del QM Gartner del 2018 ovviamente alcune affermazioni relative a funzionalità del prodotto o alle scelte tecno – commerciali del Vendor che hanno portato al posizionamento potrebbero non essere corrette se valutate dopo il 24 gennaio 2018.

L’analisi dell’evoluzione del posizionamento nel quadrante sulla base della formula che abbiamo proposto può ovviamente non essere condivisibile, ma sicuramente la valutazione del Vendor sulla base di più report può aiutare a determinare la scelta di un prodotto della categoria Endpoint Protection Platforms che dovrà essere utilizzato per alcuni anni sebbene debba essere impiegato per gestire una delle problematiche IT più dinamiche come la protezione di workstations, smartphones e tablets da rischi di sicurezza. In ogni caso la classifica può essere rivista inserendo nel calcolo dello Score dei parametri che vadano a pesare la presenza e l’implementazione di determinate funzionalità indispensabili nell’infrastruttura IT oggetto della valutazione.

L’analisi che abbiamo proposto può quindi essere utilizzata come metro di valutazione per la scelta di una soluzione EPP, ma anche come parametro di confronto per valutare una soluzione presentata durante un incontro commerciale o ancora come strumento per giustificare le propria scelta nei confronti della Direzione aziendale.

La sicurezza applicativa Multi-Cloud con Advanced Web Application Firewall (WAF) di F5

Facebooktwittergoogle_plusredditlinkedin

F5 annuncia la soluzione Advanced Web Application Firewall per una protezione delle applicazioni completa. Con funzionalità di sicurezza leader di settore nel prevenire minacce in continua evoluzione, F5 accresce il portfolio in continua evoluzione delle sue soluzioni integrate e stand-alone, progettate specificamente per la sicurezza delle app. F5 Advanced WAF supporta una varietà di modelli […]

Offrire un ecosistema adatto alla trasformazione digitale

Facebooktwittergoogle_plusredditlinkedin

A cura di Tom Herrman, VP Global Strategic Alliances, VMware

 

Le aziende sono consapevoli del fatto che la digital transformation non sia un progetto unico e isolato con un inizio e una fine, ma un processo continuo, che richiede l’unione di diversi aspetti di tecnologia, processi e cultura.

Da un punto di vista tecnologico, ci sono molte aree che le aziende stanno valutando per raggiungere i propri obiettivi di trasformazione, ad esempio il cloud computing, il software-defined data center (SDDC), le offerte pay-as-you-go, e il computing convergente e iper-convergente. La molteplicità di opzioni mostra che non esiste un unico percorso “giusto” da intraprendere, ma che scelte diverse sono essenziali per essere capaci di trasformarsi verso il digitale.

Questo significa essere in grado di sfruttare i dati e ridurre sia il peso della gestione IT sia il costo e la complessità associati all’offerta dei più disparati servizi e applicazioni.

VMware vuole rendere questi benefici una possibilità per i propri clienti, per far sì che essi possano realizzare appieno il potenziale della digital transformation, e continua a lavorare con i propri partner per ottenere questo risultato. Hitachi Vantara è un partner chiave per noi e possiede una integrazione nativa con l’intero stack software VMware. Insieme, le nostre soluzioni possono rendere più facile e più veloce per le aziende accelerare il time to business value.

La prima integrazione è la Unified Compute Platform (UCP) di Hitachi Vantara ottimizzata specificatamente per VMware, perché possa supportare l’intero carico di lavoro delle aziende, che siano tradizionali o cloud native. Per i componenti standardizzati e le soluzioni “pronte all’uso” le aziende possono ottenere un rapido time-to-value, e i nostri esperti possono aiutare le organizzazioni che hanno esigenze più complesse.

Inoltre, i benefici della VMware vSphere virtualization sono stati combinati con l’infrastruttura convergente UCP CI, dando vita al miglior fondamento per le app, il cloud e il business. Ulteriori integrazioni possono essere trovate nella piattaforma iper-convergente, UCP HC, che combina il potere dei software VMware vSphere, vCenter e vSAN  per offrire una soluzione iperconvergente all-in-one.

VMware Cloud Foundation, composta da vSphere, NSX, vSAN e vRealize Suite, è stata utilizzata insieme all’UCP rack-scale RS di Hitachi Vantara per fornire un SDDC integrato che le organizzazioni possano usare per adottare il cloud privato o ibrido per un time to market più rapido, ottimizzando nel contempo la sicurezza.

VMware vRealize con Hitachi Enterprise Cloud è stato progettato per automatizzare e organizzare qualunque applicazione in una piattaforma pronta all’uso. L’esperienza di Hitachi Vantara e di VMware nella gestione dei dati consente agli utenti di spostare agevolmente i dati tra le applicazioni on-premise e quelle su cloud.

In ultimo, l’integrazione si è estesa anche a VMware vCenter e Hitachi UCP Advisor, semplificando il management tramite un software di gestione e organizzazione automatizzato, e offrendo visibilità su compute, rete e storage.

Questo significa che le imprese non hanno bisogno di imparare nuovi sistemi, comprare software aggiuntivi, o intraprendere il compito rischioso e dispendioso in termini di tempo di integrare manualmente i sistemi.

VMware e Hitachi Vantara stanno offrendo il potere di un ecosistema che combina le ultime tecnologie e le migliori soluzioni con un bagaglio di esperienza e assistenza di alta qualità. Lavorando insieme, accorceremo il percorso verso la digital transformation delle imprese.

Scopri di più nel nostro point of view con Hitachi ‘Move Today Shape Tomorrow – Next Steps on the Digital Transformation Journey’

Oracle rilascia VirtualBox 5.2.10 e Oracle Linux 7.5

Facebooktwittergoogle_plusredditlinkedin

Settimana di rilasci per Oracle che rende disponibili la versione 5.2.10 di VirtualBox e la versione 7.5 di Oracle Linux.

Per quanto riguarda VirtualBox, questa maintenance version va ad applicare tutte le Critical Patch Updates riguardanti la sicurezza e a risolvere diversi bug:

  • Freeze di KDE Plasma al caricamento, su svariate distribuzioni;
  • Interrupt storm nelle VM FreeBSD con la componente HDA abilitata;
  • Gestione del nameserver 0.0.0.0 come paramento di NAT valido;
  • Possibilità di avere controller NVMe multipli con ICH9 abilitato;
  • Aggiunto controllo su NULL pointer per codice MMIO.

Oracle Linux 7.5 arriva invece subito dopo la release di Red Hat (su cui l’OS di Oracle è basato) ed include:

  • Release 4.1.12-112.16.4 dell’Unbreakable Enterprise Kernel (UEK);
  • Kernel compatibile Red Hat 3.10.0-862;
  • Supporto alle Memory Protection Keys presenti sui recenti processori Intel;
  • Possibilità di sbloccare dispositivi criptati connessi alla rete durante il processo di boot.
  • SSLv3 disabilitato di default in mod_ssl di Apache;
  • KASLR (Kernel address-space layout randomization) abilitato per i guest KVM, feature che rende casuale l’indirizzo delle librerie e delle aree di memoria più importanti al fine di evitare buffer overrun ed exploit.
  • btrfs deprecato nel kernel Red Hat ma completamente supportato da UEK;
  • Supporto (esattamente come in RHEL 7.5) ad OpenSCAP.

Ma c’era davvero bisogno di fare questo Unbreakable Linux?

La congiunzione astrale dell’indipendenza del Verbo

Facebooktwittergoogle_plusredditlinkedin

Qualsiasi trasformazione richiede tre elementi fondamentali: tempobudgetsponsorship. Questo è un dato di fatto a prova di smentita, tant’è che il venir meno di uno di essi compromette fortemente, se non inesorabilmente, le possibilità di successo dell’azione intrapresa.

In particolare, è necessario riflettere molto sulla sponsorshipe capire se essa sia reale opportunistica:

  • la sponsorship è realequando gli sponsor sono i primi ad essere coinvolti nell’azione di trasformazione, calandosu di sé quando si sta sperimentando e accettandodi rimettersi in gioco, consci che il tutto possa portare un reale beneficio all’intera organizzazione. Bisogna essere convinti della necessità del cambiamento, unitamente ad una buona dose di umiltà e capacità di guardarsi intorno per capire se il percorso intrapreso sta portando benefici;
  • la sponsorship è opportunisticaquando non è minimamente sentita, ovvero quando si supporta un cambiamento solo perché “qualcuno lo ho detto o perché tutti lo fanno”. In tal caso si cerca di piegare la stessa ai propri interessi, intervenendo fortemente nelle diverse azioni al fine di plasmarle secondo le proprie necessità e mantenere la propria confort zone, eventualmente appuntandosi una nuova “etichetta” che però non modifica la sostanza. 

Come diceva Tancredi ne “Il Gattopardo”: Se vogliamo che tutto rimanga come è, bisogna che tutto cambi… e quindi bisogna fare molta molta attenzione nel rispondere rapidamente alla condizione che ci vede difronte ad una sponsorship opportunistica. 

lampedusa gattopardo

Purtroppo, è molto difficile riuscire inizialmente ad indentificare la specificità: solo il tempo ci da la possibilità di captarecapireed analizzarei segnali ed i fatti che possono portarci ad avere un’idea in merito. 

Un elemento che però è fortemente indicativo è l’Indipendenza degli Agenti di Trasformazione (o dei Coach se siete in chiave Agile), che devono potersi muovere calando sulle evidenze le azioni che ritengono più consone, dando messaggi chiari che evidenzino sempre quale sia l’obiettivo ideale e quali, invece, sono i compromessi da accettare per cominciare ad innescare il cambiamento e generare miglioramenti.

Guai se i messaggi sono “tarati” sui desideri dello sponsor: in questo caso non stiamo solo dicendo addio al nostro “viaggio”, ma anche alla credibilità stessa dell’approccio che stiamo proponendo. Nessun commento superfluo è ovviamente utile per definire chi si presta a tale azione.

Se si verifica una congiuntura astraleche allinea tutti questi elementi, il risultato ultimo si sintetizza con una frase che purtroppo si sente non di rado: “Agile non funziona!”che di per sé è priva di significato essendo Agile un mindset formato da Valori e Principi e non da processi che invece vanno contestualizzati… …nel modo giusto.

Stay tuned J

Blog italiani (e in italiano) nel mondo IT/ICT