Soluzioni di cyber security Endpoint Configuration Manager

Soluzioni di cyber security: cos’è Endpoint Configuration Manager

Pubblicato il
Home » Infrastrutture Cloud » Soluzioni di cyber security: cos’è Endpoint Configuration Manager

Come la gestione remota dei device accresce la sicurezza informatica in cloud

Cos’è Endpoint Configuration Manager? I dati della mia azienda sono al sicuro? Se lo stanno chiedendo in molti in questi giorni. Il prodotto Microsoft per la gestione remota dei device, tassello fondamentale nelle soluzioni di cyber security di aziende ed enti pubblici, è finito suo malgrado al centro di un grande clamore mediatico.  

Oggi non siamo qui per cavalcare la polemica, ma per rispondere subito a questi dubbi. Sì, le tue informazioni sono al sicuro. Se usi MECM o InTune, i dispositivi sono gestiti e configurati dall’azienda, così da essere aggiornati e manutenuti centralmente dall’IT, usufruendo anche dei servizi di cyber security integrati. 

Proviamo ad entrare nel dettaglio di come funziona un Endpoint Configuration Manager come quello di Microsoft e perché accresce la sicurezza informatica in cloud. 

  • Cos’è Microsoft Endpoint Configuration Manager (detto MECM, ex SCCM) 
  • MECM & InTune: vantaggi per la cyber security in cloud 
  • Endpoint Configuration Manager: quali rischi di cyber security per aziende? 
  • Servizi per la sicurezza del cloud: il principio del minimo privilegio 
  • Perché un ECM accresce la cyber security 

 

Cos’è Microsoft Endpoint Configuration Manager (detto MECM, ex SCCM)

Microsoft Endpoint Configuration Manager è una piattaforma per la gestione centralizzata dei device (pc, tablet, telefoni, server, etc.) di aziende, pubbliche amministrazioni e organizzazioni. Originariamente conosciuto come SCCM, ora permane la sua esistenza on-prem come MECM, nonostante la sua naturale evoluzione cloud sia già stata confermata sul servizio InTune di Microsoft365. Microsoft ha già chiaramente detto che non ci saranno più evoluzioni implementative in MECM, solamente un mantenimento per i prossimi anni. Tutte le implementazioni e migliorie saranno dedicate ad InTune. 

In un ECM sostanzialmente c’è una gestione centralizzata, dove gli amministratori di sistema dotati di determinati privilegi, possono configurare da remoto i dispositivi aziendali, distribuendo aggiornamenti e software con una procedura sicura e automatizzata. In tal modo, possono garantire a tutti i dispositivi una protezione antivirus sempre aggiornata, gestire impostazioni di conformità, assegnare permessi e identità agli utenti per accedere solo alle informazioni che possono visualizzare, e così via.  

Tutte quelle attività che fino a poco tempo fa venivano condotte localmente da aziende di cyber security e tecnici IT, oggi sono gestibili a distanza dall’amministratore di sistema. Un vantaggio notevole quando il numero di device da gestire è di centinaia o di migliaia di unità e, soprattutto, quando i device non risiedono più tutti nello stesso luogo. 

MECM & InTune: vantaggi per la cyber security in cloud

I vantaggi di un ECM per i reparti IT per garantire la cyber security sono evidenti, ancora di più se si parla di InTune che è basato sul cloud di M365. Poter gestire grandi parchi macchine da remoto, con molte procedure automatizzate ed eseguibili in blocco, aumenta la produttività e l’efficienza dei team tecnici, riducendo le attività manuali e i tempi di risposta. Interventi che altrimenti dovrebbero essere eseguiti localmente, con importanti ripercussioni in termini di business continuity.  

E i benefici per i dipendenti di Endpoint Configuration Manager? La piattaforma permette di accedere a software sempre aggiornati all’ultima versione e ottenere protezione antivirus e requisiti di sicurezza avanzati, impostati a livello centralizzato. Questo consente di lavorare in maggiore tranquillità rispetto a possibili violazioni dei dati aziendali. InTune infatti usa anche Microsoft Entra ID, per la gestione delle utenze, sfruttando criteri di autenticazione passwordless basati su biometria e chiavi crittografiche. 

Endpoint Configuration Manager: quali rischi di cyber security per aziende?

In questi giorni si è parlato molto di presunti rischi di Endpoint Configuration Manager in tema di privacy e accesso a dati sensibili. La questione va oltre la cyber security per aziende. La domanda che molti si stanno facendo è: si può spiare un pc tramite un ECM senza lasciare traccia? La risposta è NO. 

Come chiarito da Microsoft in una nota, la “gestione remota richiede privilegi amministrativi specifici e le relative attività sono tracciabili in quanto vengono registrate nei log di audit, consentendo alle organizzazioni di verificare quanto avvenuto”. E’ possibile quindi accedere ai dati? Teoricamente sì (come è possibile che qualsiasi sistema informatico, anche il più sicuro, venga violato), ma un’azione del genere è tracciata ed esporrebbe immediatamente i responsabili.  

Non siamo di fronte quindi a nessun software spia, ma semplicemente a un sistema per velocizzare la gestione remota dei dispositivi.  

Un caso limite per la b2b cyber security

Un caso limite di rischio alla privacy, come riportato da TechCrunch, può essere quello di investigazioni governative in cui Microsoft avrebbe dato, in questo caso su richiesta dell’FBI, delle chiavi BitLocker riferite a pc di persone sospettate di frode. BitLocker è una funzionalità di sicurezza integrata in Windows fondamentale anche nella b2b cyber security. Serve a proteggere i dati crittografandoli sul disco locale, evitando accessi non autorizzati, furti o manomissioni. Queste chiavi, accessibili ai proprietari del device, si trovano anche nel cloud a disposizione dei gestori IT dell’azienda e di Microsoft (che quindi, a sua volta, può teoricamente accedervi).

Per aggirare questo tipo di rischio, occorre passare ad una logica di bring your own key, ossia archiviando le chiavi su un proprio hardware. In questo modo, nemmeno Microsoft potrà accedere ai dati per decriptare il pc. Va segnalato che, in ogni caso, bisogna essere fisicamente in possesso del dispositivo da decriptare per poter accedere ai dati. Condizione che, appunto, avviene in caso di sequestri per investigazioni. 

Servizi per la sicurezza del cloud: il principio del minimo privilegio

Quando parliamo di buone pratiche nei servizi per la sicurezza del cloud e, in generale, nella cyber security per aziende di ogni dimensione, non dobbiamo dimenticare un elemento importante. Ogni tecnico, in base al ruolo che ricopre, possiede determinati permessi basati sulla logica del minimo privilegio (least privilege). Ognuno, cioè, ottiene solo le autorizzazioni di accesso ad informazioni e funzionalità strettamente necessarie per fare il proprio lavoro. Non una di più, non una di meno.  

Anche nel caso di MECM/Intune, a seconda del livello di responsabilità ci sarà chi può resettare password, chi può installare software, chi può accedere da remoto previo consenso esplicito dell’utente. Se questo tipo di consenso visibile viene rimosso come condizione di accesso a un device, in ogni caso anche di questa azione resta traccia. Lo ha spiegato bene Matteo Flora in questo video: il rischio non sta quindi nella tecnologia, ma nel processo.  

Occorre risalire ai vertici della catena di responsabilità: i privilegi di amministratore globale di sistema in grandi organizzazioni sono in capo a un numero ristrettissimo di soggetti, se non a uno solo. A loro volta i responsabili sono strettamente sorvegliati da un dipartimento dedicato, tipicamente un Security Operation Center. Queste prassi fanno parte delle più note e consolidate buone pratiche di sicurezza informatica conosciute da anni da chiunque operi in ambito di cyber security per grandi aziende e non solo. Decidere consapevolmente di ignorarle è tecnicamente possibile, ma concretamente molto poco realistico. 

Perché un ECM accresce la cyber security

La verità, quindi, è che strumenti come MECM o InTune contribuiscono ad accrescere la cyber security e non sono una minaccia ai nostri dati. Al contrario, gestire i device di una qualsiasi organizzazione senza un hub centralizzato di assistenza remota sarebbe un suicidio a livello informatico. Ogni giorno le reti aziendali sono messe a rischio da decine di nuove vulnerabilità.  

Sarebbe impensabile poter garantire manualmente i servizi di cyber security aziendale necessari a migliaia di dispositivi contemporaneamente. 

Per fare degli esempi concreti, tramite l’interfaccia cloud di InTune è possibile:  

  • Effettuare l’onboarding dei dispositivi da proteggere con Microsoft Defender 
  • Distribuire aggiornamenti di sicurezza informatica sui device di tutta l’azienda, nell’arco di poche ore dalla comparsa di nuove minacce 
  • Creare e gestire policy di sicurezza (Windows Defender, Firewall, Antimalware, policy di Attack Surface Reduction, Remediation & Response automatiche, ecc..) per individuare violazioni e restringere automaticamente il perimetro di attacco sull’intero sistema, isolando i singoli device colpiti 
  • Ottenere report dettagliati sullo stato di sicurezza e conformità degli endpoint, inclusa la visualizzazione del rischio dei dispositivi e relative vulnerabilità 

I rischi maggiori alla cyber security per le aziende non derivano quindi dalla gestione centralizzata e totalmente tracciabile dei dispositivi. Risiedono proprio nel non adottare questo tipo di approccio, optando per soluzioni fai-da-te prive di aggiornamento costante e soggette all’errore umano. Pratiche che renderebbero ogni dispositivo ed ogni utente una potenziale porta di ingresso alle reti di un’organizzazione.