Sigle, nomenclature e acronimi, del mondo cybersecurity

EPP – Endpoint Protection Platform

Con il termine Endpoint Protection Platform (EPP) ci si riferisce a quelli comunemente noti come antivirus di nuova generazione. L’EPP va oltre il blocco dei file dannosi con le firme, utilizzando modelli predittivi basati su AI (Artificial Intelligence) per capire quando un file o un codice tenta di compiere azioni dannose anche senza averlo mai visto prima. Il problema maggiore degli EPP è che, una volta che una minaccia supera il livello di difesa, non si è più in grado di rilevarla.

L’Endpoint Detection & Response (EDR) rileva minacce e anomalie e si concentra specificamente sugli endpoint, portando il focus dalla rete all’attività dei dispositivi. I dispositivi su cui agisce l’EDR sono solitamente PC, portatili e server. Un EDR aggiunge del valore al servizio di sicurezza perché rileva le minacce che hanno superato i livello di previsione e prevenzione.

L’Extended Detection & Response (XDR) è un sistema in grado di raccogliere e correlare in modo automatico i dati rilevati, i quali possono provenire da tutta l’infrastruttura. Questa soluzione, quindi, migliora la visibilità delle minacce in tutta l’azienda, accelera le operazioni di sicurezza e riduce i rischi, coprendo in modo completo tutta l’infrastruttura IT.

Le soluzioni EDR e XDR sono attualmente le più avanzate sul mercato in termini di sicurezza, offrendo il controllo del comportamento dei singoli endpoint aziendali. Per quanto efficaci, però, queste soluzioni presuppongono che una persona o un team di esperti sia in grado di gestirle, sorvegliando la piattaforma centralizzata, aggiornando il sistema con le patch più recenti e mantenendosi sempre sul pezzo per sapere come rispondere alle differenti e sempre nuove minacce rilevati: insomma, EDR e XDR presuppongo la presenza di uno o più analisti cyber all’interno dell’azienda.

E’ una tipologia di intrusion detection system specializzato nell’analisi e nel monitoraggio del computer. Una variante del network intrusion detection system, uno strumento indirizzato verso l’analisi del traffico di rete.

La sua funzione è quella di analizzare il comportamento dei programmi eseguiti, permettendo all’utente di identificare un malware da un file benigno. È quindi uno strumento di difesa per computer che non necessita di firme virali o di effettuare analisi euristiche come gli Antivirus, ma che richiede una buona conoscenza del computer. Molte altre aziende stanno implementando degli HIPS nei loro antivirus o firewall.

E’ un sistema di rilevamento delle intrusioni è un dispositivo software o hardware (o a volte la combinazione di entrambi, sotto forma di sistemi stand-alone pre-installati e pre-configurati) utilizzato per identificare accessi non autorizzati ai computer o alle reti locali. Le intrusioni rilevate possono essere quelle prodotte da cracker esperti, da tool automatici o da utenti inesperti che utilizzano programmi semiautomatici.

Sono dei componenti software attivi sviluppati per incrementare la sicurezza informatica di un sistema informatico, individuando, registrando le informazioni relative e tentando di segnalare e bloccare le attività dannose. Rappresentano un’estensione dei sistemi di rilevamento delle intrusioni (intrusion detection system, IDS) perché entrambi controllano il traffico e le attività di sistema per identificare l’esecuzione di codice non previsto, ma a differenza di quest’ultimi, gli IPS sono posizionati inline e sono abilitati a prevenire e bloccare le intrusioni identificate. Più specificamente, IPS può eseguire alcune azioni come mandare un allarme, eliminare pacchetti malevoli, resettare le connessioni e/o bloccare il traffico da un indirizzo IP attaccante. IPS può anche correggere gli errori CRC (cyclic redundancy check), deframmentare pacchetti, evitare problemi di sequenza TCP e ripulire i livelli di trasporto e rete da opzioni indesiderate.

Sono sistemi di monitoraggio della sicurezza della rete. Per la sorveglianza regolare e ciclica di un sistema per individuare eventuali attacchi informatici o violazioni che potrebbero essere passati inosservati.