Aggiunta di un nuovo livello di sicurezza basato su hardware

Proteggete la vostra azienda con le nuove funzionalità di sicurezza basata su hardware per mitigare i rischi per la sicurezza degli endpoint.1 2 3

Garantire la sicurezza degli endpoint è fondamentale per il valore e la reputazione delle aziende. Scoprite in che modo una moderna piattaforma PC consenta alle aziende di rispondere alle minacce informatiche sempre più sofisticate grazie all'adozione di un approccio di sicurezza combinato, basato su software e hardware, in grado di aiutare a proteggere risorse, dati e infrastruttura vitali.

Perché la sicurezza basata su software non è più sufficiente

Le aziende si affidano in genere a software dedicato alla sicurezza per proteggere le proprie risorse. Tuttavia, la sicurezza basata su software può essere aggirata da hacker che dispongono di privilegi più elevati grazie a vulnerabilità del software o dell'hardware. In base alla progettazione, l'hardware e il firmware hanno una migliore visuale del sistema e una maggiore capacità di protezione.

Tuttavia, anche l'hardware deve essere protetto, perché gli autori di attacchi sofisticati possono cercare eventuali vulnerabilità che potrebbero esistere a livello di firmware. Da un recente sondaggio è emerso che il 63% delle aziende ha subito violazioni a causa di una vulnerabilità dell'hardware o dei processori.4 Le funzioni di sicurezza basate su hardware integrate a livello di silicio possono contribuire a proteggere meglio lo stack, fornendo una base affidabile per la strategia di sicurezza degli endpoint dell'organizzazione.

Che cos'è la sicurezza hardware?

Il software di sicurezza tradizionale continua a offrire un certo livello di protezione agli utenti finali. E la sicurezza del sistema operativo si sta spostando verso un nuovo modello in cui container virtualizzati possono essere utilizzati per isolare e verificare l'integrità delle applicazioni, dei browser Web e dei dati in esecuzione negli ambienti containerizzati. La virtualizzazione offre la possibilità di offrire protezione tramite isolamento. Riduce inoltre al minimo le possibilità del malware di agire sul sistema, grazie all'accesso limitato alle risorse di sistema e all'impossibilità di persistere nel sistema. Tuttavia, le protezioni offerte dal software come la sicurezza del sistema operativo, la crittografia e la sicurezza di rete rappresentano una sola dimensione della sicurezza IT per le aziende attuali.

La sicurezza basata su hardware adotta un approccio multidimensionale, non solo per integrare la sicurezza basata su software, ma anche per aggiungere efficienza all'implementazione e alla gestione delle protezioni per l'infrastruttura di computing.

Le aziende hanno bisogno di un livello elevato di sicurezza che le proprie risorse siano protette attraverso una strategia di sicurezza IT completa. Questa garanzia richiede un'elevata visibilità e resilienza del firmware, con la conseguente certezza che i carichi di lavoro siano eseguiti su piattaforme affidabili.

Sicurezza hardware e sicurezza software
Un'area di vulnerabilità emergente è il codice presente nel firmware dei dispositivi che viene eseguito all'accensione per preparare l'avvio del sistema operativo. Gli hacker sono alla ricerca di modi per introdurre malware in questo codice al di sotto del sistema operativo, che per impostazione predefinita non richiedeva controlli di sicurezza e integrità progettati nella propria sequenza. Di conseguenza, il sistema operativo "si fida" di questo codice anche quando questo contiene un payload malware nefasto.

La manomissione è un altro modo in cui può verificarsi un'intrusione di malware al di sotto del sistema operativo in qualsiasi punto del processo che va dalla produzione alla distribuzione. Gli attacchi fisici stanno diventando sempre più facili e preoccupanti per i team IT. Per mitigare questa minaccia, una moderna piattaforma PC può integrare la sicurezza potenziata a livello di hardware che inizia dalla linea di assemblaggio. Oltre alla garanzia da parte dei produttori dell'autenticità dei componenti dei dispositivi certificati, vengono effettuate misurazioni di riferimento del codice del firmware prima della chiusura ermetica del firmware, prima del trasporto e della consegna. Questo approccio consente al reparto IT di determinare se il dispositivo appena ricevuto è stato manomesso prima della prima accensione.

Naturalmente, una manomissione può avvenire in qualsiasi momento nel ciclo di vita di una risorsa. A ogni accensione successiva, la tecnologia verifica i caricatori che avviano il codice ed eseguono la sequenza di avvio del firmware e del sistema operativo. Questo livello di sicurezza aggiuntivo contribuisce a ridurre il rischio di manomissione volta a introdurre codice dannoso al di sotto del sistema operativo.

Una piattaforma PC di livello aziendale fornisce un livello aggiuntivo di sicurezza basata su hardware che offre al reparto IT una base sicura per operazioni di semplificazione e scalabilità.

Strategie di sicurezza per l'ambiente aziendale

La sicurezza basata su hardware svolge un ruolo fondamentale in un approccio di sicurezza completo. Ecco alcune delle principali strategie che le aziende stanno adottando oggi.

Sicurezza degli endpoint ottimizzata tramite hardware
Gli endpoint del parco di PC sono gli obiettivi attraverso i quali gli hacker tentano di accedere ai dati o di inserire malware all'interno del firewall aziendale. Le implicazioni aziendali di queste minacce per la sicurezza stanno spingendo le organizzazioni a passare a un modello di protezione ottimizzato tramite hardware che contribuisce a ridurre i rischi della sicurezza basata su software a livello di dispositivo. Grazie alla sicurezza avanzata degli endpoint, i modelli di intelligenza artificiale utilizzano la telemetria hardware per rilevare gli attacchi nascosti.

Trasparenza e garanzia del firmware
Questa strategia prevede la rimozione dei punti ciechi del firmware e il miglioramento della visibilità sulla piattaforma di dispositivi, consentendo al reparto IT di creare l'attendibilità di quello che risiede all'interno di una specifica piattaforma.

Ambienti IT gestiti
Grazie alle funzionalità di gestibilità ottimizzate, gli amministratori IT possono accendere i sistemi in remoto per implementare patch di sicurezza o soluzioni di risposta alle minacce e quindi spegnerli quando non vengono utilizzati per risparmiare energia. Possono utilizzare una funzione KVM (Keyboard Video Mouse) out-of-band per assumere il controllo di tastiera, monitor e mouse di endpoint off-site, anche di sistemi incustoditi, per implementare patch di sicurezza. Inoltre, un ambiente IT gestito consente di migliorare le capacità di ripristino da errori o attacchi e di prevenire gli attacchi DoS.

Vantaggi per la sicurezza della piattaforma Intel vPro®

La piattaforma Intel vPro®, progettata per le aziende, offre funzionalità di sicurezza ottimizzate tramite hardware che contribuiscono a proteggere tutti i livelli dello stack di elaborazione. Le aziende possono trarre vantaggio dalla trasparenza della catena di fornitura e dalla tracciabilità dei componenti dei PC, dalle scansioni avanzate della memoria e dal supporto basato su hardware dei servizi di sicurezza di Windows* 10. Inoltre, il reparto IT ha la possibilità di implementare rapidamente correzioni software sulle vulnerabilità critiche dei PC gestiti.

Sicurezza endpoint

Gli endpoint sono i portali utilizzati dagli hacker per accedere ai dati critici o per incorporare codice dannoso nei sistemi. E gli ambienti di lavoro attuali dispongono di un'ampia gamma di dispositivi in grado di mettere alla prova la sicurezza degli endpoint. Come parte della piattaforma Intel vPro®, Intel® Hardware Shield consente al team IT di implementare policy a livello di hardware per garantire che, qualora venga inserito un codice dannoso, questo non sia in grado di accedere ai dati.

Rafforzamento della protezione del sistema

Lo sviluppo della piattaforma Intel vPro® si è evoluto attraverso processi di rafforzamento della protezione del sistema con funzionalità di sicurezza basate su hardware ottimizzate. Il vantaggio per le organizzazioni include protezione del firmware configurabile, sicurezza del BIOS per ridurre la superficie di attacco e rilevamento avanzato delle minacce.

Patch di sicurezza e risposta alle minacce

La tecnologia Intel® Active Management (Intel® AMT) della piattaforma Intel vPro® consente l'accesso e la gestione in remoto dell'intera organizzazione. Il team IT può utilizzare queste tecnologie per eseguire tempestivamente l'applicazione di patch di sicurezza e di soluzioni di risposta alle minacce. L'applicazione di patch di sicurezza consente di aggiornare un numero elevato di dispositivi indipendentemente dalla loro posizione. Le soluzioni di risposta alle minacce sono attuate implementando contromisure per ridurre la vulnerabilità degli endpoint a un attacco specifico.

Informazioni su prodotti e prestazioni

1

Le caratteristiche e i vantaggi delle tecnologie Intel® dipendono dalla configurazione di sistema e potrebbero richiedere hardware e software abilitati o l'attivazione di servizi. Le prestazioni variano in base alla configurazione di sistema. Nessun prodotto o componente è totalmente sicuro. Rivolgersi al produttore o al rivenditore del proprio sistema oppure consultare il sito Web https://www.intel.it.

2

Gli scenari di riduzione dei costi descritti sono da intendersi come esempio di come un determinato prodotto Intel®, in circostanze e configurazioni specificate, può avere effetto sui costi futuri e consentire risparmi. Le circostanze possono variare. Intel non garantisce alcun costo o diminuzione dei costi.

3

Intel non controlla né verifica dati di terze parti. Si consiglia di controllare questi contenuti, consultare altre fonti e verificare se i dati riportati sono accurati.

4Fonte: Match Present-Day Security Threats with BIOS-Level Control, uno studio sulla leadership di Forrester Consulting commissionato da Dell del giugno 2019.