Rotolando verso sud

Verso la fine di luglio ho iniziato un’altra serie (quasi) infinita di POC, questa volta riguardante l’universo degli endpoint security enterprise. Per mia fortuna questa volta le soluzioni sono veramente poche (a differenza delle soluzioni di log management che ancora oggi non sono riuscito a censire completamente). Il mercato dice che le uniche soluzioni enterprise che al momento vanno per la maggiore nei grandi contesti aziendali sono:

• Symantec
• Sophos
• Trendmicro
• Forescout

Le prime tre della lista sono soluzioni all in one che comprendono application & device controll, nac e antivirus; l’ultima, nel dettaglio CounterACT, è specializzata solo sulla parte di nac e application & device controll senza fornire direttamente una soluzione antivirus.

Tralasciando le problematiche di prestazione e pesantezza degli agenti software delle varie soluzioni (dove Sophos è risultata la migliore in quanto l’agente è risultato essere il più leggero e performante), LA PROBLEMATICA più evidente è stata quella del supporto ai sistemi operativi a 64 bit, nonostante siano ormai da anni sul mercato, in primis con Vista (ma senza una massiccia diffusione) e in secundis con Seven, solo Sophos e Forescout ad oggi risultano supportare al 100% tutti i sistemi operativi della famiglia Windows per quanto riguarda gli agenti che hanno funzione di access & device controll. I rimanenti concorrenti non hanno ancora sviluppato soluzioni di access & device controll per i sistemi operativi a 64 bit, limitandosi a fornire un supporto in emulazione per quanto riguarda la sola soluzione dell’ antivirus. Il miglior sistema di application & device controll, sempre a mio modestissimo ed umilissimo parere, è risultato quello di Sophos, unico sistema che basa il controllo degli applicativi eseguiti nel sistema su un controllo di firme contenute all’interno di un database centralizzato, aggiornato automaticamente dal vendor stesso che rilascia nuove firme almeno 2 volte al giorno (utilizzando la stessa filosofia del rilascio di firme per l’identificazione di malware/virus) lasciando comunque la possibilità di calcolare manualmente firme di applicativi non censiti; Symantec propone un controllo dei processi mediante nome file eseguito e o fingerprint ma senza l’utilizzo di un database centralizzato limitandosi al calcolo della firma in locale per ogni singola macchina, il tutto risultando scomodo e macchinoso soprattuto quando mi ritrovo eseguibili modificati da un aggiornamento automatico che farebbero saltare il controllo, per non parlare della semplice opzione di rinomino file dell’eseguibile; Trendmicro invece basa il suo application controll solo sul controllo del file eseguito mediante un censimento dei percorsi completi (ad esempio c:\Programmi\Pippo\pluto.exe) da fare localmente su ogni singolo computer; anche qui, se sostituisco fisicamente il file pluto.exe con un altro file sempre chiamato pluto.exe ho baipassato il controllo.

Sulla parte di device controll sono tutti abbastanza equivalenti, cioè si può negare o limitare l’utilizzo della risorsa, censire l’utilizzo solo di determinati device, come ad esempio censire le memorie usb che si possono collegare alle postazioni aziendali negando l’accesso a tutte quelle non censite. So anche dell’esistenza di alcune soluzioni, che non ho provato personalmente, di cifratura della memoria esterna dove il decrypt dei dati è eseguito solo se colleghiamo la memoria ad un asset aziendale, rendendo così impossibile la lettura dei dati utilizzando un computer che non rientra nelle postazioni aziendali.

I test più interessanti sono stati eseguiti sulla parte NAC mediante soluzioni dot1x native (ove possibile); i vendor coinvolti sono tutti tranne Trendmicro. L’ambiente è composto dalla parte server della soluzione, uno switch configurato ad hoc con la parte radius server del vendor, un portatile utilizzato come asset aziendale (e quindi con agente persistente) con attaccato in cascata, su una porta POE, un telefono voip su vlan voce dedicata e un altro portatile (con agente dissolvente) usato come pc di cliente o dipendente esterno che ha necessità di collegarsi alla rete. Le funzione che mi interessava testare è quella di presentare tutti i computer che si collegano alla rete su una vlan di quarantena e di passare alla vlan di produzione solo e soltanto quando il computer passa alcuni test che lo rendono compliance alla rete di prod (test come ad esempio se hanno un antivirus e se lo stesso è aggiornato o meno, ecc). La soluzione migliore è risultata essere quella di Symantec sia per quanto riguarda i controlli con l’agente persistente sia (e soprattutto) per l’agente dissolvente, proprio quest’ultimo è risultato essere l’unico agente che rimane attivo per tutta la durata del collegamento e se la postazione non rispetta più le policy  assegnate, la postazione viene rimessa subito in quarantena, rimanendoci fino a quando il pc non rispetterà tutte le policy; il tutto senza far resettare il telefono voip, mantenendolo sempre on line (cosa che gli altri vendor non fanno perchè al momento del cambio della vlan, resettano l’interfaccia facendo così cadere la connessione e quindi anche la corrente elettrica che alimenta il telefono).

La reportistica e la gestione di allarmi ad evento è grosso modo uguale per tutte le soluzioni.

Il supporto dei vendor durante il POC è stato quasi sempre ottimale. Tutti i vendor sono sempre risultati disponibi ma non sempre con la risposta pronta con tempi di risoluzione del problema forse un po troppo lunghini.

Voglio precisare che questi sono miei test personali e che con questo non voglio criticare il lavoro di nessuno ma solo capire come funzionano le soluzioni provate; a voi il giudizio finale su qual’è la miglior soluzione :-)