Vai al contenuto

Endpoint: Protezione dalle minacce

La protezione contro le minacce protegge i sistemi contro malware, tipi di file e siti web pericolosi, e traffico di rete malevolo.

I SophosLabs sono in grado di controllare in maniera indipendente i file che vengono sottoposti a scansione. Potrebbero aggiungere o rimuovere la scansione di tipi di file specifici, al fine di garantire i massimi livelli di protezione.

Per maggiori informazioni su come valutiamo le minacce, visitare il Sophos Threat Center.

Usa impostazioni consigliate

Avviso

Si consiglia di riflettere attentamente prima di modificare le impostazioni consigliate, in quanto tale operazione potrebbe abbassare il livello di sicurezza.

Cliccare su Usa impostazioni consigliate se si desidera utilizzare le impostazioni consigliate da Sophos. Queste impostazioni offrono il miglior livello di protezione disponibile, eliminando la complessità della configurazione.

Se in futuro le nostre impostazioni consigliate dovessero cambiare, provvederemo ad aggiornare automaticamente il criterio con le modifiche apportate.

Le impostazioni consigliate offrono:

  • Rilevamento del malware noto.
  • Verifiche nel cloud per abilitare il rilevamento del più recente malware noto a Sophos.
  • Rilevamento proattivo del malware inedito.
  • Rimozione automatica del malware.

Configurazione della Protezione contro le minacce

Questo video spiega come configurare un criterio di Protezione contro le minacce e include i nostri consigli sulle best practice.

Deep Learning

Il deep learning sfrutta tecnologie avanzate di machine learning per rilevare le minacce. È in grado di identificare malware noto e precedentemente sconosciuto, nonché applicazioni potenzialmente indesiderate, senza utilizzare firme.

Il deep learning è disponibile solamente con Sophos Intercept X.

Live Protection

Sophos Live Protection analizza i file sospetti confrontando i dati con le informazioni più aggiornate sul malware presenti nel database dei SophosLabs.

È possibile scegliere tra le seguenti opzioni:

Usa Live Protection per controllare le informazioni sulle minacce più recenti fornite da SophosLabs e disponibili online: Questa opzione verifica i file durante le scansioni in tempo reale.

Scansione in tempo reale - File locali e condivisioni di rete

Le scansioni in tempo reale analizzano i file a cui gli utenti cercano di accedere, autorizzando l'accesso se i file risultano sicuri.

I file locali vengono sottoposti a scansione per impostazione predefinita. È anche possibile selezionare File remoti per eseguire la scansione dei file sulle condivisioni di rete.

Scansione in tempo reale - Internet

La scansione in tempo reale analizza le risorse internet nel momento in cui gli utenti cercano di accedervi. È possibile scegliere tra le seguenti opzioni:

Eseguire la scansione sui download in corso

Bloccare l'accesso ai siti Web dannosi: Questa opzione blocca l'accesso ai siti web noti per ospitare malware.

Rileva file con reputazione bassa: Questa opzione segnala quando la reputazione di un download è bassa. La valutazione di tale reputazione si basa sull’origine del file, sulla sua frequenza di download e su altri fattori.

È possibile specificare:

  • Azione da intraprendere sui download con reputazione bassa: Selezionando Richiedi conferma all'utente, gli utenti vedranno un avviso quando scaricano un file con reputazione bassa. Potranno quindi scegliere di considerare il file attendibile, oppure di eliminarlo. Si tratta dell’impostazione predefinita.

  • Livello di reputazione: Selezionando Rigido, verranno rilevati i file con reputazione media, oltre a quelli con reputazione bassa. L’impostazione predefinita è Consigliato.

Vedere Reputazione dei download.

Correzione

Le opzioni di correzione sono:

  • Rimuovi automaticamente il malware: Sophos Central cercherà di rimuovere automaticamente il malware rilevato.

    Se il processo di rimozione viene completato correttamente, l'avviso relativo al malware rilevato sarà eliminato dall'elenco Avvisi. Il rilevamento e la rimozione verranno visualizzati nell'elenco Eventi.

    Nota

    I file PE (Portable Executable), quali ad esempio applicazioni, librerie e file di sistema, vengono sempre rimossi, anche se si disattiva la rimozione automatica. I file PE verrano messi in quarantena e potranno essere ripristinati.

  • Abilita creazione di grafici delle minacce: I casi di minacce permettono di indagare sulla catena di eventi relativi a un attacco di malware, identificando le opportunità di migliorare la sicurezza.

Protezione runtime

Per poter utilizzare alcune opzioni, occorre iscriversi al Programma di accesso in anteprima (Early Access Program, EAP).

La Protezione runtime protegge i sistemi contro le minacce, rilevando comportamenti o traffico sospetti o malevoli. È possibile selezionare:

  • Proteggi i file di documento da ransomware (CryptoGuard): Questa opzione serve a difendere i file di documento dalle categorie di malware che agiscono limitando l'accesso ai file ed esigendo il pagamento di un riscatto per il rilascio delle informazioni. È anche possibile proteggere i computer a 64 bit contro ransomware eseguito da un percorso remoto.

    • Proteggi contro attacchi di cifratura dei file system: Questa opzione protegge il computer dal ransomware che agisce cifrando il file system. Selezionare l'azione che si desidera eseguire se viene rilevato ransomware. È possibile terminare i processi di ransomware o isolarli per impedire che scrivano sul file system.
  • Proteggi contro ransomware che attacca il record di avvio principale: Questa opzione serve a proteggere il computer dai ransomware che cifrano il record di avvio principale (impedendo quindi l’avvio) e dagli attacchi di formattazione dell’hard disk.

  • Proteggi funzioni critiche nei browser Web (Safe Browsing): Questa opzione protegge i browser web dagli exploit del malware.
  • Attenua exploit in applicazioni vulnerabili: Questa opzione difende le applicazioni più esposte agli exploit da parte del malware. È possibile selezionare i tipi di applicazioni da proteggere.
  • Proteggi processi: Questa opzione aiuta a prevenire l’hijacking di applicazioni legittime da parte del malware. È possibile scegliere tra queste opzioni:

    • Impedisci attacchi di process hollowing. Questa opzione difende i sistemi dagli attacchi di sostituzione dei processi.
    • Impedisci il caricamento di DLL da cartelle non attendibili. Questa opzione protegge dal caricamento di file .DLL da cartelle non attendibili.
    • Impedisci furto delle credenziali. Questa opzione impedisce il furto delle password e delle informazioni sull'hash da memoria, registro di sistema e hard disk.
    • Impedisci utilizzo dei code cave. Questa opzione rileva il codice malevolo che è stato inserito in un'altra applicazione legittima.
    • Impedisci violazione delle APC. Questa opzione impedisce agli attacchi di utilizzare le chiamate di procedura delle applicazioni (Application Procedure Calls, APC) per eseguire il proprio codice.
    • Impedisci privilege escalation. Questa opzione impedisce agli attacchi di passare da processi dotati di privilegi bassi a processi con privilegi più elevati per accedere ai sistemi.
  • Protezione dinamica dello shellcode. Questa opzione rileva il comportamento tipico degli agenti di accesso remoto clandestini e impedisce ai cybercriminali di ottenere il controllo delle reti.

  • Convalida chiamante Protocollo CTF. Questa opzione intercetta e blocca le applicazioni che cercano di attaccare CTF tramite exploit.

    Esiste una vulnerabilità in un componente di Windows, noto semplicemente come “CTF”, che è presente in tutte le versioni a partire da Windows XP. Permette a cybercriminali non autorizzati e senza privilegi di amministrazione di assumere il controllo di qualsiasi processo Windows, comprese le applicazioni eseguite in una sandbox.

  • Impedisci sideload di moduli non sicuri. Questa opzione impedisce il sideload da parte di un’applicazione DLL dannosa che si spaccia per un’ApiSet Stub DLL.

    Le ApiSet Stub DLL sono DLL che svolgono il ruolo di proxy per mantenere la compatibilità tra le applicazioni meno recenti e le versioni più recenti dei sistemi operativi. I cybercriminali possono collocare ApiSet Stub DLL dannose nei sistemi, per manipolare questa funzionalità o per bypassare il blocco rimozione e terminare la protezione antimalware.

  • Proteggi i cookie del browser con l’accesso tramite autenticazione a fattori multipli (MFA). Questa opzione impedisce alle applicazioni non autorizzate di decifrare la chiave AES utilizzata per cifrare i cookie dell’autorizzazione a fattori multipli (Multi-Factor Authentication, MFA).

  • Proteggi traffico di rete. È possibile scegliere tra queste opzioni:

    • Rileva le connessioni malevole verso i server di comando e controllo (C&C). Questa opzione rileva se il traffico tra computer endpoint e server mostri comportamenti che possono indicare un tentativo di assumere il controllo di un endpoint.
    • Previeni il traffico di rete malevolo con l'ispezione dei pacchetti. Questa opzione serve ad analizzare il traffico al livello più basso e a bloccare le minacce prima che possano danneggiare sistema operativo o applicazioni.
  • Rileva comportamento dannoso: Questa opzione difende i sistemi dalle minacce che non sono ancora conosciute. Agisce rilevando e bloccando comportamenti sospetti o noti per essere malevoli.

  • Protezione AMSI (con scansione ottimizzata per l'individuazione delle minacce basate su script): Questa opzione protegge i sistemi dal codice malevolo (ad es. script di PowerShell) utilizzando l'Antimalware Scan Interface (AMSI) di Microsoft. Il codice inoltrato tramite AMSI viene sottoposto a scansione prima di essere eseguito e le applicazioni utilizzate per eseguire codice appartenente a minacce ricevono una notifica da Sophos. Se il sistema rileva una minaccia, viene creato un evento nel log. È possibile impedire che la registrazione ad AMSI venga rimossa dai computer. Vedere Antimalware Scan Interface (AMSI).

Impostazioni avanzate

Queste impostazioni devono essere utilizzate esclusivamente a scopo di test o di risoluzione dei problemi. Si consiglia di lasciare le impostazioni predefinite per queste opzioni.

Decifratura SSL/TLS di siti web HTTPS

Se si seleziona Decifra siti web utilizzando SSL/TLS, i contenuti dei siti web HTTPS vengono decifrati ed esaminati, per individuare eventuali minacce sui computer dei clienti.

Se decifriamo un sito web rischioso, lo blocchiamo. Mostriamo all'utente un messaggio e offriamo la possibilità di inviare il sito ai SophosLabs per eseguirne una nuova valutazione.

Per impostazione predefinita, la decifratura è disattivata.

Nota

Se la decifratura è attivata nel criterio di Protezione dalle minacce applicato a un dispositivo, verrà utilizzata anche per le verifiche del Controllo web sullo stesso dispositivo.

Se si decide di procedere in questo modo, i clienti non potranno apportare modifiche.

Nota

Se i clienti partecipano all’EAP “Nuove funzionalità di Endpoint Protection”, possono attivare o disattivare la decifratura per i siti web HTTPS e possono apportare modifiche alle impostazioni che sono state specificate.

Isolamento dispositivi

Selezionando questa opzione, i dispositivi si isoleranno automaticamente dalla rete se il loro stato di integrità dovesse diventare rosso. Lo stato di integrità di un dispositivo diventa rosso quando vengono rilevate minacce, quando è presente software obsoleto, quando il dispositivo non risulta conforme al criterio, oppure quando non è dotato di una protezione adeguata.

I dispositivi isolati possono continuare a essere gestiti da Sophos Central. È anche possibile utilizzare esclusioni dalla scansione o esclusioni globali per concedere accesso limitato a scopo di risoluzione dei problemi.

Questi dispositivi non possono essere rimossi dall'isolamento. Comunicheranno di nuovo con la rete una volta ripristinato uno stato di integrità verde.

Scansione pianificata

La scansione pianificata effettua una scansione all’ora o alle ore specificate.

È possibile scegliere tra le seguenti opzioni:

  • Abilita scansione pianificata: Questa opzione consente di definire un orario e uno o più giorni nei quali svolgere la scansione.

    Nota

    L’ora della scansione pianificata è la stessa dei computer endpoint (non un’ora UTC).

  • Abilita scansione profonda: Selezionando questa opzione, durante le scansioni pianificate vengono analizzati i file compressi. Questa operazione può aumentare il carico del sistema e rallentare notevolmente la scansione.

Esclusioni

File, cartelle, siti web e applicazioni possono essere esclusi dalla scansione alla ricerca di minacce procedendo come indicato di seguito.

Gli elementi esclusi continueranno a essere analizzati per verificare l'eventuale presenza di exploit. Tuttavia è possibile interrompere le analisi volte a individuare la presenza di un exploit già rilevato (utilizzando un'esclusione Exploit rilevati).

Le esclusioni impostate in un criterio vengono utilizzate solamente per gli utenti ai quali viene applicato il criterio.

Nota

Se si desidera applicare esclusioni a tutti gli utenti e i server, impostare esclusioni globali nella pagina Impostazioni globali > Esclusioni globali.

Per creare un’esclusione dalla scansione in un criterio:

  1. Cliccare su Aggiungi esclusione (nella parte destra della pagina).

    Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

  2. Nell'elenco a discesa Tipo di esclusione, selezionare un tipo di elemento da escludere (file o cartella, sito web, applicazione potenzialmente indesiderata o isolamento del dispositivo).

  3. Specificare l’elemento o gli elementi da escludere.
  4. Solo per le esclusioni File o cartella, nell’elenco a discesa Attivo per, specificare se l’esclusione debba essere valida per la scansione in tempo reale, per la scansione pianificata, o entrambe.
  5. Cliccare su Aggiungi o su Aggiungi un altro. L’esclusione viene aggiunta all’elenco delle esclusioni dalla scansione.

Per modificare un’esclusione in un secondo momento, cliccarne il nome nell’elenco delle esclusioni, inserire le nuove impostazioni, e successivamente cliccare su Aggiorna.

Messaggistica desktop

È possibile aggiungere un messaggio al termine delle notifiche standard. Se si lascia vuota la casella del messaggio, verrà visualizzato solamente il messaggio standard.

La Abilita la messaggistica desktop per la protezione dalle minacce è abilitata per impostazione predefinita. Se viene disattivata, non verrà visualizzato alcun messaggio di notifica relativo alla protezione contro le minacce.

Immettere il testo che si desidera aggiungere.