Cybersecurity & Privacy

Come scegliere il miglior antispam per la tua azienda

Scritto da Cristiano Pastorello | Mar 1, 2017 11:00:00 PM

Ciò che rientra nel concetto di posta elettronica “indesiderata” non è solo lo Spam, ci sono altri tipi di messaggi molto più pericolosi come i Phishing e quelli contenenti malware. Oltretutto non dobbiamo dimenticare il mondo della posta in uscita, spesso trascurata. Importante non solo dal punto di vista delle informazioni riservate che può contenere, ma anche da quello della salvaguardia della reputazione del nostro sistema di posta agli occhi di Internet.

Vediamo ora un ordine di valutazione utile per indentificare quali sono le nostre necessità di controllo e filtraggio della posta e in base a queste scegliere il prodotto più adatto. 

1 - Per prima cosa è necessario individuare il livello di sicurezza da implementare.

In questo momento nei prodotti professionali disponibili sul mercato possiamo trovare queste 2 categorie di sicurezza: 

  • Base: Antispam, Antimalware.
  • Avanzato: Anti-Phishing, Sandboxing.

Già qui si apre subito una considerazione, che è sempre la solita, se un certo tipo di controllo esiste significa che serve, perché evidentemente siamo sottoposti a dei pericoli per i quali si rende necessario.

Purtroppo ciò non significa che siano accessibili a tutti dal punto di vista del budget, quindi molto spesso tutta la sensibilità del mondo su questo tema non basta per poterli adottare.   

Per lo meno finché che le nostre crociate in azienda non diventino abbastanza convinte e travolgenti da smuovere management a concederci il budget, del resto parliamo di ben poca cosa rispetto la media degli investimenti aziendali.

Usando propriamente il termine, quando parliamo di “Antispam” intendiamo la funzione che blocca la posta indesiderata più semplice, la pubblicità, più fastidiosa che pericolosa.Questo tipo di controllo ha l’arduo compito di bloccare tutto e solo lo spam, lasciando passare tutte e solo le mail lecite.

Anche se non si tratta di minacce complesse e molto pericolose, raggiungere questa performances non è banale e risulta molto importante per non impattare sull’operatività aziendale.

L’antispam ideale ha un catch rate del 100% e falsi positivi dello 0%.

Lato Phishing servono controlli più complessi e dedicati. Questa differenziazione nasce dal fatto che non contengono nessun tratto distintivo tipico dello Spam, infatti sono tentativi di truffa che prendono di mira l’utente e pertanto a livello visivo e di contenuto devono sembrare messaggi leciti, altrimenti non sarebbero efficaci.

Il Phishing è usato come veicolo per infezioni gravi come i Ransomware, il costo di un’infezione da Cryptolocker è molto più alto del prezzo di un buon antiphishing quindi adottarne uno efficace è anche economicamente vantaggioso.

Il Sandboxing invece è l’ultima linea di difesa, attualmente la più evoluta, generalizzando interviene per correggere l’errore umano, attivandosi in seguito ad un’azione sbagliata.

 

2 - Valutare la qualità dei servizi di sicurezza  

  • Antispam: attraverso i valori dello spam catch rate che deve essere prossimo al 100% e dei falsi positivi che devono essere prossimi allo 0%. In questo non è consigliato affidarsi solamente ai valori indicati dai Vendor, ci sono laboratori autonomi che si occupano proprio di fare questi test e metterne a disposizione i risultati tramite report che paragonano più prodotti. (AV Test, Virus Bulletin)

  • Antiphishing: i phishing sono tali per cui non possono essere rilevati da un sistema automatico, questo servizio ha il compito di controllare alcuni aspetti della mail e mettere in guardia l’utente se c’è qualcosa di sospetto. Queste segnalazioni devono essere tempestive e non possono passare inosservate, quindi il servizio è migliore quanto più sono rapide ed inequivocabili.

  • Antimalware: può essere valutato in base al numero di firme presenti nel database e la frequenza di distribuzione.

  • Sandbox: Il servizio deve analizzare le pagine Web prima che queste vengano visualizzate dal browser alla ricerca di comportamenti maligni. Ne sono un esempio il download di un file, l’esecuzione di un exploit kit, l’invio dei dati di una form ad una destinazione non coerente con il contesto. Può comprendere anche l’emulazione dei file, ovvero degli allegati, detonandoli in un ambiente virtuale isolato per analizzarne l’operato e gli effetti.

   

 3 – Valutare l’usabilità e il grado di personalizzazione del prodotto

Sono aspetti difficili da quantificare ma estremamente importanti, più è semplice e intuitivo più è usabile, ma meno customizzabile e viceversa. Di solito le aziende medio-piccole prediligono l’usabilità, per facilitare il lavoro del reparto IT che può essere di dimensioni ridotte. Mentre nelle grandi organizzazioni si preferisce un prodotto che offre maggiori possibilità di personalizzazione, perché sarà gestito da team di tecnici più strutturato.

 

4 – Valutare il tipo di installazione

  • On premise, cioè installati in una delle sedi aziendali.
  • Hosted, presso un provider di servizi esterno

Le versioni su rete locale sono più economiche perché non vi è la componente dell’ hosting, inoltre offrono possibilità di intervento diretto ad ogni livello della macchina in caso di necessità. La soluzione Hosted costa di più per la componente del servizio ma presenta notevoli vantaggi.

Innanzitutto permette di semplificare la struttura interna e di demandare la preoccupazione della continuità del servizio a qualcun altro. Oltre a questo ottimizza l’uso della banda Internet poiché si riceve solo la posta pulita e in caso di guasto della connettività, si può mantenere la coda per scaricarla nel momento in cui viene risolto.

Inoltre alcuni sono prodotti multi-dominio in grado di instradare la posta su server differenti e distribuiti sulle sedi geografiche, in questo scenario una versione hosted, magari clusterizzata, è l’ottimale.

 

5 – Se On Premise valutare il tipo di appliance

  • Su hardware proprietario
  • Virtual appliance

Tranne rarissimi casi i Vendor che propongono entrambe le soluzioni le rendono disponibili con features identiche, questo permette di scegliere l’uno o l’altro solamente sulla base di considerazioni specifiche.

Le subscription delle hardware appliance sono più costose, oltre al rinnovo della licenza per i servizi di sicurezza comprendono anche la garanzia di sostituzione in caso di guasto. Quindi scegliere un’appliance hardware significa beneficiare di questo aspetto accettando di sostenere un costo maggiore, trattandosi di un prodotto di sicurezza ne può valere la pena.

Le virtual appliance consentono al produttore di marginare molto di più, non sostiene costi legati all’hardware e scorte di magazzino, niente costi di spedizione e tutta la gestione è più agile e veloce. Per questi motivi sono anche più economiche per il cliente finale.

Nella guida “7 Cose che devi sapere per scegliere il miglior antispam” abbiamo approfondito questi argomenti, descrivendo tutte le funzioni che oggi in un antispam non possono proprio mancare.

Scopri quali sono, scarica il pdf gratuito della guida!