Associando questa difesa sugli endpoint a una difesa perimetrale di altro vendor a layer 7 e togliendo i permessi di administrator agli utenti sugli endpoint, penso di poter costituire una discreta difesa degli endpoint a più livelli (perimetrale, interna con firme+ips+machine learning).
usiamo da tempo un endpoint di un produttore molto famoso con un logo giallo.
Dispone di tutte e tre le classi di protezione che hai citato, oltre ad un personal firewall, il tutto ovviamente gestito centralmente.
Oltre alle misure che hai citato, se utilizzi la virtualizzazione lato server, affiancherei anche la microsegmentazione della rete server, per applicare il metodo del minimo privilegio alla comunicazione server to server e client to server.
Dopo un progetto pilota di oltre un anno ho implementato un’architettura di sicurezza degli endpoint in uso al servizio IT e in alcune workstation critiche che consiste nell’utilizzare prodotti con funzioni separate e di vendor diversi. Un anti-virus tradizionale basato su firme mentre coesiste con un EDR evoluto (A.I. e M.L.) con risultati soddisfacenti a tal punto che sto effettuando un POC per valutare di utilizzare come AV di defualt il Defender per i PC con Windows 10.
Per la parte ids/ips utilizzo un Firewall UTM come core router dell’infrastruttura di rete ( gli switch core fanno solo L2 del traffico) a cui delego sia il routing delle vlan/subnet L3 degli uffici/servizi/server ) che la sicurezza con policy L3/L7 dotate di check AV/IPS e Application L7 (quando possibile) .
In questa, che alcuni definiscono come architettura Deep Security, le funzioni di sicurezza sono diversificate e articolate in modo da rallentare la diffusione di eventuali malware.
Non escludo l’utilizzo di ips anche sugli endopoint ma, a mio parere, è poco efficace come si è evidenziato a giungo 2017 con il caso “Wannacry”. Gli IPS hanno dimostrato di non essere in grado di intercettare le iniezioni di codice effettuare usando i tool sottratti all’NSA. Meglio a questo punto aggiornare gli OS e avere un EDR con funzioni antiransomware che, se ben progettato, con l’A.I e i processi di M.L. potrebbe essere in grado di individuare eventuali nodi compromessi nella rete.