Sicurezza informatica: come evitare di farsi spazzare via

 Sicurezza informatica: come evitare di farsi spazzare via

malware

[dropcap]V[/dropcap]enti anni fa Stephen Hawking, importante fisico e autore, ha dichiarato che i virus dei computer dovrebbero essere trattati come una forma di vita, poiché vivono sfruttando il metabolismo dei computer host che infettano e ne diventano parassiti. I decenni a seguire hanno confermato la veridicità di questa affermazione, con infezioni malware che hanno registrato una crescita esponenziale. E come le altre forme di vita, anche i virus si sono evoluti. Nel 2013 ad esempio abbiamo visto l’emergere del cosiddetto ransomware, che i criminali utilizzavano per ricattare le aziende trattenendo i loro dati in ostaggio e chiedendo un riscatto per il rilascio.
Il passo successivo di tale evoluzione è arrivato con il recente attacco contro Sony Pictures Entertainment, descritto come uno dei più distruttivi mai visti contro un’azienda, che ha messo offline per una settimana gran parte della rete aziendale. L’attacco ha utilizzato un malware di tipo ‘wiper’ che sovrascrive i dischi dei PC, rendendoli non operativi. È difficile e costoso da superare, perché ogni PC infettato deve essere sostituito o ricostruito, ed è quasi impossibile ripristinare i dati sovrascritti utilizzando metodi forensi standard.
Le dimensioni e la tipologia dell’attacco hanno condotto l’FBI a rilasciare un alert immediato, avvisando altre organizzazioni della minaccia potenziale, in particolare poiché il malware specifico utilizzato non era rilevabile da software antivirus convenzionale. È questo ultimo punto a essere particolarmente critico: le aziende non possono proteggersi facilmente contro minacce che le loro difese non sono in grado di “vedere”.

Nascosto, sconosciuto
Il problema nasce dal fatto che nuovo malware sconosciuto continua a essere rilasciato a ritmo sostenuto. È relativamente semplice per i criminali fare piccoli aggiustamenti al codice di un malware, per consentirgli di bypassare il rilevamento delle signature condotto da un antivirus standard, che quindi lascia le aziende vulnerabili. Il Security Report 2014 di Check Point, che ha analizzato milioni di eventi di sicurezza registrati da oltre 10.000 organizzazioni in tutto il mondo, ha riscontrato che, in media, un’azienda scarica inavvertitamente nuovo malware nella sua rete ogni 27 minuti. Si tratta di quasi 50 infezioni malware sconosciute ogni giorno.
Cosa possono fare allora le aziende per proteggersi contro malware distruttivo che non conoscono? Il primo importante passo sta nell’implementazione di best practice di sicurezza raccomandate per proteggere i computer da qualsiasi tipo di infezione:

  • assicurarsi che il software anti-virus sia aggiornato con le ultime signature;
  • verificare che le patch del sistema operativo e del software applicativo siano aggiornate;
  • installare un firewall a due vie sul PC di ogni utente;
  • formare gli utenti sulle tecniche di social engineering, specialmente per quanto riguarda gli allegati provenienti nella posta indesiderata.

Anche se il malware è in grado di eludere il rilevamento dei software antivirus, alcune delle sue azioni potrebbero essere inibite o bloccate dal firewall del PC, o dalla versione più recente di un software, o dalla patch del SO. Tuttavia, queste misure di best-practice non offrono protezione completa contro nuovi attacchi emergenti. Anche a un dipendente esperto di sicurezza può capitare di cliccare inavvertitamente su un allegato email, innescando un’infezione.

Usare la sandbox
Per proteggersi da exploit nuovi e sconosciuti, esiste una tecnica di sicurezza chiamata threat emulation, o sandboxing, che rende possibile identificare e isolare il malware sconosciuto prima che entri nella rete, in modo che l’infezione non avvenga.
L’emulazione permette di guardare all’interno delle tipologie comuni di file che tutti usiamo per lavoro – email, documenti Word, PDF, fogli di calcolo Excel e così via – per vedere se quei file contengono un contenuto malevolo, poiché questo è il vettore più comune per la propagazione di nuovo malware. Il motore di emulazione può funzionare sia sul gateway di sicurezza principale di un’azienda ai confini della rete, o in modalità cloud as-a-service. Quando i file arrivano al gateway o al servizio cloud via email, vengono controllati in un’area di quarantena virtuale conosciuta come “sandbox”. Qui, il file viene lanciato e ne viene monitorato in tempo reale ogni comportamento anomalo, come tentativi di effettuare modifiche di registro o di connettersi a una rete. Se viene rilevato un comportamento sospetto o malevolo, il file viene bloccato e messo in quarantena, prevenendo ogni possibile infezione e conseguente danno.
Tutto il processo avviene in maniera trasparente per la maggior parte dei file –persino nel caso in cui un file venga controllato e verificato come “pulito”, il destinatario previsto non noterà alcun rallentamento nei servizi email. Le informazioni sul file rilevato verranno poi rese disponibili al team IT in un report dettagliato sulle minacce.
L’emulazione delle minacce rappresenta un layer critico di protezione per le organizzazioni contro azioni malware distruttive, agendo da barriera in grado di blocca queste forme di vita parassitarie. Se forse non saremo mai in grado di eliminare del tutto questi agenti malevoli, il sandboxing può certamente aiutarci ad impedire che sottraggano dati e risorse alle aziende.
http://www.checkpoint.com/threatcloud-emulation/

Roberto Pozzi

Partecipa alla discussione

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.