E soprattutto è proprio esclusivamente dell’uomo l’accurata e laboriosa ricerca del vero.
Cicerone.
In Italia la quasi totalità delle imprese (il 99,9%) sono PMI e rappresentano il 68,3% del valore economico globale e l’80,3% degli occupati nel settore privato, comparto finanziario escluso. Per la stragrande maggioranza di queste imprese non si può parlare di una vera gestione dell’IT, né tantomeno della sicurezza. Spesso a occuparsene è solo una persona che nell'impresa ricopre magari un altro ruolo. Anche chi si rivolge a personale esterno, va incontro in genere a problemi analoghi generati da preparazione approssimativa e soprattutto dalla mancanza di direttive precise sul modo in cui l’IT deve supportare l’attività dell’impresa. A confermare questa situazione, ci sono anche i risultati di un’altra ricerca, condotta lo scorso anno da Assintel, su un panel di 750 PMI lombarde. Dalla ricerca emerge il livello ancora superficiale di compliance del settore. Sebbene il 99% delle imprese interpellate abbia messo in campo le misure minime di sicurezza, solo il 58% le ha estese a tutte le macchine (pc e server) presenti in azienda. Dall’indagine di Assintel, emerge inoltre che il 48% delle imprese non aggiorna annualmente il DPS e solo il 39% aggiorna regolarmente sistemi operativi e programmi. Il 21% degli accessi Wi-Fi non è protetto. Solo il 26% utilizza password ispirate ai principi base di sicurezza. E infine il 19% delle PMI dichiara di effettuare il backup una volta al mese quando va bene e solo il 13% lo fa anche su pc e dispositivi portatili.
Secondo gli esperti di Kaspersky Lab, un attacco mirato si articola in quattro fasi. Nella prima si individuano i profili delle vittime, scegliendo tra quelli più vulnerabili. Si passa poi allo sviluppo del programma nocivo, calibrandolo per l’attacco. In seguito, si definiscono gli obiettivi e si appronta la strategia di social engineering su misura. L’obiettivo è un numero ristretto di pc o smartphone. L’importante è che contengano dati di valore: progetti aziendali, proprietà intellettuale, comunicazioni riservate. Gli attacchi più recenti sono subdoli, silenti e automatizzati. «Oggi si mira al furto di informazioni senza “disturbare” il destinatario dell’attacco. La tendenza è di agire in modo rapido e di scomparire in fretta» – afferma Massimiliano Bossi, SMB channel manager Italy di Symantec (www.symantec.com/it). Una tecnica in voga è quella di indurre a installare un aggiornamento per introdurre il malware nei pc. È accaduto di recente con gli update di Java e Adobe Flash Player. Sulla rete sono disponibili programmi che, partendo da vulnerabilità conosciute, sviluppano codice d’attacco irriconoscibile per antivirus e IPS. Si stima che con questi tool si producano dai 70mila ai 100mila nuovi sample di malware ogni giorno. Una volta individuata la vulnerabilità, il programma è in grado di elaborare in pochi secondi il codice con il quale scardinare una delle porte d’ingresso al computer: lettori cd/dvd, dispositivi di memoria (chiavi USB, hard disk esterni), posta elettronica, navigazione web, ecc. Il malware zero-day è scritto apposta per eludere il db di signature, il cui aggiornamento è inferiore al ritmo con cui le nuove firme approdano sulla rete. L’antivirus - la prima e la più diffusa forma di prevenzione presso le PMI - da solo non basta più.
Non è raro imbattersi in aziende che decidono di abbandonare la prevenzione. Tutto ciò ha effetti duraturi per le aziende. Tradizionalmente, per la difesa ci si affida a strumenti e metodi consolidati “on premise” (opportune configurazioni di rete, IPS, IDS, firewall ecc.) oppure a servizi di protezione offerti nel “cloud” gestiti da Internet Service Provider e operatori di rete. Chi ha le risorse, assume tecnici in grado di effettuare l’analisi del malware, ma questo tipo di attività richiede competenze avanzate. La prevenzione rimane centrale. Ma non annulla i rischi. Si può reagire immediatamente dopo la pubblicazione di un nuovo malware; in genere però l’antidoto arriva dopo che il virus ha colpito almeno una volta. Gli stessi vendor dotati dei sistemi più avanzati di detection per individuare i comportamenti sospetti, non riescono a prevedere tutto. E nemmeno si può pretendere. Così per molte imprese, tentare di prevenire gli attacchi è diventato quasi impossibile. «Sappiamo quanto siano importanti per le PMI la flessibilità, l’operatività e soprattutto il contenimento dei costi, la ragione che più di frequente sposta il focus dalla prevenzione alla reazione» – spiega Emilio Tonelli, sales engineer Sud Europa di WatchGuard Technologies (www.watchguard.com/international/it). «L’abbiamo sentito dire sino allo sfinimento: manca la percezione del rischio. Ma questa considerazione da sola non basta a spiegare perché non è raro imbattersi in aziende che decidono di abbandonare la prevenzione. Ci sono realtà con meno di una decina di pc, il cui titolare è convinto di non possedere dati così importanti e trova più conveniente prepararsi per reagire in tempi brevi a un attacco, ripulendo le macchine dagli effetti di un’infezione, isolando il problema e rinunciando così a qualsiasi seria misura preventiva. Si tratta di una scelta discutibile, ma tuttavia praticata, visto che – come osserva David Gubiani, technical manager di Check Point Software Technologies Italia (www.checkpoint.com) – «le operazioni di ripristino ex-post saranno sempre più costose e difficoltose rispetto a un’attività di prevenzione che non si basi solamente sugli aspetti tecnologici, ma consideri soprattutto quelli organizzativi, a cominciare dalla formazione delle risorse umane».
L’esperienza insegna che un programma legittimo ha una gamma di comportamenti limitata. Il malware pungola i vendor. A fronte di attacchi sempre più efficaci, la tecnologia si adegua. Così se contro il codice maligno di ultima generazione, l’antivirus tradizionale - o meglio la tecnologia basata sulle sole signature - non funziona più, bisogna correre ai ripari. Ed è quello che i vendor fanno. L’esperienza insegna che un programma legittimo ha una gamma di comportamenti limitata, diversi da quelli esibiti da codice virato. Per esempio, se una applicazione prova ad accedere a determinate funzioni oppure a prendere il posto di un programma legittimo, è probabile che ci si trovi di fronte a un attacco malware. Nello stesso modo in cui si riconosce un malintenzionato che di fronte alla vetrina di un gioielliere estrae dallo zaino un mattone, così l’identificazione di codice dannoso può avvenire anche senza averlo mai visto all’opera prima. Certo, per sferrare un attacco non è sempre necessario servirsi di malware. Ci sono in circolazione un gran numero di applicazioni, che sfruttano vulnerabilità note così come determinate proprietà di protocolli e applicazioni per mettere a segno attacchi di ogni tipo. Ma definizioni a parte, quello che conta è che «riconoscendo il comportamento standard, sulla base delle applicazioni e delle versioni dei vari protocolli utilizzati lungo lo stack, è possibile definire una lista granulare di “pattern” - non semplicemente signature statiche, anche pattern dinamici, variabili nel tempo o pattern parziali “sospetti” - che denotano un attacco» – conferma Emilio Tonelli (WatchGuard Technologies). «Questo controllo - parte integrante dei motori IPS e Application Control a bordo della famiglia di firewall WatchGuard XTM, combinato all’analisi e la correlazione automatica degli eventi, al motore antivirus integrato e all’analisi granulare layer 7 proxy applicativi - riduce i falsi positivi e allerta l’amministratore qualora venga rilevato un attacco o un codice nocivo» – osserva Tonelli. Il metodo delle signatures è forse a oggi quello più utilizzato. La tecnologia euristica, invece, può essere implementata in più modi, anche operanti in contemporanea. Firma e analisi euristica pur complementari agiscono in modo separato. Qualsiasi programma sconosciuto prima di essere eseguito, viene scansionato da entrambe le componenti. «La prima (firma) controlla attraverso due analisi separate la natura dell’eseguibile (nocivo/benigno). In caso di mancato “match”, il file passa all’esame del motore comportamentale (whitelisting)» – spiega Stefano Ortolani, security researcher di Kaspersky Lab (www.kaspersky.it). E quando l’analisi comportamentale fa cilecca? «Nel caso in cui la tecnica dei pattern complessi non identifichi alcunché – risponde Tonelli (WatchGuard Technologies) – è il motore AV, che nella nostra soluzione è di tipo buffer a dimensione personalizzabile e in grado di ispezionare anche file compressi annidati, a identificare il malware non ancora classificato come minaccia».
L’efficacia delle soluzioni non si esaurisce con la mera detection del malware. Conta riuscire a svolgere questo compito senza appesantire troppo i sistemi e l’infrastruttura di rete. Il basso impatto sulla capacità del network unita all’integrazione con le soluzioni già in campo è la ricetta proposta da HP. «È un dato di fatto che la superficie di rischio cui sono esposte aziende, organizzazioni e privati continui a espandersi» - premette Pierpaolo Alì, regional sales director HP Enterprise Security di Hewlett-Packard Italiana (www.hp.com/it). «Le soluzioni integrate ESP fronteggiano queste minacce grazie all’approccio Intelligent Security che nei Next Generation IPS TippingPoint (la serie di IPS di HP) combina le tecnologie pattern-based e anti 0-Day con le più avanzate tecniche di IP reputation, application fingerprinting e virtual patching. L’integrazione con il SIEM (security information and event management) ArcSight – conclude Alì – consente di individuare rapidamente gli incidenti, grazie alla correlazione avanzata». Sottoporre a due diversi tipi di controllo i file da analizzare, così come la loro esecuzione in ambienti protetti, dovrebbe in teoria comportare costi più elevati. «In realtà, sottoponendo il file sospetto a due diversi tipi di controllo si evita che il costo associato all’analisi comportamentale sia replicato su ogni file oggetto di scansione» – afferma Ortolani di Kaspersky Lab. Per quanto riguarda il rischio associato all’esecuzione di file sospetti, il problema si supera creando un ambiente fittizio, in cui si emulano tutte le componenti del sistema sottostante. «A livello di gateway, la nostra soluzione permette di eseguire i file in ambiente controllato, impedendo qualsiasi ripercussione sulle normali attività di business» – conferma David Gubiani (Check Point Software Technologies Italia). L’esecuzione controllata consente di monitorare tutte le operazioni che il programma sarebbe in grado di svolgere (accesso al registro di sistema, scrittura sulle chiavette USB, modifica del file “host”…), al riparo da conseguenze spiacevoli. Come abbiamo visto parlando di prevenzione e ancora prima della natura dei nuovi attacchi, la gestione delle patch riveste un ruolo importante nella prevenzione del malware. L’atout su cui ha deciso di puntare F-Secure (www.f-secure.it), consapevole della centralità di questo aspetto, è l’integrazione nella soluzione Protection Service for Business di Software Updater, la feature di gestione delle patch di aggiornamento software di terze parti. «Software Updater – spiega Michele Caldara, sales manager channel business di F-Secure Italy – esegue una scansione periodica direttamente dai client. Dalla macchina, verifica la disponibilità di aggiornamenti del sistema operativo, di plug-in dei browser o delle applicazioni di terze parti installate in azienda, scaricandoli automaticamente oppure a intervalli programmati. La gestione di Software Updater avviene in collaborazione con il partner di canale che gestisce i computer del cliente, libero così di concentrarsi sul proprio business con la certezza di disporre di una protezione avanzata».
Firma e analisi comportamentale sono, oggi, disponibili sulla maggior parte delle soluzioni di sicurezza. L’approccio più diffuso prevede un utilizzo sinergico di entrambe le feature. In primo luogo, per ragioni di praticità: la verifica di tutto il malware catalogato mediante metodologie contrapposte richiederebbe un tempo inaccettabile per gli utenti. E poi di efficacia: l’approccio euristico di per sé non blocca l’ingresso del malware, riesce - però - a impedirne la propagazione nella rete. In questo modo, si tiene sotto controllo l’infezione fino a quando è disponibile la firma antimalware. Perciò è molto probabile che i vendor continueranno a proporre un mix integrato tra signature e analisi comportamentale, aggiungendovi semmai nuove funzionalità per innalzare ancora di più il livello di efficacia. Così, per esempio, Symantec - che ha sviluppato Insight, una tecnologia inserita nella soluzione Endpoint Protection 12.1 per la protezione degli ambienti virtuali EP - sfrutta il motore ibrido Sonar 3, basato sul monitoraggio del comportamento dei file infetti. In particolare Insight, incentrato sulla reputation in the cloud, velocizza il processo di detection e blocco del malware grazie alla capacità della soluzione EP di tracciare i file da milioni di sistemi, rilevando al contempo le mutazioni di codice interne ai file sospetti. «In questo modo, prima ancora che un file arrivi sui pc /server fisici o virtuali dei nostri clienti – afferma Bossi di Symantec – l’amministratore è già in grado di sapere se si tratta di un file potenzialmente malevolo. In più, la scansione ottimizzata abbatte sensibilmente i tempi dell’operazione, meno di cinque minuti a fronte di intervalli ben più dilatati delle tecnologie concorrenti».
Senza dubbio la misura dell’efficacia delle soluzioni antimalware è stata e continua a essere la capacità di intercettare e respingerne gli effetti dannosi. Oggi, la competizione tra vendor si gioca sulla capacità di approntare engine di scansione sempre più performanti, capaci di contenere il rallentamento delle prestazioni sugli endpoint e più in generale quelle dei sistemi e della rete del cliente, provocato dalle operazioni di scansione. I vendor sanno che dalla capacità di snellire queste attività, elevando il livello di efficacia della tecnologia, possono nascere nuove opportunità. In tal senso, il cloud rappresenta l’ultima frontiera, la piattaforma da cui ripartire per ottenere tempi di reazione più rapidi rispetto all’approccio tradizionale. Trend Micro è stata tra le prime aziende a intuirlo, realizzando Smart Protection Network (SPN), un’infrastruttura in-the-cloud che funge sia da load balancer per contenere la richiesta di risorse in termini di cpu, memoria e traffico di rete derivante dalle scansioni, sia come canale di distribuzione degli aggiornamenti alle soluzioni proprietarie. «Il DB dei servizi di reputazione per la verifica degli indirizzi IP che consente il blocco dei siti “fake” prima che raggiungano la rete, risiede nel cloud» – spiega Maurizio Martinozzi, manager sales engineering di Trend Micro (www.trendmicro.it). «TM Worry Free, la soluzione che offriamo alle PMI, si avvale dell’intelligence dell’SPN. La soluzione permette di gestire il malware con la stessa efficacia garantita da quelle di livello enterprise, con costi più contenuti». Anche Panda Security (www.pandasecurity.com/italy) propone una soluzione che sfrutta i punti di forza della nuvola per la protezione di endpoint, workstation, email e server. «Panda Cloud Protection, basata sulla tecnologia di Intelligenza Collettiva individua, analizza e classifica in modo automatico migliaia di nuovi codici pericolosi» – dice Alessandro Peruzzo, amministratore unico di Panda Security Italia. «La soluzione dispone di strumenti di reportistica dettagliati, inviati via email in maniera automatica all’amministratore, per semplificare la gestione e facilitare la focalizzazione sul business».
I criminali sanno che, rispetto alle realtà medio grandi, le reti delle PMI sono più esposte alle violazioni informatiche. Gli attacchi di conseguenza sono sempre più numerosi, come dimostrano tutte le ricerche disponibili. Ciò avviene sia a causa di una navigazione non protetta da parte dei dipendenti, sia per la mancanza di soluzioni IT adeguate. Diversamente da quello che si sente dire, il vero problema delle micro-imprese non è tanto la sensibilizzazione, quanto la difficoltà ad accedere a conoscenze e competenze adeguate alle loro esigenze. Il divario con le imprese medio-grandi è profondo e non è realistico pensare di riuscire a colmarlo in tempi brevi. E neppure credere che si possa intervenire, utilizzando gli stessi strumenti impiegati per queste ultime. Data la pericolosità degli attacchi, lo sforzo che si chiede ai vendor è di non perdere mai d’occhio efficacia e efficienza delle tecnologie proposte. In riferimento al malware, quello che deve migliorare è il livello di automazione di analisi e risposta. Le aziende - e le PMI in particolare - necessitano di strumenti in grado di automatizzare le procedure di analisi e risposta con gli stessi tempi con cui si propaga il codice dannoso. Ed è sul grado di automazione dei processi che le aziende auspicano in futuro i miglioramenti più cospicui.
..... datamanager.it - 30 settembre 2013
Tratto da