Breaking the Kill Chain: come proteggersi dal noto e dall’ignoto

redazione

Il furto di dati è un grande affare. Solo negli ultimi due anni, oltre 1,3 miliardi di dati sono stati esposti al rischio. L’evoluzione delle minacce è più veloce che mai –ogni giorno, in media, vengono scoperte molte più minacce nuove che malware già noto.

Oggi, gli attacchi più dannosi sono gli Advanced Persistent Threat (APT). Il cybercrime non è più casuale, e nemmeno basato sulla forza bruta; è più sottile – cerca di infiltrarsi, di nascondersi e di sottrarre dati senza che venga scoperto. Se i controlli di sicurezza non riescono ad identificare il malware in questa fase, è solo questione di tempo prima di entrare a far parte delle statistiche.

 

Troppe di queste falle avvengono per la mancanza di un focus chiaro sullo spettro delle possibili minacce o dei vettori di attacco. La rapida innovazione in tema di malware, lo sfruttamento di nuove vulnerabilità zero-day e le tecnologie emergenti di evasione rendono ogni approccio puntuale nella sostanza inefficace.

 

Per fronteggiare questi attacchi sempre più sofisticati, serve un approccio più profondo ed al tempo stesso esteso. Pur coprendo un ampio set di strumenti avanzati e tradizionali per la generale sicurezza di rete, qui di seguito un semplice framework per combattere gli attacchi APT…

 

Prevenire – Le minacce note

 

Molto malware è già conosciuto. I cybercriminali possono essere molto creativi, ma non sono immuni della stessa pecca umana di tutti, la pigrizia. Lo scorso anno, quasi un quarto del malware aveva più di dieci anni e quasi il 90% era stato scoperto prima del 2014.

 

Le minacce note dovrebbero essere bloccate immediatamente grazie all’utilizzo di

Firewall di nuova generazione, gateway securi per le email, strumenti di endpoint security ed altri prodotti simili che sfruttano tecnologie di sicurezza sempre più accurate.

 

E’ incredibile quanto spesso i professionisti delle reti non tengano nella giusta considerazione le basi. Cose semplici, come mantenere aggiornate le patch di sicurezza e testare continuamente la sicurezza della propria infrastruttura IT rappresentano le fondamenta di una rete solida.

 

Il malware ancora sconosciuto e gli attacchi mirati, però, possono superare indenni queste misure. Il traffico che non può essere gestito nei modi che abbiamo appena evidenziato passa al prossimo punto della nostra difesa a più livelli…

 

Identificare – L’ignoto

 

Molti nuovi approcci possono identificare minacce precedentemente sconosciute e raccogliere informazioni utili per agire. Il sandboxing permette di inviare il software potenzialmente pericoloso ad un ambiente protetto, in modo da poterne osservare il comportamento completo senza effetti sulle reti di produzione.

 

Questa potrebbe sembrare la soluzione perfetta. Ma non bisogna cantare vittoria troppo presto. Anche se resta un elemento fondamentale di un completo approccio difensivo, il sandboxing da solo non risolve tutto. Sappiamo come i criminali rispondono alle nuove tecnologie: immaginano il modo di operare di queste e cercano la maniera di aggirarle. Ci sono già esempi di come i criminali riescano a evitare i sistemi di sandboxing. Per questo è importante essere aggiornati: come crescono gli hacker, devono farlo anche i sistemi informatici.

 

Mitigare – Agire per ridurre il rischio

 

Prevenire l’ingresso delle minacce nella rete è la priorità per ogni sistema di sicurezza. Ma un processo ben definito di identificazione e riparazione è fondamentale quando, e non se, le minacce entrano comunque.

 

Una volta che un’intrusione viene confermata, utenti, dispositive e contenuti relativi dovrebbero essere porti in quarantena, con l’attivazione di sistemi automatici e manuali a garanzia delle risorse di rete e dei dati dell’azienda. Le minacce precedentemente sconosciute dovrebbero essere inoltrate ed analizzate nel dettaglio, per poter riportare gli aggiornamenti ai diversi servizi di rete, in modo che ogni livello possa accedere al giusto mix di protezioni aggiornate.

 

Alla base di un’efficace Advanced Threat Protection (ATP) non c’è una tecnologia particolare, ma piuttosto il concetto di integrazione e collaborazione tra le diverse tecnologie. La ATP si basa su differenti tipologie di tecnologie, prodotti e attività di ricerca, ognuna con un ruolo differente e ognuna in grado di operare di concerto con le altre.

 

Possiamo immaginarci una continua innovazione da parte dei criminali informatici, con un’attenzione ancora maggiore all’inganno e all’evasione delle soluzioni esistenti. Se non esiste una singola arma letale, implementare un approccio su più livelli, con tecnologie affermate ed emergenti che operano tra loro, permette di interrompere il circolo malevolo delle Advanced Persistent Threat.