FirewallSicurezza

Attacchi alla sicurezza, allerta sempre massima

Giornalista professionista dal 2000. Da 15 anni, Stefano si occupa di giornalismo Ict maturando competenze anche nel consumer electronics. Stefano ha iniziato la sua esperienza giornalistica nel 1996 presso la redazione economica di ItaliaOggi.

Stormshield torna sugli ultimi attacchi alla sicurezza che hanno destabilizzato il mondo per dare qualche suggerimento: il processo di patching lacunoso; blindare i sistemi operativi con soluzioni che evitano l’esecuzione di qualsiasi malware, frapponendosi tra il kernel e il layer applicativo

Sul domani c’è sempre tempo per ‘piangere sul latte versato’. E’ un’espressione un po’ forte ma, sul fronte sicurezza, rende bene il senso di disagio, panico, impotenza che hanno portato nelle case delle aziende, delle università, degli studi, delle scuole, fenomeni come WannaCry e Petya.B. Osservando l’andamento delle attività dei cybercriminali alla luce delle due più recenti ondate di infezione ransomware su larga scala è impossibile negare un incremento nella sofisticazione del malware e un continuo perfezionamento dei meccanismi di intrusione.

Altrettanto innegabile è il fatto che, ad oggi, moderni tool e infrastrutture “Crime-as-a-Service” consentono ai cyber criminali di agire rapidamente su scala globale, con il supporto derivante dalla diffusione di pericolosi exploit “di Stato” (EternalBlue e EternalRomance), facilmente integrabili nel codice dei malware. Secondo alcune considerazioni di Stormshield, realtà che sviluppa soluzioni di sicurezza end-to-end innovative per la tutela di reti, workstation, dati, un primo bilancio delle vittime sembra indicare quanto gli attaccanti siano in vantaggio rispetto alle aziende attive nell’ambito della sicurezza It che rispondono a queste minacce a suon di “signature” e “patching”. Strumenti che si sono rivelatisi, in entrambe le occasioni, insufficienti, vuoi per incuria, vuoi perché la sicurezza deve essere predittiva e non reattiva.minacce

WannaCry si è dimostrato particolarmente efficace poiché in grado di propagarsi tramite internet, installandosi “lateralmente” su altri host presenti nella rete senza alcun intervento dell’utente, bensì a posteriori di una scansione approfondita sulla porta TCP/UDP 445. Una minaccia seria ai danni di chi non ha aggiornato i propri sistemi per i più vari motivi. Poco tempo dopo PetrWrap, Petya.B o NotPetya, si è avvalso della stessa vulnerabilità, cagionando danni a enti governativi e a numerose aziende su scala globale, bloccando sistemi rilevanti per la produttività delle organizzazioni e chiedendo un riscatto, il cui pagamento in molti casi non è corrisposto alla decrittazione dei file.

Ed ecco che Stormshield propone una piano d’azione per non restare impreparati e in difficoltà. Prima di tutto serve più tempo per mitigare le minacce. Secondo alcuni studi, il processo di patching dei sistemi operativi e delle applicazioni in uso è lacunoso. Questa attività, ove conducibile, va automatizzata e certificata. Nelle situazioni in cui non sia possibile aggiornare i sistemi (piccola nicchia con gravissime implicazioni, cfr. settore utility, industria/SCADA, healthcare, banking) per limiti hardware/software e di compliance, è fondamentale abilitare la segmentazione della rete e cambiare totalmente approccio alla sicurezza, dotandosi di strumenti per l’identificazione e la mitigazione di minacce note e non note che non necessitino di aggiornamenti, perché riconoscono comportamenti anomali e li bloccano sul nascere.sicurezza

Sono numerosi i vendor di soluzioni antivirus che hanno riconosciuto che basare la sicurezza endpoint su signature non è più la risposta. Hanno quindi integrato o stanno per integrare meccanismi intelligenti capaci di individuare comportamenti sospetti delle applicazioni, al fine di bloccare attività anomale. Questo è un passo nella giusta direzione, tuttavia solo parzialmente, perché per quanto avanzate, queste soluzioni non rinunciano all’uso di firme, che richiedono frequenti aggiornamenti, in alcuni casi non conducibili. Ecco perché ha senso blindare i sistemi operativi con soluzioni che evitano l’esecuzione di qualsiasi malware, frapponendosi tra il kernel e il layer applicativo e bloccando chiamate a sistema ingiustificate grazie ad algoritmi avanzati di analisi comportamentale.

Ne è un esempio Stormshield Endpoint Security, che non rimuove il malware (compito degli antivirus) ma ne blocca in tempo reale l’esecuzione, facendo guadagnare tempo utile agli amministratori per effettuare il patching e la messa in sicurezza dei sistemi. Avere più “tempo” è un grande vantaggio che nessuno oggi può più sottovalutare. In secondo luogo, ci si è accorti che il limite fondamentale delle soluzioni di Endpoint Security è che queste proteggono la singola macchina, non lavorano sul traffico di rete, e quindi entrano in azione solo in presenza di infezione sul singolo host.

Avvalersi in tempo reale dell’analisi comportamentale dell’intero flusso di dati, dal singolo file alle attività delle applicazioni di rete, scevri dell’approccio passivo signature-based dei firewall tradizionali, assicura protezione proattiva dell’intera infrastruttura contro infezioni “laterali” come quelle favorite dall’uso dell’exploit EternalBlue garantendo che il malware non “esca” dalla rete per propagarsi altrove.

Whitepaper: Vuoi restare aggiornato sul tema in oggetto? Scarica il nostro whitepaper: Sconfiggere il ransomware in sei mosse