McAfee sulle tecniche di evasione avanzata

Sicurezza

Le AET non rivelano vulnerabilità nuove o macchinazioni di hacker. Sono sostanzialmente le possibili combinazioni per aggirare un sistema IDS/IPS

Forse la recente falla nelle librerie di encryption Open SSL che va sotto il nome di Heartbleed non rientra tecnicamente nelle minacce avanzate persistenti (APT – Advanced Persistent Threat ) che potrebbero essere sfruttate dalle tecniche di evasione avanzata (AET – Advanced Evasion Techniques). Tuttavia questa minaccia che è rimasta in rete “sconosciuta “ per almeno due anni ( al netto delle voci del suo sfruttamento da parte di NSA , che invece ne sarebbe stata al corrente) serve a portare di attualità una campagna che la ex Stonesoft , ora McAfee, anzi ora nella divisione Intel Security , ha condotta dal lontano 2010.

Techweekeurope.it ha già riferito di una ricerca di Vanson Bourne, commissionata da McAfee, effettuata intervistando 800 CIO e responsabili sicurezza di Stati Uniti, Regno Unito, Germania, Francia, Australia, Brasile e Sud Africa. Questa ha evidenziato le molteplici incomprensioni, interpretazioni errate e contromisure inefficaci messe in atto dagli esperti di sicurezza che hanno il compito di proteggere i dati sensibili. Le violazioni dei dati di alto profilo hanno dimostrato come l’attività criminale adotti delle strategie per evitare di essere individuata per lunghi periodi di tempo. Gli intervistati hanno confermato quanto sopra e più di un professionista della sicurezza su cinque ammette che la sua rete è stata violata (22%). Quasi il 40% di quanti hanno subito violazioni è convinto che le AET abbiano giocato un ruolo fondamentale. Inoltre, coloro che hanno subito una intrusione negli ultimi 12 mesi hanno sostenuto un costo per la loro organizzazione che supera, in media, il milione di dollari.

Marco Rottigni

Come spiega Marco Rottigni, Senior Security Specialist di McAfee, si tratta di tecniche di attacco di cui si deve parlare sempre più perché da un lato gli hacker conoscono già le tecniche di evasione avanzata e le utilizzano quotidianamente, e dall’altro bisogna educare le aziende in modo che possano sapere cosa cercare, e comprendere cosa sia necessario per difendersi da queste minacce . Da parte sua McAfee ha ampliato McAfee Comprehensive Threat Protection che da oggi include nuove funzionalità in grado di rilevare, bloccare e porre rimedio alle minacce avanzate più velocemente per sconfiggere gli attacchi che utilizzano tecniche di evasione avanzate. La soluzione, che rientra nella strategia McAfee Security Connected è in grado di collegare saldamente e condividere l’intelligence delle minacce con i flussi di lavoro attraverso endpoint, rete e cloud. La soluzione fornisce inoltre protezione dalle minacce, prestazioni e risparmi operativi difficilmente raggiungibili da prodotti stand-alone, che non sono progettati per ottimizzare la sicurezza e la gestione del rischio come funzione IT e sovraccaricano di lavoro per l’integrazione manuale dei vari sistemi.

Tornando alla ricerca, quasi il 40% dei responsabili IT non ritiene di avere metodi per rilevare e monitorare le AET all’interno della propria organizzazione, e quasi due terzi ha dichiarato che la sfida più grande quando si cerca di adottare una tecnologia contro le AET è proprio convincere i dirigenti che si tratta di una minaccia seria e reale. Dei circa 800 milioni di AET note, meno dell’1% viene rilevato dai firewall e dai sistemi di intrusion detection / prevention di altri vendor. La presenza di queste tecniche è aumentata in modo significativo a partire dal 2010, con milioni di combinazioni e modifiche di AET basate sulla rete che sono state identificate fino ad oggi. Benché le tecniche di evasione fossero note da lungo tempo, nel 2010 Stonesoft, società che è stata acquisita da McAfee nel maggio 2013, ha dimostrato concretamente come le combinazioni sfruttabili siano pressoché illimitate, siano implementabili attraverso tool automatici e nessun sistema attualmente in uso sia in grado di rilevare integralmente. A questo insieme di possibili combinazioni di tecniche di evasione è stato dato il nome di AET. Utilizzando le AET, un utente malintenzionato può dividere un exploit in pezzi, aggirare un firewall o un IPS, e una volta dentro la rete, riassemblare il codice per attivare il malware e perpetrare un attacco APT McAfee ha migliorato le contromisure precedentemente disponibili per gli utenti e ha aggiunto nuove funzionalità di analisi, contesto e orchestrazione per integrare pienamente e automatizzare i processi di protezione dalle minacce. Next Generation Firewall rileva il traffico dannoso che tenta di mascherarsi suddividendosi in pezzetti che viaggiano attraverso svariati protocolli su diversi strati della pila OSI. Oggi, McAfee Next Generation Firewall è in grado di comunicare con la piattaforma Security Connected per informare gli endpoint e gli altri prodotti di sicurezza di rete su tali eventi.

Per l’Italia (non presente nella ricerca internazionale) McAfee fa riferimento alle indicazioni di Marco Cremonini, Ricercatore presso il Dipartimento di Informatica dell’Università degli Studi di Milano: “Le AET non rivelano vulnerabilità nuove o macchinazioni diaboliche di gruppi di oscuri hacker. Le possibilità di evasione del monitoraggio di rete non si limitano ai pochi casi discussi quindici anni fa o alle poche decine, o forse qualche centinaio, indagato negli anni successivi; esistono milioni di varianti possibili, siano esse 10, 100 o 1000 milioni, che differenza fa? Sono sostanzialmente infinite le possibili combinazioni per evadere un sistema IDS/IPS”. La ragione per cui queste tecniche sono sottostimate e non comprese appieno è che nei test a pagamento, i vendor hanno la possibilità di effettuare modifiche in tal senso. Di conseguenza, vengono corrette solo le tecniche specifiche che vengono individuate, ma non le altre tecniche che vengono rapidamente aggiornate e adattate dalle organizzazioni criminali.

Emilio Turani

Come riferisce Emilio Turani che ricopre il ruolo di Regional Director Network Italy & Greece di McAfee , in generale il portafoglio di soluzioni Security Connected della divisione Intel Security, si affida a tre pilastri d’appoggio che sono stati ormai completati a seguito delle successive acquisizioni di aziende e di prodotti all’interno di Intel Security. Le tre aree coperte per una protezione aziendale end to end sono quelle degli endpoint, della sicurezza delle informazioni ( email, web, DLP) e della rete, secondo una visione olistica della sicurezza aziendale che si appoggia a un nucleo forte di orchestrazione , gestione e governance e alle risorse di intelligence e di correlazione di eventi dei McAfee Labs.

Read also :
Autore: Silicon
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore