Websense, basta un link e scatta la trappola

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Secondo il Threat Report 2013 di Websense il numero dei siti dannosi è cresciuto del 600 percento con un incremento anno su anno di quasi sei volte. E l’85 percento di questi siti si trova su host legittimi. Websense con Triton propone un modello proattivo con al centro la protezione del dato e l’analisi del comportamento a tutti i livelli

Senza inutili allarmismi si potrebbe tranquillamente dire a chi vive in Rete che “non ci si può fidare più di nulla”. Lo spiega bene Emiliano Massa, Director of Regional Sales per Websense Italia che focalizza l’attenzione sui risultati del Threat Report 2013 secondo una doppia chiave di lettura: la necessità di un approccio olistico, per cui non è più possibile parlare di protezione a comparti stagni (a seconda di device, sistemi operativi, luogo di accesso, piattaforme) e un atteggiamento del tutto proattivo che tenga sempre conto dell’analisi del comportamento degli utente che quanto più sono in confidenza con gli strumenti della rete e si sentono sicuri, tanto più agiscono istintivamente e corrono rischi.

Parlano chiaro le cifre del rapporto Websense: i siti Web malevoli sono aumentati del 600 percento a livello mondiale (e l’Europa è solo di poco sotto la media); l’85 percento di essi è ospitato su host web legittimi; la metà del malware legata alla visita di un link malevolo scarica codice dannoso nei primi 60 secondi (con più sofisticate dinamiche di Command And Control); meno del dieci percento del malware interagisce oramai con il registro di sistema rendendosi rilevabile dalle signature e i link corti (circa il 32 percento sui social media) nascondono la complessità di Url lunghe e per questo intrinsecamente meno affidabili all’apparenza. La ciliegina sulla torta è rappresentata dal livello di spam aumentato del 76 percento, e solo un’email su cinque è ‘pulita’ e legittima. Questo ultimo dato è particolarmente allarmante perché è ancora attraverso le email che il cybercrime riesce a ‘pescare’ le proprie vittime con tecniche di phishing non più basate sui volumi, ma estremamente sofisticate e mirate all’obiettivo (spear-phishing).

Websense
Fonte: Threat Report 2013 di Websense

Entrando nel dettaglio dell’analisi si possono delineare tre motivazioni universali nell’azione del cybercrime:

  • Vi sono i cybercriminali che agiscono seguendo logiche prevalentemente economiche, monetizzano e seguono quindi i dettami dell’economia (a volte con vere e proprie strutture di distribuzione dei kit organizzate come farebbe qualsiasi azienda).
  • Vi sono fenomeni di Activism tipo Anonymous. Organizzazioni cioè che operano alla ricerca di informazioni per attaccare le istituzioni e metterne in luce determinate mancanze, falle o altro con azioni dimostrative (in decrescita).
  • Vi è il cybercrime inteso come cyberwar. In questo caso i crimini di sicurezza vengono compiuti da strutture anche governative, contro altri governi, in modo più o meno nascosto.

In tutti i casi si assiste all’evoluzione delle logiche secondo cui sono ideate le minacce, su tre direttrici:

1. Il primo elemento comune mette in luce che le minacce informatiche sono oramai ‘multicanale’  e si parla oramai in maggioranza di attacchi multivettoriali.

2. Gli attacchi sono architettati quindi facendo leva sul fattore umano, sui comportamenti consueti degli utenti nei social media (certo Web e Email compresi)

3. Il codice malevolo può agire in modo opportuno su qualsiasi tipologia di device e quindi è abbastanza inutile un approccio di protezione ogni volta da rimodulare canale per canale.

L’obiettivo del cyber criminale è raggiunto un percorso di sei passaggi:

  1. La somministrazione dell’esca, con processo di verifica e di scouting prima di inviare l’email ‘esca’ che non è più un semplice messaggio di spam, ma viene studiato ad hoc per il gruppo o addirittura il singolo rappresentante in azienda. L’attacco email quindi è specifico, viene portato dopo accurata profilazione: per esempio si invia al dipartimento delle risorse umane un file di excel con dati di recruiting. Oppure ancora si agisce con un attacco di spear phishing: un’esca mirata sulla curiosità delle persone, che può essere e generalmente è proprio un semplice link.
  2. Il click su un link porta a un sito – magari anche ufficiale – con all’interno solo una url o un frame corrotti.
  3. Parte Exploit Kit, dopo la verifica di tutte le vulnerabilità, legate a software e OS non patchati. Non si parla più di virus e signature, si parla solo di malcode, dell’utilizzo di “buchi” software e bachi tra una generazione e l’altra di applicazioni. Per questo si insiste nel Report sull’importanza nello studio dei comportamenti.
  4. Si inserisce il Dropper File, il vero e proprio malcode. In questo modo la macchina presa di mira entra a far parte di una botnet.
  5. Partono le attività del cybercrime: è la fase di Call-Home, l’apertura del canale di ritorno, per la sottrazione delle informazioni.
  6. La conquista dell’obiettivo informativo.
Websense

 

La strategia di protezione Websense

La problematica da risolvere secondo Websense è in verità una sola e cioè rendere sicuro l’utilizzo del device, indipendentemente dal comportamento del soggetto che lo usa. E quindi garantire un accesso in sicurezza ai social media perché nessuno può più semplicemente chiuderli e le zone di “grigio” sono infinite.

Le sfide sono di più: i Cio sanno che la semplice chiusura di Url non è funzionale al raggiungimento degli obiettivi di sicurezza, perché riduce la produttività dell’azienda e sanno quindi che da un comportamento, reattivo o restrittivo, si deve passare all’atteggiamento proattivo in tempo reale, con analisi istantanea non tanto dell’evidenza delle Url, quanto del comportamento che tengono, quando vengono selezionate.

Websense
Fonte: Threat Report 2013 di Websense

Quando si parla di mobile, la proattività in casa Websense implica l’analisi del comportamento dell’applicazione (per esempio la richiesta di accesso a determinato codice dell’Os, o ad altri dati utente), indipendentemente dal fatto che essa sia legittima o già di per se stessa malevola (quando per esempio a sua volta una app cerca di installare altre app). Un modello in grado di indicare l’atteggiamento migliore è, voltate le carte, quello di un sistema di protezione che esso per primo si comporti come “Man in the Middle” . Questo modello ha il vantaggio di offrire una modalità di protezione complessiva in cui tutti i device e i vettori sono, insieme, visti come strumenti per il raggiungimento di un obiettivo.

Quindi non si agisce più sulle conseguenze di un’infezione, quanto sull’analisi specifica dei comportamenti di applicazioni, sistemi operativi e device riguardo le informazioni che si vogliono proteggere, in un’ottica di DLP che mette al centro l’attenzione alla fuoriuscita del dato. L’utente guadagna una maggior libertà di azione e la tranquillità nei comportamenti (anche se forse viene meno la conoscenza dei processi di rischio), i Cio – in primis – una semplificazione nella gestione delle problematiche. In questa ottica Websense propone la propria soluzione Triton.

E voi navigate sul Web in sicurezza? Mettetevi alla prova, rispondendo al nostro QUIZ

 

 

 

Read also :