Molte aziende, circa una su due, fanno fatica a distinguere tra minacce informatiche generiche e minacce avanzate, come per esempio le Atp (advanced persistent threat) o gli exploit zero-day: è un problema che riguarda il 47% delle Pmi e il 51% delle imprese di grandi dimensioni, secondo quanto sostiene Kaspersky sulla base di una sua recente indagine. E non riuscire a fare distinzione significa perdere tempo, dato che i responsabili It o i responsabili di cybersicurezza aziendali devono addentrarsi nell’esame di numerosi file sospetti invece di concentrarsi sui veri rischi.
“Ogni azienda, indipendentemente dalle dimensioni, ha bisogno di essere protetta dalle minacce che non vengono rilevate dall’Epp”, sottolinea Sergey Martsynkyan, responsabile della divisione B2B Product Marketing di Kaspersky. “Purtroppo, le soluzioni contro gli attacchi avanzati specifiche per le grandi aziende richiedono spesso dei security analyst esperti per una gestione efficace. Sono rari i casi in cui aziende di piccole dimensioni possono permettersi di assumere e ritenere talenti del genere”.
Da qui l’esigenza di uno strumento che permetta di contrastare innanzitutto le minacce avanzate: si chiama Kaspersky Sandbox ed è una soluzione che analizza in modo automatico i nuovi file sospetti rilevati all’interno di una rete aziendale, per poi inviare il proprio “verdetto” alla piattaforma di protezione degli endpoint installata (quella di Kaspersky o di altri vendor). In questo modo possono ottenere un livello di protezione migliore anche le aziende che non dispongano di personale esperto in threat analysis o che abbiano risorse limitate. Ma questa soluzione, oltre che alle piccole e medie imprese, è rivolta anche a quelle grandi, dotate magari di una infrastruttura IT geograficamente distribuita e difficile da controllare.
Come funziona esattamente? Quanto il sistema di protezione degli endpoint (Epp) rileva un elemento sospetto, il quale richieda un’ulteriore analisi, l’oggetto viene inviato in automatico a Sandbox per un controllo più approfondito. Sandbox analizza il comportamento dell’oggetto, raccoglie e analizza tutti gli artefatti e, nel caso di azioni dannose rilevate (per esempio un’operazione di crittografia o il download di un payload malevolo attraverso un exploit zero-day) l’oggetto viene identificato come malware e segnalato al sistema Epp. Quest’ultimo dunque può, in automatico, mettere l’elemento in quarantena, inviare notifiche all’utente, scansionare l’area critica del sistema operativo o perlustrare l’hardware connesso alla rete aziendale per rilevare l’eventuale presenza della minaccia e per prevenirne la diffusione.
L’informazione sulla natura benevola o malevola degli oggetti esaminati viene memorizzata nella cache operativa situata sul server Kaspersky Sandbox: grazie a questa procedura, se l'analisi del file già eseguito nella Sandbox è richiesta da un altro endpoint all'interno della rete gestita, l'Epp potrà prendere decisioni immediate sulla base di questa conoscenza, senza dover ripetere la scansione del file. In questo modo si velocizza la risposta alle minacce e si riduce il carico operativo dei server delle macchine virtuali. Kaspersky Sandbox viene proposta come appliance software: ciascuna licenza include supporto per un massimo di mille utenti di Kaspersky Endpoint Security for Business. Attraverso un’interfaccia Api, l’applicazione può essere integrata ad altre soluzioni.