Negli ultimi anni sono state numerose le imprese di fama mondiale a salire agli onori della cronaca per le gravissime violazioni alla sicurezza subite. L’attenzione di consumatori, legislatori e media viene letteralmente catturata in questi casi dato che le grandi organizzazioni dispongono di team dedicati alla protezione e infrastrutture appositamente progettate per salvaguardare gli asset aziendali. Ma anche le imprese più piccole rappresentano un bersaglio appetibile e sono spesso coinvolte in attacchi coordinati di più vasta portata o prese di mira da diversi tipi di malware.
Pare pertanto giunto il momento di adottare un approccio più completo e radicale alla sicurezza informatica. Iniziamo dando uno sguardo a due delle tipologie di attacco più comuni e pericolose: Advanced Persistent Threat (APT) e DDoS.
Le minacce avanzate richiedono strumenti di protezione avanzati
Sull’onda del successo delle manomissioni dei profili, i cyber criminali continuano ad innovare il proprio arsenale, focalizzandosi sulla capacità di aggirare le soluzioni di sicurezza in uso. I pirati occultano il malware con tipologie di file e schemi di compressione diversi, con l’intenzione di sfruttare i punti deboli degli strumenti di protezione della rete. Quando un malware riesce a penetrare una rete, comincia, in modo automatico o sotto il controllo dei cyber criminali, ad adattarsi, trasformarsi e spostarsi indisturbato quanto più a lungo possibile, appropriandosi di dati di svariata natura: dai record dei clienti, alla proprietà intellettuale, ai profili dei dispositivi fino alle credenziali dei dipendenti.
Se, durante il periodo di permanenza nel sistema, il malware e le sue comunicazioni sfuggono ai controlli di sicurezza, è solo una questione di tempo prima che i dati raccolti siano organizzati e illecitamente trasferiti ai cyber criminali, con un processo noto come “esfiltrazione” o estrusione.
Non esiste una soluzione miracolosa per proteggere le imprese da questa tipologia di raffinati attacchi mirati. Le rapide evoluzioni sul fronte malware, i frequenti attacchi zero-day e le nuove tecniche di elusione riescono a rendere inefficace qualsiasi strategia di blocco delle intrusioni che non sia integrata.
La difesa più impenetrabile si fonda invece sull’uso di un framework di protezione coesivo ed estendibile, che sappia integrare funzionalità di sicurezza esistenti, tecnologie emergenti e un meccanismo di apprendimento personalizzato capace di estrarre, dalle minacce di recente rilevamento, informazioni fruibili ai fini della difesa. Quest’ultimo aspetto è probabilmente il più critico per tenere testa agli attacchi.
E’ quindi necessario dotarsi di un framework articolato su tre elementi: il blocco delle minacce prima che accedano alla rete (firewall), l’uso di avanzate tecnologie di rilevamento per esaminare più da vicino il comportamento del traffico di rete, degli utenti e dei contenuti, al fine di identificare attacchi nuovi e originali (sandbox), e l’efficace e immediata risposta ai potenziali incidenti che, una volta identificati devono essere immediatamente bloccati tramite quarantena con l’impiego di sistemi automatici o manuali per tutelare le risorse di rete e i dati aziendali.
Guardiamo più da vicino il concetto di sandboxing. Sono diverse le metodologie adottabili per rilevare automaticamente minacce prima ignote e creare un sistema di conoscenze utili all’azione. Con le sandbox è possibile, in particolare, indirizzare verso un ambiente protetto il software potenzialmente dannoso in modo da osservarne il comportamento senza mediazioni e senza incidere negativamente sulle reti di produzione. La funzione di rilevamento botnet segnala inoltre i pattern di comunicazione che indicano la presenza di botnet attive, mentre le misure di reputazione client evidenziano gli endpoint potenzialmente compromessi sulla base di un profilo contestuale.
Grazie all’emulazione virtuale di interi sistemi operativi, una sandbox esegue codice sospetto in totale sicurezza, per consentire di osservarne l’attività di output. Le sandbox vengono generalmente utilizzate per i file eseguibili, ma oggi trovano impiego anche per l’esecuzione di dati applicativi, come file di Adobe Flash e JavaScript, che possono contenere codice dannoso occulto.
Il sandboxing è però un processo ad elevato consumo di risorse. Prevede infatti che il codice, per poter essere analizzato, venga eseguito in toto nella sandbox, e l’esplorazione di tutti i percorsi di esecuzione, con l'eventuale inclusione anche dei moduli che il codice dannoso cerca di scaricare, richiede molto tempo. Una soluzione di sandboxing dovrebbe quindi essere associata al rilevamento proattivo delle signature, per filtrare il traffico prima che raggiunga la sandbox e velocizzare così le operazioni.
I tradizionali attacchi DDoS
Gli attacchi di tipo DDoS (Distributed Denial of Service) sono tra le più vecchie minacce di Internet e continuano a rappresentare il rischio principale per le reti di tutto il mondo: agiscono interrompendo l’operatività Internet bloccando l’accesso alle informazioni. Le soluzioni di protezione si sono evolute ma, allo stesso tempo, la tecnologia utilizzata dagli hacker si è adattata ed è diventata molto più sofisticata. I nuovi tipi di attacco ora prendono di mira applicazioni e servizi, spesso mascherati in eventi DDoS Layer 3 e 4 massivi che li rendono difficili da rilevare.
Mai un problema si è rivelato così dinamico e globale senza essere legato a una particolare tecnologia. Esiste un assortimento quasi illimitato di strumenti che hacktivist e terroristi informatici possono utilizzare per impedire l’accesso alle reti. Gli attacchi DDoS più sofisticati sono rivolti ai servizi applicativi Layer 7, dove hanno dimensioni così piccole che rendono quasi impossibile il loro rilevamento con i tradizionali metodi di attenuazione basati sull’ISP.
Per contrastare questi attacchi è necessaria una soluzione che sia dinamica e globale al tempo stesso, che - oltre ad affidarsi alla corrispondenza delle signature - utilizzi metodi di rilevamento basati sul comportamento e processori con tecnologia ASIC al 100% per attenuare gli attacchi DDoS nel modo più veloce possibile. In questo modo la rete è protetta sia da attacchi noti che da attacchi “zero-day” sconosciuti.