Home Interviste Controspionaggio per prevenire un attacco

Controspionaggio per prevenire un attacco

Marco Riboli, Vp Sud Europa di FireEye, nota come rispetto a un anno fa ci sia molta più percezione da parte dei clienti riguardo il tema degli Apt (Advanced Persistent Threat).

Il tema della reazione a questo tipo di attacchi è nato in ambito governativo, dove esiste un obbligo etico alla tutela del dato.

Laddove si lascia spazio all’opportunità, alla valutazione, ci si è preso un po’ più di tempo. Ma ormai «si è capito che questi attacchi sono rivolti anche all’ambito enterprise», ci dice.

Eppure, e non è una novità, «i clienti pensavano che la loro sicurezza tradizionale fosse sufficiente».

In un anno, conferma Riboli, è cambiato radicalmente lo scenario di percezione. La causa: si sono accorti di essere oggetto di attacchi mirati.

Il malware è in azienda

«Quando installiamo le nostre apparecchiature – dice Riboli – troviamo ovunque malware e zero days». Il fatto non stupisca: «la media mondiale per accorgersi di un malware è 140». Tantissimi. «Ma va già bene: due anni fa parlavamo di 300 giorni».

Per un’azienda oggi è importante non capire se sarà attaccata il sistema informativo bucato: lo sarà di sicuro. «Va invece capito in quanto tempo sono in grado di rispondere. E la tecnologia FireEye te lo fa capire in minuti non in giorni».

Rispondere ad attacchi alla Jeeg Robot

I malware avanzati sono multifaccia: «arrivano in pezzi, si sparpagliano nel sistema e poi, a una chiamata, attaccano all’unisono». Un comportamento “alla Jeeg Robot”.

La tecnologia Fireeye li collega e li fa detonare su un proprio sistema, in parallelo. «Facciamo un mirror del sistema del cliente per catturare le informazioni necessarie in tempo reale».

Per farlo l’appliance viene collocata nel nel datacenter dell’azienda cliente o viene fruita in cloud come servizio (FireEye as a service).

Il traffico viene replicato e analizzato. Viene fatto detonare il malware e segnalato al cliente i problemi. Sarà lui a decidere che fare con il sistema. A meno che non venga totalmente delegato a FireEye.

«In genere è il CSO che stabilisce le regole e ce le comunica: noi siamo gli esecutori».

Intelligence e controspionaggio

FireEye In Italia lo scorso anno ha raddoppiato gli utenti che aveva acquisito nel 2013 e 2014. Sono tutti enterprise e del settore governativo.

È riuscita a farlo, per Riboli, convincendoli sì con un capitale tecnico, ma anche umano.

«In campo sicurezza tutti dicono di avere sonde sparse nel mondo – dice Riboli – . Ma non è più sufficiente, perche vuol dire lavorare a posteriori. Noi con l’acquisizione di iSight abbiamo cominciato a praticare ragionamento inverso, identico a quello degli attaccanti. Abbiamo 300 persone che lavorano nel sottobosco e analizzano le informazioni degli attaccanti nel mondo».

Una sorta di attività di intelligence proattiva, che una volta si chiamava controspionaggio. Così si previene un attacco.

Il rapporto sugli attacchi

A corollario FireEye ha rilasciato l’Advanced Threat Report EMEA relativo al secondo semestre del 2015.

Il report definisce Turchia, Spagna, Israele, Lussemburgo e Germania i Paesi più colpiti da attacchi avanzati, mentre  i settori verticali più coinvolti sono quelli governativo, dei servizi finanziari, energetico, delle telecomunicazioni e aerospaziale.

I cyber criminali stanno adattando i propri strumenti, affinando le proprie tecniche e procedure (TTPs), spostando obiettivi e Paesi da colpire.

L’utilizzo delle macro è il metodo preferito per i cyber criminali per compromettere le loro vittime con l’obiettivo di rubare informazioni o installare ransomware.

Le maggiori famiglie di malware rilevate nell’area EMEA sono state Runback (10,8%), Dark Hotel (10,23%) e Scanbox (7,95%).

Runback – Sfruttano le tattiche di ingegneria sociale per convincere l’obiettivo ad aprire il documento e ad attivare le macro così da permettere l’esecuzione della macro malevola. Le industrie maggiormente colpite sono high-tech, istruzione e governo.

Dark Hotel – Sfrutta le reti wireless degli hotel per compromettere i computer portatili dei manager che alloggiano in quello specifico hotel. I mercati maggiormente colpiti da questi malware sono istruzione, servizi finanziari e high-tech.

Scanbox – Strumento di profilazione. Il framework è installato sulla macchina della vittima, unitamente a diversi plug-in per registrare la battitura (la digitazione) all’interno di website compromessi, non solo per collezionare le informazioni di sistema, ma per avere username e password.

Le forme più comuni di ransomware includono il Cryptolocker che è il più prolifico di tutte le varianti di file crittografati ransomware.

 

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche
css.php