Come affrontare le sette fasi di un attacco alla sicurezza aziendale

Oggi le minacce sono sempre più sofisticate e imprevedibili, ma anche accattivanti, grazie a informazioni personali reperite sui social network. Come evitare di cadere nei tranelli ed erigere un’efficace difesa? Ce lo illustra Emiliano Massa Director of Regional Sales Websense Italy & Iberia.

Virus, malware e le altre “classiche” minacce volte
a modificare o a distruggere i dati potremmo dire che sono quasi ormai un
lontano ricordo. “Oggi a farla da padrone
sono gli attacchi di nuova generazione
– afferma Emiliano Massa Director of
Regional Sales Websense Italy & Iberia – che non puntano più a colpire indistintamente chi capita, come
succedeva fino a qualche tempo fa, ma invece sono indirizzati a target mirati
con obiettivi ben definiti
”.

E tali obiettivi solitamente sono di alto
profilo. A tal punto che quelli che una volta si chiamavano hacker, cracker o qual
dir si voglia, oggi sono invece veri criminali informatici, che usano tecniche
molto raffinate per raggiungere i loro scopi: carpire preziosissimi dati
personali o aziendali.

Le tecniche usate sono sempre più raffinate ma,
secondo l’opinione di Massa, possono essere riassunte in sette punti, che
caratterizzano praticamente tutti gli attacchi più avanzati e più clamorosi (e
dolorosi…) furti di dati.

Anzitutto
abbiamo la fase di ricognizione
– dice Massa -, ovvero l’individuazione dell’obiettivo. Vengono raccolte più
informazioni possibili sulle persone da colpire. In questo caso la principale
fonte da cui si attingono i dati sono i social network: in pratica, siamo noi
stessi a dare un’idea dei nostri punti deboli e a suggerire come stimolare la
nostra curiosità. Questo semplifica l’adescamento, il secondo step, che avviene
seguendo le nostre indicazioni. L’attacco, infatti, consiste nell’invio di
un’esca, che arriva tramite i canali che siamo soliti usare e con un contenuto
in linea con i nostri interessi privati o la nostra realtà lavorativa
”.

Attratti da un contenuto tanto accattivante,
facciamo clic sull’esca e cadiamo nel tranello. Veniamo cosi dirottati (terzo
step) su una pagina Web che all’apparenza è assolutamente legittima ma in cui invece
è annidato un exploit kit che lancerà l’attacco vero e proprio (quarto step):
il processo è avviato e inconsapevolmente abbiamo spalancato le porte di
accesso ai nostri dati privati o a quelli aziendali.

L’exploit
esegue uno scanning del Pc per capire quale sistema operativo è installato

– sottolinea Massa -. L’obiettivo è
inoculare uno specifico elemento per indagare su ciò che sta girando sulla
macchina e quindi indurre il computer a fare quanto che si desidera faccia
”.
Si tratta del quinto passaggio, chiamato installazione, in cui viene messo a
dura prova quello che la maggior parte delle persone considera l’elemento principale
dei propri sistemi di protezione perimetrali: l’analisi di ogni file che
penetra nella rete, per il rilevamento di malware. Oggi però i file dropper
utilizzano pacchetti dinamici in modo che le signature e i pattern non siano
rilevabili, così pochissimi sistemi antivirus identificano i file dropper
durante l’analisi delle minacce.

A questo
punto il computer è diventato vulnerabile
– prosegue Massa – e si è acquisito l’accesso a tutti i dati
presenti sulla macchina e, soprattutto, anche a tutti quelli delle macchine collegate
alla medesima rete. I dati aziendali più sensibili sono a portata di mano
”.
L’attacco è quindi andato a segno e si attiva il call home (sesto step), ossia
un “contatto con la base” per effettuare il download dei dati, l’azione
definitiva o, se vogliamo, il furto a cui si puntava e che è il settimo e definitivo step.

Da questa nuova modalità di attacco emergono
diversi punti inerenti la più evolute minacce alla sicurezza e, di conseguenza,
i modi per cercare di proteggersi.

La totale sicurezza non si ottiene mai, ma
si può elevare molto il livello di protezione
– evidenzia Massa -. Anzitutto educando l’utente in modo che
impari a gestire la fase di ricognizione e riconosca eventuali esche. In
secondo luogo utilizzando strumenti che, oltre a individuare le consuete
minacce, sappiano anche identificare quelle sconosciute a fronte di comportamenti
anomali, eventualmente implementando layer progressivi di difesa
”.

Oltre a
effettuare controlli su Url e file e avere una protezione inbound, oggi è necessario
predisporre anche una verifica del traffico in uscita, magari tramite precise
policy, per impedire che siano inviati all’esterno dati aziendali sensibili. E’
importante identificare tutto il percorso dei file.

Oggi le opportunità per i criminali
informatici sono molteplici e il Web è il principale luogo da cui sono lanciare
gli attacchi
– conclude Massa -. Non
si possono conoscere tutte i modi in cui saranno sferrate le minacce per cui
bisogna dotarsi di strumenti che consentano di operare in modo proattivo,
limitando il più possibile le probabilità di successo degli attacchi stessi
”.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome