Home Prodotti Sicurezza Malware, le questioni aperte della sicurezza mobile

Malware, le questioni aperte della sicurezza mobile

Il traffico mobile sta diventando la prima autostrada di attacco ai dispositivi aziendali tramite malware. La proliferazione di smartphone e tablet personali, espone l’azienda a maggiori rischi. Ma diversamente da violazioni di credenziali o carte di credito aziendali, ci sono altri rischi che le organizzazioni devono considerare. Il primo è il costo delle violazioni, il danno potenziale a reputazione del proprio marchio e la potenziale perdita di vantaggio competitivo, nel caso di proprietà intellettuale diventata di dominio pubblico.

I dispositivi mobile possono essere uno dei principali vettori o cause, in quanto le reti alle quali si connettono e le applicazioni che eseguono, possono essere sfruttate per rubare informazioni sensibili come documenti, calendario appuntamenti, messaggi e-mail, testi e allegati. Inoltre, tramite applicazioni contenenti codice malevolo, si è in grado di attivare il microfono registrando eventuali conversazioni ed avviare la fotocamera catturando momenti live del malcapitato, nonchè tracciare gli spostamenti tramite il GPS integrato.

Abbiamo analizzato il fenomeno ponendo quattro questioni a Pierluigi Torriani, Security Engineering Manager Italy di Check Point Software Technologies.

ierluigi Torriani, Security Engineering Manager Italy di Check Point Software Technologies

Di fronte all’incremento di malware mobile quali sono le linee guida per un responsabile della sicurezza?

È necessario un cambio mentale, in quanto il 59% degli esperti IT non utilizza sistemi di protezione per i dispositivi mobile, e solo il 9% li considera un rischio significativo di infezione e veicolo per l’accesso in azienda. Inoltre, non avendo strumenti di difesa adeguati ci si trova nella situazione in cui avere visibilità dell’infezione stessa diventa molto difficile. La prima e unica linea guida che Check Point Software Technologies suggerisce è di pensare e gestire i dispositivi mobile come qualsiasi altro asset aziendale IT di cui avere cura dal punto di vista della sicurezza, approcciandosi con delle soluzioni come SandBlast Mobile per mantenere il massimo livello di protezione e garanzia sulla sicurezza.

In tema di malware, perché dominano i cryptominer?

Ci sono diverse ragioni che hanno causato l’incremento di criptomining e il decremento di attacchi di tipo ransomware:
La prima, poche vittime pagano il riscatto nonostante l’alto tasso di infezioni degli attacchi su larga scala dei ransomware come WannaCry, ad esempio: l’attacco ha fruttato solo $140000, contro un danno generato di enormi dimensioni. Nonostante questo possa sembrare molto, in realtà è un piccolo tasso di pagamento considerando che oltre 400.000 computer sono stati infettati.
La seconda: la volatilità dei tassi di criptovaluta ha un peso importantissimo. Infatti, quando il pagamento del riscatto richiesto è in Bitcoin, è fondamentale che la valuta digitale abbia un tasso di cambio favorevole al dollaro. Questo significa che il tasso da pagare deve essere ottimale, non eccessivo tale per cui la vittima non pagherà, e nemmeno troppo basso da renderlo non redditizio per l’attaccante. Inoltre, nonostante il Bitcoin sia ancora una moneta preziosa, il crollo iniziato a partire dalla metà del 2017, rende i pagamenti di riscatto molto meno allettanti quando vengono pagati.
La terza: il malware Cryptojacking è più subdolo. Il ransomware è altamente visibile e attiva allarmi o segnali all’interno di un’organizzazione indiscutibilmente chiari. I cryptominer sono furtivi, non attivano avvisi o allarmi e spesso la loro presenza è sconosciuta, il che consente all’autore dell’attacco di dirottare il loro obiettivo per generare reddito per tutto il tempo che desiderano, totalmente all’insaputa delle loro vittime.
Per i motivi sopra, gli attori delle minacce sono diventati più creativi, inventandosi delle tecniche di offuscazione ed ingannevoli sempre più complesse e difficili da identificare.

Le botnet sono in crescita. A chi spettano le contromisure?

Le botnet sono in continua crescita in quanto permettono di generare attacchi di svariate tipologie. Attacchi DDoS, spam e propagazione di virus sono i compiti principali delle botnet; a questo si aggiunge la capacità di infettare in modo trasversale dispositivi IT, OT/Industriali, videocamere e oggetti smart home. Le contromisure impongono di utilizzare un approccio di prevenzione dell’infezione, tramite strumenti che permettono di individuare e bloccare l’infezione prima che essa entri in azienda. Nel momento in cui l’infezione sia già entrata in azienda sfruttando un canale non protetto, si devono utilizzare strumenti chiamati di “Post-Infection” tali da permettere di limitare i danni. La sicurezza va pensata a 360° in quanto gli oggetti potenziali vittime sono molteplici, e di svariata tipologia ed utilizzo.

Sandbox: perché pare non bastino più?

Le sandbox in alcuni casi, come citato precedentemente per i Cryptominer, non sono abbastanza in quanto le loro evoluzioni sono estremamente alte, e sono in grado di sfruttare vulnerabilità di alto livello, passando inosservati anche dalle Sandbox.

La strategia da utilizzare è di monitorare tutti gli ecosistemi, mobile, cloud, rete e sfruttare in tempo reale l’intelligenza delle minacce da una piattaforma di intelligence condivisa ed unificata, tale per cui in modo dinamico, vengono applicate delle politiche di sicurezza specifiche. Tutto questo va nella direzione di un ambiente di prevenzione delle minacce multi-livello unificato e avanzato, includendo tecnologie di Sandbox a livello CPU e non Sandbox tradizionali, soluzioni di estrazione delle minacce da documenti, moduli anti-phishing ed anti-ransomware per difendersi da attacchi “zero-day”.

Per proteggersi da exploit del sistema operativo, si richiede l’uso sia di analisi statica, che di tecniche di analisi dinamica; ma anche il controllo accesso a livello root di un dispositivo mobile e l’uso di un motore di analisi comportamentale per rilevare comportamenti imprevisti del sistema. Inoltre, la prevenzione contro malware propagati tramite app false, dovrebbe includere una soluzione che acquisisce le app mentre vengono scaricate e le esegue in una “sandbox” virtuale con lo scopo di analizzarne il comportamento. Il tutto gestito con un approccio di aggregazione e correlazione delle informazioni tale da poter categorizzare in modo preciso l’applicazione.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche

css.php