Sicurezza: emulare il nemico, per sconfiggerlo

La threat emulation è una tecnica fondamentale per rendere più efficace la sicurezza It. Rodolfo Falcone di Check Point ci spiega il perché.

Conosci il tuo nemico come te stesso” è un motto spesso citato in tema di sicurezza It. Peraltro la grande varietà delle minacce informatiche ed il loro constante dinamismo rendono questo compito però estremamente arduo.

A ricordarcelo è Rodolfo Falcone, country manager di Check Point Italia.

Nella gran parte delle minacce di nuova generazione, spiega, il codice maligno si nasconde in tipi di file comuni che tutti utilizzano normalmente per lavoro: email, documenti Word, pdf, fogli di calcolo Excel e così via.

Esistono toolkit in grado di dissimulare questi script eseguibili, per nascondere le loro azioni malevole.
Con i crescenti volumi di traffico sulle reti aziendali e la grande presenza di nuovi malware introdotti e nascosti “alla luce del sole” in file apparentemente innocui, le aziende sono vulnerabili ad attacchi zero-day.

E anche se la difesa a più livelli utilizzando Ips e Ids può aiutare a bloccare alcuni di questi attacchi malware, spiega Falcone, queste non bloccano ancora le infezioni a raggiungere la rete e diffondersi su di essa.

Il numero e la complessità dei nuovi attacchi significano dunque che non possiamo illuderci di poter conoscere tutto sui nemici.
Proprio come il monitoraggio delle frontiere di un paese sarà basato su una serie di tecniche per osservare le persone che entrano ed identificare quelle che possono rappresentare una minaccia, le nuove tecniche di sicurezza hanno reso possibile esaminare le email, i file ed i dati che entrano in una rete, confinando i file pericolosi ai margini della rete in modo da evitare l’infezione, il tutto senza incidere sui flussi di lavoro.

Questo avviene utilizzando una tecnica chiamata threat emulation, che permette di esaminare eventuali file sospetti ed ispezionare il loro contenuto in una zona “di quarantena” virtuale conosciuta come sandbox.
Nella sandbox, il file viene aperto e monitorato in tempo reale per individuare un qualsiasi comportamento insolito, come ad esempio il tentativo di apportare modifiche anomale al sistema o di accedere alla rete.

Se tale comportamento risulta sospetto o malevolo, viene bloccato e messo in quarantena, prevenendo ogni possibile infezione prima che questa possa raggiungere la rete e provocare danni.

Rilevando e bloccando un file in questo modo, le organizzazioni dovrebbero essere in grado di condividere informazioni sulla nuova minaccia, per aiutare anche altri a evitare l’infezione.

Questo per Falcone aiuta a diffondere le conoscenze acquisite su un nuovo nemico, in modo molto simile a quanto fanno le organizzazioni sanitarie globali, che collaborano per combattere le malattie emergenti, chiudendo così la finestra di tempo che intercorre tra la scoperta di un nuovo attacco e la capacità di difendersi contro di essa.

Uno studio del 2012, ricorda il manager, ha mostrato che l’85% delle violazioni derivanti da attacchi informatici hanno richiesto più una settimana per essere rilevate.
Se le aziende potessero condividere online le informazioni sulle minacce emergenti nel momento in cui queste vengono identificate, e prima che infettino le reti, la percentuale di infezioni potrebbe ridursi drasticamente.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome