Contattaci
icon1 Revenue
Inbound Marketing
Attira traffico e converti lead
Inbound Sales
Ottimizza il tuo flusso di vendita
Piani SEO
Fatti trovare sui motori di ricerca
ADV
Ottimizza il tuo budget online
Consulenza
La miglior strategia per la tua azienda
Segreteria di prevendita
Aumenta il successo delle chiamate
Group 553 BRAND
Concorsi a premi
Raggiungi gli obiettivi con il gioco!
Visual Brand Identity
Dai una nuova veste alla tua azienda
Video strategy
Per eventi, prodotti, ADV e funnel
Metaverso Experience
Fidelizza i tuoi clienti in un mondo alternativo
Programmi Fedeltà
Fidelizza i clienti e aumenta le vendite
Group 556 Legal
Legal Annual
PAG, DPO e MOP
Legal Automation
Firma digitale, Blockchain, Conservazione sostitutiva, HubSpot
Legal Process
IT Security in conformità al GDPR
Legal Training
La Formazione certificata, digitalizzata e automatizzata
Group 560 DEVELOPMENT
Sviluppo siti web
Siti che attirano, convertono e vendono
Integrazioni tra software
Creiamo connessioni tra sistemi diversi
Progetti custom
Ad ogni tua esigenza un software ad hoc (leggi le case study)
Preventivatori
Automatizza le richieste di preventivo
HUBSPOT
La marketing e sales automation
Scopri il software
Video tutorial
Onboarding
Shopify
Il miglior software per eCommerce
Automation
Le piattaforme create da Archimedia per automatizzare ogni attività
Leadmatiq
Gestisci le lead con la rete vendita
Learnmatiq
Formazione online automatizzata
Winmatiq
Concorsi a premi per brand awareness e lead generation
Loymatiq
Programmi Loyalty per fidelizzare i clienti
Software Custom

Un software per ogni esigenza
Case study
Storie di successo e risultati ottenuti 
Portfolio
Tutte le cose fatte per i nostri clienti
Scopri il Customer Program Archimedia
Scoprilo qui
Qual è la strategia migliore per te?
Chiedi una call
Ebook
Raccolta gratuita di guide e libri digitali
Video tutorial HubSpot
Video-consigli su HubSpot e Inbound 
Blog Inbound
Ogni settimana un nuovo approfondimento 
Blog Legal
Tutto su Conformità GDPR e sicurezza aziendale
L'AZIENDA
Tutti gli esperti che ti affiancano
PARTNER
Le migliori aziende con cui lavoriamo
RELAZIONI
Le Relazioni che danno valore al brand
LAVORA CON NOI
Entra a far parte del team
EVENTI
TEDxRovigo
Condividiamo idee per un futuro migliore 
Corsi
Corsi online web marketing
Formazione digital Marketing e Sales

Nuovi Virus e minacce Zero Day: Perchè una Sandbox ?

10 ott , 2016 | 3 minuti

TOPICS

nuovi virus

Perché tutti parlano di questo problema come se non ce fossero altri?

I motivi sono due:

  • Le tendenze di crescita
  • La logica di funzionamento di antivirus e firewall

Secondo le statistiche di AV Test, una società indipendente che si occupa di ricerche sui malware, i nuovi virus scoperti negli ultimi anni sono stati:

  • 2012 - 37M
  • 2013 - 83M
  • 2014 - 141M
  • 2015 - 142M
  • 2016 - 100M (prospettiva di 150M al 31/12)

Questi numeri ci fanno capire un fenomeno importante, il Cybercrime sta concentrando gli sforzi su questo tipo di attacchi perché hanno una probabilità di successo praticamente certa, in gergo vengono chiamate minacce zero day.

I comuni antivirus e firewall a causa del concetto alla base del loro funzionamento non possono considerare questi virus come tali, semplicemente perché non li conoscono, quindi ne permettono l' esecuzione sui PC e server di destinazione.

In altre parole la logica che seguono è quella del confronto, un antivirus, che sia installato sul PC, su un server oppure a bordo del firewall, contiene un database di “firme” dei malware e può riconoscere come tali solo quelli presenti.

Analogamente anche i servizi IPS, Antibot o la Threat Intelligence sono basati su firme o database di indirizzi IP e bloccano solo le connessioni verso tali destinazioni.

Chiaramente quando un Hacker diffonde un virus non invia la firma ai produttori di antivirus (almeno per quanto ne sappiamo…), ma si deve diffondere, fare danni, continuare a farne finché non attira l’attenzione abbastanza da spenderci un po’ di tempo, sviluppare la firma, collaudarla e rilasciarla tramite gli aggiornamenti. Analogamente succede per le firme dell’ IPS e le Botnet.   

Ecco il problema, la situazione non è in grado di sostenere questo ciclo perché i danni che subiamo nel frattempo sono troppo ingenti, prima per la produttività aziendale ed ora anche per tutte le normative sulla privacy che ti assalgono in caso di perdite di dati.

A fronte di questo il mercato ha dato alcune risposte che hanno migliorato parzialmente la situazione, dotando gli antivirus di funzioni di analisi comportamentali in grado di valutare le azioni  di un programma e in base a queste classificarlo o meno come malware.

Iniziamo ad avvicinarci al concetto di Sandbox ...

Queste analisi entrano in azione solo se la verifica delle firma è stata superata e di fatto devono permettere l’esecuzione del programma per analizzarne l’operato, quindi per rapide che siano ad intervenire il malware farà sempre in tempo a fare qualcosa che potenzialmente potrebbe aprire altre strade di infezione.

Oltre a questo non dimentichiamo che la fantasia del cybercrime è ampiamente in grado di aggirare questi controlli, sfruttando principalmente il fatto che vengono eseguiti sulle macchine di destinazione e non a monte di esse.

La tecnologia Sandbox prende nome e concetto da una metafora che si riferisce alle “scatole” di legno piene di sabbia dove si fanno giocare i bambini.

Nella sicurezza informatica questo significa analizzare il traffico in un ambiente isolato, prima che raggiunga la macchina di destinazione, al fine di analizzarne l’operato per valutare se rilasciarlo, bloccarlo o bonificarlo delle componenti malevole.

Non sostituisce il firewall, ed ora vi spiego perché.

Questi strumenti hanno certi tempi di risposta, devono portare a termine tutte le esecuzioni e per questo meno lavoro fanno più veloci sono.

Ecco perché il controllo deve essere effettuato dopo il firewall, in questo modo prima blocchiamo:

  • le richieste verso le porte chiuse
  • la navigazione web verso le categorie di siti non permesse
  • le connessioni verso le Botnet conosciute
  • le connessioni ritenute malevole dall’IPS
  • il passaggio dei malware riconosciuti dal servizio anti-malware sul firewall

In altre parole prima trattiamo tutto ciò che rientra nella sfera delle minacce conosciute, per rilasciare alla Sandbox solamente ciò che è pulito oppure minaccia sconosciuta, così i tempi di risposta complessivi che dovrà attendere l’utente saranno il più ridotti possibile, in sostanza si suddividono i compiti.

A prescindere che venga adottata come servizio cloud, a bordo del firewall o su un’appliance dedicata, la tecnologia attiva in tempo reale delle macchine virtuali, ognuna con una versione di sistema operativo diversa dove di fatto viene riprodotto fedelmente tutto ciò che succederebbe sulla macchina di destinazione.

Così facendo è possibile:

  • Analizzare tutto il traffico HTTP, HTTPS e SMTP.
  • Valutare l’operato di ogni applicazione per scoprire azioni malevole.
  • Accelerare il clock di sistema per rilevare virus ad attivazione ritardata.
  • Simulare i click su link ipertestuali al fine di valutare il servizio web a cui puntano.
  • Simulare le conferme User Account Control, richieste con l’apertura di file in genere “eseguibili”.
  • Simulare l’apertura di documenti.
  • Simulare le conferme di attivazione macro nei documenti Office.
  • Simulare ogni altra azione utente richiesta

 Con la diffusione di questa tecnologia però gli hackers hanno adattato le caratteristiche polimorfiche dei virus in modo tale che restino inattivi qualora dovessero essere in esecuzione su una virtual machine, ora il problema da superare è appunto evitare che se ne accorgano.

Ma come?

Tutto sta nel livello in cui si posiziona lo strato della Sandbox.

Per evitare che i malware sfruttino gli exploit e quindi raggirare il controllo è necessario che la tecnologia adottata si posizioni tra la CPU e l’ Hypervisor, in questo modo è possibile valutare solamente l’inequivocabile operato della CPU.

Per questo la scelta della tecnologia è fondamentale, molte di quelle presenti sul mercato portano poco in più rispetto ad un buon firewall con tutti i servizi attivi o ad un buon antivirus, quindi anche in questo campo ce n’è per tutti i gusti.

Certo, fare le scelte giuste non mai facile ma più sono le informazioni che abbiamo a disposizione più riusciamo ad avvicinarci alla soluzione migliore. Senz'altro è ultile iniziare con un Security Check-Up, che ti permetta di valutare lo stato della sicurezza della tua rete e le minacce a cui è soggetta.

Per farti capire meglio cosa intendo ti consiglio questo report.

Cristiano Pastorello

DPO & Amazon Web Service Specialist

Articoli Correlati

2.lug.2017 | Cristiano Pastorello
Archivi Violati: Scatta la Notifica Data Breach
Leggi l’articolo
16.mar.2017 | Cristiano Pastorello
Miglior antivirus Android: ma serve o è inutile?
Leggi l’articolo
17.mar.2016 | Cristiano Pastorello
iOS e OS X: più sicuri o meno attaccati?
Leggi l’articolo
Scroll