<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=50912&amp;fmt=gif">

Rendere sicure le reti dagli attacchi Zero-Day

[fa icon="calendar"] 28/04/17 9.19 / da Cristiano Pastorello

attacchi zero-day

Nel corso del 2016 aziende e organizzazioni sono state colpite ogni ora da 971 malware sconosciuti e rispetto i 106 del 2015 sono quasi 10 volte tanto.

Se due anni fa era un problema allarmante oggi è la “nuova normalità” che ci fa capire chiaramente quanto non sia più adeguato proteggerci solamente da ciò che è già stato classificato come minaccia.

Le minacce sconosciute, in gergo attacchi Zero-Day, rappresentano tutto ciò che è in grado di attraversare i comuni controlli di sicurezza messi a disposizione dai firewall e dagli antivirus.

Per esempio i malware per i quali non esiste ancora la firma, le vulnerabilità software per le quali non è ancora stata rilasciata la patch, le botnet i cui IP non sono ancora stati inseriti nei database e i nuovi tunnel di comunicazione sfruttati dai malware “downloader”.

Tutto questo può rientrare nella definizione di minaccia sconosciuta e in quanto tale non è identificabile dai sistemi di sicurezza tradizionali, almeno finché i vendor non iniziano a sviluppare i vari rimedi specifici a fronte dei primi casi di attacco andati a segno, in altre parole finché una minaccia non diventa “conosciuta”.

Il problema di questo scenario è che richiede tempo, durante il quale qualcuno ci casca, con i sistemi “Legacy” questo non si può evitare perché il ciclo:

attacco Zero-Day -> scoperta -> sviluppo del rimedio -> test -> rilascio -> aggiornamento

è troppo lungo e lento.

I comuni prodotti di sicurezza sono basati sul confronto e mancando il modello di riferimento non sono in grado di identificare la minaccia, questo è il succo del discorso.

La probabilità di essere il target di un attacco non è legata all’importanza dell’azienda che siamo e dei dati che trattiamo, significa che valutare il rischio solamente sulla base di statistiche e dati storici è molto pericoloso.

Seguire la teoria del “non è mai successo” non perdona perché le cose cambiano, lo sappiamo e nonostante questo finiamo sempre a sprecare risorse per uscire da pantani annunciati.  

La strategia del cybercrime ha scelto di concentrarsi maggiormente sullo sviluppo di nuovi attacchi perché dopo la scoperta questi perdono progressivamente di efficacia e conviene cambiare strada. A questo scopo hanno trovato modi molto economici e veloci per trasformare un virus conosciuto in uno nuovo, per il quale è necessaria una nuova firma, visto con i miei occhi, tempo necessario 10 secondi.

Lo scenario della sicurezza è sempre in evoluzione e mentre la protezione dalle minacce conosciute necessita delle soluzioni classiche di antivirus, antispam e firewall di buona qualità, per gli Zero-Day invece è necessario affidarci ad un altro tipo di tecnologia.

Ad oggi “l’idea” che tra tutte sembra quella più accreditata nasce da una metafora, si chiama Sandbox e prende il suo nome dal recinto di sabbia dedicato ai giochi per bambini, uno spazio in cui possono “sbizzarrirsi” al sicuro, mentre i genitori si godono un barbeque con gli amici.

Nell’ informatica la Sandbox nasce nel mondo Java, un’ambiente isolato destinato a fungere da perimetro per l’esecuzione di software in fase di studio.

In questo modo è possibile eseguire qualsiasi tipologia di esperimento, sicuri del fatto che comportamenti imprevisti durante l’esecuzione non possano mettere in pericolo l’integrità del sistema principale.

Nella sicurezza informatica riguarda una tecnologia di prevenzione degli attacchi di tipo zero-day, che applica un controllo aggiuntivo al traffico in arrivo sulla rete immediatamente dopo i filtri tradizionali attivi sui firewall UTM.  

Questo fa sì che tutto ciò che attraversa il firewall, ovvero tutto ciò che non appartiene alla sfera delle minacce conosciute, venga ulteriormente analizzato per stabilire se si tratta di traffico pulito oppure se è una minaccia (sconosciuta).

Vi chiederete come.

Una Sandbox non è altro che uno strumento che lancia un’istanza virtuale del sistema operativo della macchina di destinazione del traffico sotto analisi, nella quale di fatto viene eseguito per analizzarne l’operato e stabilire se effettua operazioni pericolose e maligne.

In base al tipo di prodotto questa elaborazione può essere eseguita su un’appliance on premise oppure in cloud, l’importante è che intervenga successivamente alle verifiche tradizionali del firewall, allo scopo di ridurre la mole di traffico da analizzare escludendo da esso tutto ciò che riguarda le minacce conosciute.

L’analisi prende in esame tutto il traffico HTTP, HTTPS, SMTP e FTP, i programmi vengono eseguiti e i files aperti, vengono verificati i link, le attività di rete, l’operato di eventuali macro, scritture di registri e l’attività della CPU, oltretutto sono invisibili a quei malware progettati per cambiare comportamento a seconda del sistema sul quale vengono eseguiti, molti dei quali per l’appunto non attivano le funzioni maligne se si accorgono di essere in esecuzione su un’ambiente virtuale.

Insomma si tratta di una soluzione tanto evoluta quanto la situazione richiede.

Se non sei convinto dell'entità delle minacce Zero-Day in circolazione, ti consiglio questo report, nel quale puoi vedere quali sono le informazioni e le evidenze sugli attacchi che è possibile raccogliere tramite un Security Check-Up eseguito sulla tua rete aziendale.

Si tratta di un’analisi che prende in esame tutta la sfera delle minacce conosciute e non, per farlo abbina Sandbox e tecnologie tradizionali.

report-checkpoint

Categorie: Network Security

Cristiano Pastorello

Scritto da Cristiano Pastorello

Information Security Manager & Privacy Officer presso ArchiMedia srl. Nonostante i miei studi partiti come geometra, la mia passione per il pc e per tutto quello che sta oltre a quell'involucro di plastica mi hanno trascinato completamente nel settore dell'informatica, tanto da diventare Information Security Manager di ArchiMedia. In questi anni ho seguito importanti progetti come quelli che riguardano la sicurezza informatica del Comune di Verona e di Italscania. In questo ultimo periodo ho deciso inoltre di specializzarmi sul campo del Data Protection ottenendo la Certificazione Federprivacy come Privacy Officer.