Il contrasto più efficace del malware e degli attacchi più articolati oggi non può avvenire basandosi esclusivamente sul metodo tradizionale dell’aggiornamento dei sistemi antivirus e antimalware effettuato tramite il download giornaliero di signature dai siti dei vendor di security. Per prevenire gli attacchi zero-day (qualsiasi vulnerabilità non nota e, per estensione, un tipo di attacco informatico che inizia nel “giorno zero”, cioè nel momento in cui viene scoperta una falla di sicurezza in un sistema informatico), per esempio, i sistemi di sicurezza delle aziende devono disporre di soluzioni aggiuntive a quelle sopracitate: soluzioni in grado di intervenire prima che i laboratori dei vendor di security abbiano analizzato i nuovi campioni di malware e rilasciato le relative signature da inviare ai software installati sui gateway o sugli endpoint degli utenti finali.
David Gubiani, Technical manager di Check Point Italia
Una soluzione di questo tipo è Check Point ThreatCloud Security Services, con cui il fornitore di sicurezza It capitalizza sulla sua infrastruttura di raccolta e analisi di minacce. “ThreatCloud – spiega a ZeroUno David Gubiani, Technical manager di Check Point Italia – è fondamentalmente un’infrastruttura che raccoglie tutti i dati inviati dalle honeypot [trappole che catturano il malware, ndr] di Check Point, li inserisce in un enorme database e li mette a disposizione dei nostri analisti. Una buona parte dei dati è già analizzata automaticamente dai software di ThreatCloud”. Quale vantaggio offre l’integrazione con ThreatCloud? “Quando un sistema dei nostri clienti si collega a questa infrastruttura, può trovare una protezione nei confronti di nuovi malware o pattern di attacco prima ancora che questi abbiano completato l’iter di analisi e di trasformazione in signature di protezione che vengono normalmente scaricate dai software di sicurezza tradizionali”.
ThreatCloud Security Services rappresenta un esempio di come la collaborazione fra vendor di sicurezza, clienti disponibili a ospitare dei sensori e altre istituzioni, consenta di aumentare la portata e la capacità di giocare in anticipo attività di prevenzione delle infezioni e delle frodi informatiche. “I sensori di ThreatCloud – precisa Gubiani – si limitano a raccogliere gli hash dei file malware e gli indirizzi delle botnet e dei loro server di Command & Control, ma non memorizzano informazioni riservate. La privacy di chi collabora è tutelata. Nessuna azienda potrà mai sapere da quale altra è provenuta la segnalazione di un nuovo tipo di attacco. Le imprese o i service provider che ospitano gli honeypot sui loro gateway, hanno in cambio l’accesso diretto ai nostri laboratori, che analizzano il malware a capiscono cosa si può fare per bloccare subito il ciclo dell’infezione. Avere sensori in Paesi come l’Italia è molto importante, perché il malware scritto in italiano non è molto diffuso e quindi i campioni che si possono raccogliere sono solitamente molto limitati”.
I ThreatCloud Security Services si suddividono in due principali categorie: Managed Security Services e Incident Response. I primi includono l’accesso alla tecnologia di prevenzione e alle analisi in modo da prevenire 24 ore su 24 gli attacchi alle infrastrutture aziendali. I secondi prevedono anche la fornitura di report e assistenza per valutare gli effetti di attacchi eventualmente subiti e implementare delle contromisure per evitare il loro ripetersi.
