I nuovi modelli di business che aprono le aziende verso clienti, partner e fornitori, hanno reso il perimetro della rete aziendale sempre meno definito. Il mobile computing, inoltre, ha moltiplicato il numero di utenti remoti, le piattaforme, le metodologie di accesso e i terminali per la connettività. I manager e gli amministratori IT si trovano sempre più spesso impegnati a mantenere sicuri gli endpoint, concentrando la loro attenzione sulla protezione del perimetro dagli attacchi esterni realizzata principalmente attraverso soluzioni firewall o IPS. Senza dimenticare che, in molti casi, sono gli utenti interni a porre più rischi rispetto a quelli esterni. Gli endpoint, dunque, si trovano spesso in condizioni di vulnerabilità ed esposti a infezioni. Tra i problemi che contribuiscono a rendere insicuri gli endpoint vi sono anche il mancato aggiornamento delle patch critiche del sistema operativo o delle applicazioni, la presenza di “signature” scadute per il riconoscimento di virus, la mancanza di un firewall software o una sua cattiva configurazione. Per tutte queste ragioni, è opportuno prendere in considerazione sistemi di protezione in grado di intervenire in modo preventivo e proattivo.
Le minacce cambiano
Ripercorrendo l’ultimo decennio di storia delle minacce informatiche, il panorama che ne emerge presenta cambiamenti rapidi. Dieci anni fa le minacce alla sicurezza erano statiche nell’approccio e nella maggior parte dei casi venivano attuate da parte di “appassionati”; anche le reazioni di contrasto erano semplicistiche, limitate alla raccolta di esemplari di malware e allo sviluppo di appositi pattern usati dagli endpoint per riconoscere i tentativi di attacco.
Con il passare degli anni, però, le frontiere in materia di attacchi si sono spostate sempre più verso minacce a tecnica mista alquanto sofisticate e, soprattutto, con finalità di lucro per i cyber criminali. Le minacce Web, in particolare, continuano a coinvolgere diversi vettori con l’obiettivo di eludere controlli e rilevamenti. I creatori di malware sono sempre più impegnati nello sfruttamento dei migliori tool disponibili, motivo per cui le minacce si basano sulle tecniche più innovative, come ad esempio i Trojan in grado di modificare i DNS.
Ormai, le regole del gioco sono cambiate e i tradizionali metodi di difesa non sono più sufficienti a contrastare il nuovo nemico.
Le minacce Web sono multi-livello e multi-variante: questo significa che, se da un lato possono assumere le sembianze di innocui messaggi di posta elettronica, dall’altro esse celano un link cliccabile che rimanda a un possibile sito pericoloso che esegue un test delle vulnerabilità sfruttandole per avviare il download silenzioso di un Trojan collegato a sua volta a un altro punto della Rete dal quale recuperare altro malware – ad esempio uno spambot, un bot Denial of Service, finto software anti-virus piuttosto che un keylogger. Il rilevamento delle minacce Web multi-variante risulta difficoltoso se si utilizzano tecniche di scansione tradizionali in quanto tali minacce vengono create in piccole quantità di diverse varianti che poi usano la Rete per auto-aggiornarsi e modificarsi col tempo nella forma e nella funzione.
In secondo luogo, le minacce Web sono distribuite: ovvero sono in grado di diffondere il loro carico su numerosi host, in piccole quantità ciascuno. Ogni singola componente di questo scenario può non apparire come minaccia, mentre collegando le varie parti del mosaico il pericolo risulta evidente.
Le minacce Web, infine, supportano molti protocolli: si servono di un evento scatenante iniziale, come per esempio l’invio di un URL in un messaggio email via SMTP o Instant message, passando poi all’HTTP per diffondere l’infezione. Queste minacce utilizzando quindi un insieme di tecniche diverse per distribuire il loro payload, richiedendo così numerosi livelli di protezione.
Come già accennato più volte, oggi il principale incentivo che spinge i cyber criminali a perpetrare gli attacchi è costituito dal ritorno economico, ovvero guadagnare denaro assumendo il controllo delle macchine per sottrarre informazioni di natura bancaria, password e altri dati confidenziali che possono essere successivamente rivendute a terzi. Alcuni studi hanno messo in luce l’esistenza di un’economia digitale sommersa nata per supportare tali attività illegali e composta da uomini d’affari indipendenti che utilizzano i servizi dei vendor di malware e che collaborano con vendor di sistemi anti-rilevamento e toolkit per nascondere i loro payload da eventuali scoperte. Queste persone reclutano vendor di reti bot e hacker al fine di diffondere i payload pericolosi.
Al contempo, va evidenziato l’aumento registrato in termini di volumi del malware: secondo i dati rilasciati da AV-Test.org si è infatti passati da 1.738 esemplari nel 1988 a 5,7 milioni solo nei primi otto mesi del 2008. Nel 2009 i dati parlavano di circa 800 nuove minacce all’ora, una quantità che continuando a crescere al ritmo corrente arriverà entro il 2015 a toccare le 26.500 minacce all’ora.
Devono cambiare anche le soluzioni
Se da un lato, come abbiamo visto, i cyber criminali si stanno perfezionando sempre di più nello sviluppo di quantità ingenti di varianti di malware da destinare a differenti meccanismi di diffusione, dall’altro lato, ciò significa che i file contenenti i pattern preposti alla ricerca di segnature di virus note assumono dimensioni sempre più significative, determinando una richiesta crescente di spazio su disco, di memoria e di utilizzo della CPU a livello di endpoint. Non solo, il loro deployment richiede tempi sensibilmente più lunghi e maggiori quantità di bandwidth. L’aspetto di maggiore preoccupazione però è verosimilmente dato dal fatto che, anche se i file possono comunque essere distribuiti, le interruzioni ai danni degli utenti dovute alle fasi di aggiornamento potrebbero assumere una tale gravità da causare forti rallentamenti se non addirittura controproducenti fermi macchina.
Se non si riuscirà a modificare l’approccio attuale nei confronti della sicurezza endpoint, è molto probabile che entro il 2015 i costi di deployment per le divisioni IT delle grandi aziende arriveranno a cifre praticamente insostenibili. L’aggiornamento di un unico file di pattern da parte di un’impresa con 250.000 dipendenti globali può durare anche più di 5 ore, un tempo di reazione piuttosto lungo rispetto a una possibile minaccia business-critical. Se poi si pensa che le imprese ricevono aggiornamenti anche fino a otto volte al giorno e che numerosi pattern vengono sottoposti a test in un ambiente controllato prima di essere applicati alla rete aziendale, risulta chiaro che la sfida di riuscire a restare al passo con gli aggiornamenti diventa praticamente insormontabile. Gli amministratori di rete si troverebbero a trascorrere intere giornate nella gestione degli aggiornamenti e le reti sarebbero bloccate dai continui update, con la conseguente compromissione delle performance degli endpoint. Per non parlare poi dei dipendenti remoti o mobili, i quali riceverebbero gli aggiornamenti a distanza di interi giorni dal loro rilascio.
Un aiuto dal cloud
Risulta quindi evidente la necessità di elaborare una nuova risposta in grado di trarre il massimo dalle più recenti e innovative tecnologie e risorse informatiche. Risposta che trova fattibilità nel trasferimento del carico relativo a storage e attività di rilevamento all’ambiente cloud. Questo tipo di approccio garantisce un utilizzo minimale delle risorse a livello di endpoint, favorisce flussi di traffico coerenti su tutta la rete, permette di trattare immediatamente le nuove minacce e aumenta la consapevolezza delle minacce localizzate.
Si tratta ancora di un metodo basato su livelli: alcune minacce continueranno infatti a essere rilevate presso il gateway esaminando gli indirizzi IP sospetti o i mittenti bloccati, mentre altre verranno rilevate localmente con il riconoscimento delle segnature o il blocco delle destinazioni pericolose.
Le azienda possono notevolmente ridurre il lasso di tempo richiesto per fronteggiare le minacce attingendo, per esempio, a database per la reputazione e distribuiti in-the-cloud, potendo così bloccare nuove varianti di malware e spam prima ancora che questi raggiungano la rete aziendale.
In questo modo diminuisce drasticamente il tasso di infezione degli endpoint, si riducono i tempi e le risorse per la gestione delle procedure legate alla sicurezza e la probabilità di falle di sicurezza sfruttabili per attacchi e si minimizzano i costi derivanti dalla mancata produttività.
Da Trend Micro, la Smart Protection Network cloud-client
La Smart Protection Network cloud-client di Trend Micro è un’offerta basata su tre elementi: gestione della reputazione di e-mail, Web e file. Aspetto altrettanto importante è il fatto che permette di correlare gli eventi, di eseguire la cross-population fra i database e di creare un ciclo di feedback con il cliente. Il Network è formato da una rete globale di dati di intelligence delle minacce quotidianamente aggiornata con oltre 50 milioni di indirizzi IP e URL sospetti solo per quanto riguarda il database di reputazione Web; in totale la Smart Protection Network gestisce più di 5 miliardi di richieste al giorno, fornendo una protezione completa contro tutti i tipi di minacce incluse anche quelle di nuova concezione.
È la combinazione dei tre elementi a rendere efficace la Smart Protection Network nei confronti delle minacce Web (essa è infatti in grado di mettere in correlazione eventi differenti come ad esempio e-mail di spam che contiene un link che rimanda a un sito pericoloso dal quale scaricare un nuovo malware non ancora rilevato). La correlazione fra i diversi episodi permette di definire un quadro globale e di arricchire e perfezionare il database delle minacce.
La Smart Protection Network si avvale inoltre di cicli di feedback globali mirati a isolare la causa delle minacce mettendo in collegamento centri di ricerca, clienti, prodotti e servizi.
Prendendo ad esempio l’e-mail di spam contenente il link che rimanda al sito pericoloso, il malware sconosciuto genera un feedback che innesca un processo di analisi dell’URL di origine e, di conseguenza, l’aggiornamento della Smart Protection Network. L’e-mail viene immediatamente bloccata in prossimità del gateway di rete in quanto contiene un URL ora facente parte della blacklist all’interno del database di reputazione Web. I download successivi vengono anch’essi bloccati in quanto il pattern del file è stato aggiunto al database di reputazione Web; stessa sorte tocca al mittente dell’e-mail che viene automaticamente aggiunto al database. In questo modo si spezza la catena del contagio alla prima occasione di diffusione.
