Tempo fattore non più sottovalutabile: questa la lezione impartita da WannaCry e Petya.B


WannaCry e Petya.B sono solamente due più recenti (e famosi) attacchi su larga scala che hanno evidenziato lacune nella gestione dei sistemi informativi e dei fattori di rischio da cui trarre preziosi insegnamenti.

Parigi – Osservando l’andamento delle attività dei cybercriminali alla luce delle due più recenti ondate di infezione ransomware su larga scala è impossibile negare un incremento nella sofisticazione del malware e un continuo perfezionamento dei meccanismi di intrusione. Altrettanto innegabile è il fatto che, ad oggi, moderni tool e infrastrutture “Crime-as-a-Service” consentono ai cyber-criminali di agire rapidamente su scala globale, con il supporto derivante dalla diffusione di pericolosi exploit “di Stato” (EternalBlue e EternalRomance), facilmente integrabili nel codice dei malware. Un primo bilancio delle “vittime” sembra indicare con altrettanta chiarezza quanto gli attaccanti siano in vantaggio rispetto alle aziende attive nell’ambito della sicurezza IT che rispondono a tali minacce a suon di “signature” e “patching”. Strumenti che si sono rivelatisi, in entrambe le occasioni, assolutamente insufficienti, vuoi per incuria, vuoi perché la sicurezza – oggi più che mai – deve essere predittiva e non reattiva.

WannaCry si è dimostrato particolarmente efficace poiché in grado di propagarsi tramite internet, installandosi “lateralmente” su altri host presenti nella rete senza alcun intervento dell’utente, bensì a posteriori di una scansione approfondita sulla porta TCP/UDP 445. Una minaccia seria ai danni di chi non ha aggiornato i propri sistemi per i più vari motivi. Poco tempo dopo PetrWrap, Petya.B o NotPetya, che dir si voglia, si è avvalso della stessa vulnerabilità, cagionando danni ad enti governativi e a numerose aziende su scala globale, bloccando sistemi rilevanti per la produttività delle organizzazioni e chiedendo un riscatto, il cui pagamento in molti casi non è corrisposto alla decrittazione dei file.

Le finalità di questo genere di attacchi possono essere differenti, dall’estorsione di denaro, al sabotaggio su più livelli, fino al furto di dati o allo spionaggio industriale, in alcuni casi infatti i cryptoransomware copiano i file prima di cifrarli e chiedono un riscatto per non divulgarli. A fronte dello scarso riscontro economico ottenuto da entrambe le campagne rispetto all’attenzione mediatica riservata al fenomeno, del tipo di organizzazioni coinvolte e in assenza di codici che indichino una condivisione dei file con server esterni, si potrebbe supporre che queste due campagne siano attività di sabotaggio. Ci troviamo di fronte a minacce in rapida successione che colpiscono organizzazioni di pubblica utilità e di grandi dimensioni.  Le aziende private che ne subiscono le conseguenze sembrano essere danni collaterali, quasi un modo per sviare l’attenzione dal vero obiettivo e rientrare almeno parzialmente dei costi di produzione dell’attacco, sempre che le vittime paghino il riscatto.

Lezione 1: Occorre più tempo per la mitigazione delle minacce

Per quanto oggettivamente essenziale, il processo di patching dei sistemi operativi e delle applicazioni in uso risulta lacunoso. Tale attività, ove conducibile, va automatizzata e certificata. Nelle situazioni in cui non sia possibile aggiornare i sistemi (piccola nicchia con gravissime implicazioni, cfr. settore utility, industria/SCADA, healthcare, banking) per limiti hardware/software e di compliance, è fondamentale abilitare la segmentazione della rete e cambiare totalmente approccio alla sicurezza, dotandosi di strumenti per l’identificazione e la mitigazione di minacce note e non note che non necessitino di aggiornamenti, perché riconoscono comportamenti anomali e li bloccano sul nascere.

Sono numerosi i vendor di soluzioni antivirus che hanno riconosciuto che basare la sicurezza endpoint su signature non è più la risposta. Hanno quindi integrato o stanno per integrare meccanismi intelligenti capaci di individuare comportamenti sospetti delle applicazioni, al fine di bloccare attività anomale. Questo è un passo nella giusta direzione, tuttavia solo parzialmente, perché per quanto avanzate, queste soluzioni non rinunciano all’uso di firme, che richiedono frequenti aggiornamenti, in alcuni casi non conducibili. Ecco perché ha senso blindare i sistemi operativi con soluzioni che evitano l’esecuzione di qualsiasi malware, frapponendosi tra il kernel e il layer applicativo e bloccando chiamate a sistema ingiustificate grazie ad algoritmi avanzati di analisi comportamentale. Ne è un esempio Stormshield Endpoint Security, che non rimuove il malware (compito degli antivirus) ma ne blocca in tempo reale l’esecuzione, facendo guadagnare tempo utile agli amministratori per effettuare il patching e la messa in sicurezza dei sistemi.

Avere più “tempo” è un grande vantaggio che nessuno oggi può più sottovalutare. Un vantaggio riconosciuto sia da noti istituti bancari che con Stormshield Endpoint Security hanno potuto assicurarsi la compliance PCI DSS anche su macchine obsolete, sia da numerosi istituti ospedalieri e gruppi industriali dotati di sistemi SCADA.

Lezione 2: l’analisi comportamentale va estesa al perimetro

Il limite fondamentale delle soluzioni di Endpoint Security è che queste proteggono la singola macchina, non lavorano sul traffico di rete, e quindi entrano in azione solo in presenza di “infezione” sul singolo host. Avvalersi in tempo reale dell’analisi comportamentale dell’intero flusso di dati, dal singolo file alle attività delle applicazioni di rete, scevri dell’approccio passivo signature-based dei firewall tradizionali, assicura protezione proattiva dell’intera infrastruttura contro infezioni “laterali” come quelle favorite dall’uso dell’exploit EternalBlue garantendo che il malware non “esca” dalla rete per propagarsi altrove. Una tecnologia tutta europea dotata delle più alte certificazioni di sicurezza europea e della qualifica ANSII per ambienti industriali energetici, su cui Stormshield basa l’intera offerta di firewall IPS sin dal lontano 1998 e che oggi protegge aziende e governi in tutto il mondo.

Proteggere il singolo terminale non basta, occorre estendere l’analisi comportamentale al perimetro, seppur allargato, per assicurarsi quel vantaggio temporale e quella tutela proattiva dei sistemi che nel caso di WannaCry e Petya.B avrebbero fatto la differenza per molti.

Continua a leggere

Con StormShield NETASQ sigla il suo ingresso nella endpoint security sui mercati internazionali


NETASQ LOGOIn Italia il noto produttore francese di soluzioni IPS ha presentato il proprio sistema per l’hardenizzazione dei sistemi operativi di client e server in anteprima alla CyberCrime Conference di Roma.

Parigi – Già adottato in Francia da grandi corporations, Stormshield, la soluzione per la protezione delle workstation firmata Arkoon-Netasq, sbarca sui mercati internazionali, forte dell’apprezzamento riscontrato negli Stati Uniti, dove è già impiegato presso numerosi clienti operanti in contesti particolarmente critici. E’ proprio l’innovazione che caratterizza StormShield, che ha consentito alla soluzione di affermarsi contro giganti del settore in un mercato estremamente competitivo quale quello statunitense. Anche in Medio Oriente e nell’Europa occidentale (specie in Germania ed in Inghilterra) l’azienda nota un crescente interesse per la tecnologia StormShield, che completa ed estende l’efficacia funzionale delle soluzioni antivirus convenzionali attraverso un approccio innovativo. A fronte dei  riscontri positivi, il produttore si pone ora l’obiettivo ambizioso di avviare la commercializzazione della soluzione anche in altre aree geografiche, con l’intento di fornire alle aziende un supporto concreto nell’affrontare le sfide che emergono dalla crescente consapevolezza che è necessario garantire una protezione di livello superiore ai propri dati critici.

image

Le funzionalità di StormShield

Con StormShield, Arkoon+Netasq offre una protezione completa ed efficace per PC e server e gestisce centralmente tutti i rischi associati alla postazione di lavoro, anche “mobile”: che si tratti di vulnerabilità, attacchi noti e non noti (day-0), intrusioni, uso inappropriato delle applicazioni personali, connettività non autorizzate e la perdita o il furto di dati critici. StormShield si differenzia da altre soluzioni grazie ad un sistema integrato di prevenzione contro le intrusioni “host-based” (HIPS), che blocca proattivamente gli attacchi mirati più sofisticati. Impiegato nei contesti più sensibili, StormShield garantisce un livello di sicurezza senza pari, pur risultando totalmente trasparente per gli utenti.

L’obiettivo di proporre StormShield a livello globale è una buona notizia per aziende con una significativa presenza internazionale che necessitano di avvalersi di soluzioni di sicurezza affidabili, avanzate e in grado di fare la differenza. L’esperienza di Arkoon+Netasq sui mercati internazionali è peraltro testimoniata dalla presenza di filiali in Europa e in Medio Oriente e dal fatto che le soluzioni NETASQ per la protezione perimetrale siano attualmente in uso in oltre 40 Paesi.

In Italia NETASQ ha presentato la soluzione in anteprima in occasione della CyberCrime Conference di Roma, tenutasi il 15 e 16 aprile 2014 presso la Città Militare La Cecchignola. Continua a leggere