Stormshield e Oodrive siglano partnership per rendere più sicura la condivisione di dati sul cloud


Stormshield – fornitore europeo leader di servizi per la tutela dei dati – e Oodrive – fornitore europeo leader di soluzioni per la gestione di dati sensibili – uniscono le proprie competenze palesando il proprio impegno verso la sicurezza del cloud.

Oggi il cloud è un requisito essenziale della trasformazione digitale delle aziende. Il 90 % delle organizzazioni se ne avvale per accedere remotamente ad applicazioni e a dati aziendali, oltre che per migliorare il modo in cui collabora con il proprio ecosistema. Tuttavia (secondo uno studio NetWrix) il 65% delle imprese non ha ancora compreso come proteggere adeguatamente i propri dati nel cloud. Stormshield e Oodrive hanno quindi siglato una partnership con l’intento di fornire alle aziende la possibilità di migrare al cloud con serenità e di poter collaborare con fiducia.

Una partnership tecnologica per la sicurezza dello scambio digitale di informazioni

In concreto, la missione principale di Oodrive è erogare servizi di gestione dei dati sensibili, attraverso una infrastruttura dislocata in Francia, Europa, Brasile e Cina, la cui sicurezza è regolarmente sottoposta a revisione e certificata. Uno dei progetti in cui il gruppo è coinvolto – fianco a fianco di ANSSI (l’agenzia di Stato francese per la cybersecurity) – è un’iniziativa pilota ( “SecNumCloud”) volta a creare paradigmi di riferimento nella formulazione di requisiti quadro per la sicurezza nel cloud. Con la propria soluzione Stormshield Data Security for Cloud & Mobility, Stormshield assicura invece una cifratura punto-punto dei dati nel cloud.

L’integrazione tra la soluzione Stormshield Data Security for Cloud & Mobility e PostFiles, lo strumento di condivisione online firmato Oodrive, dà luogo ad una soluzione per la collaborazione sicura di nuova generazione. Le organizzazioni che se ne avvarranno, saranno in grado di collaborare in modo più efficiente. Adottando tale servizio non dovranno più scendere a compromessi in termini di tutela dei dati e della riservatezza dei propri asset informatici. La soluzione assicura altresì la conformità alle normative francesi ed europee, nello specifico i clienti beneficiano della piena aderenza al nuovo GDPR.

“Questa alleanza tra Stormshield e Oodrive ci consente di favorire la graduale migrazione dei nostri clienti verso il cloud, fornendo loro la certezza che possono fare affidamento su un’infrastruttura e su servizi altamente sicuri: le aziende particolarmente sensibili o i cui servizi sono considerati di vitale importanza, possono avviare la propria trasformazione digitale nelle migliori condizioni possibili”, confermano Matthieu Bonenfant, CMO di Stormshield e Stanislas de Rémur, CEO di Oodrive.

Questa partnership industriale ha già assicurato a Oodrive and Stormshield l’acquisizione di primi contratti con organizzazioni attive nel settore della difesa.

Continua a leggere

Sicurezza in Rete: non abbassare il livello di guardia è essenziale


Gli innumerevoli cyberattacchi degli ultimi temi ci hanno mostrato che un semplice incidente può avere conseguenze catastrofiche – dall’interruzione della produzione alla chiusura di interi siti produttivi, dalla perdita di dati aziendali critici fino a danni per l’immagine e la reputazione. Siamo quotidianamente confrontati con attacchi sempre più sofisticati, che mettono in risalto la difficoltà di aziende private ed enti della pubblica amministrazione di rispondere efficacemente a minacce di nuova generazione.

Occorre un cambiamento di rotta

E’ assolutamente illusiorio pensare che i cyberattacchi possano essere fermati definitivamente su due piedi. Le aziende sono chiamate a riscattarsi dall’attuale ruolo di spettatore passivo e a prendere provvedimenti. Misure di cybersecurity che per molte aziende rappresentano uno sforzo (technologico, umano, organizzativo) e di conseguenza vengono messe in panchina. Ne consegue che oltre metà delle aziende spende ancora oggi meno del 3% del proprio budget IT in sicurezza (fonte Clusif 2016).

Pierre Calais, Direttore Generale di Stormshield

Ovviamente proteggere l’azienda con soluzioni adeguate ha un costo, ma tale investimento è necessario tanto quanto siglare una polizza assicurativa: la sicurezza IT va inquadrata come colonna portante di una strategia di governance aziendale contemplando tutti gli aspetti di natura tecnologica e organizzativa.

Per evitare che le normative impongano alle aziende regole sempre più stringenti in tema di cybersicurezza, esse devono affrontare le proprie responsabilità: le decisioni in merito agli investimenti in cybersecurity non dovrebbero riguardare esclusivamente lo staff IT bensì anche il management.

Tentativi di grande effetto

Uno dei maggiori cambiamenti che abbiamo riscontrato negli attacchi è la volontà degli hacker di renderli visibili. Siamo decisamente lontani da quelle APT (Advance Persistent Threat) il cui scopo consiste nell’operare nell’ombra il più a lungo possibile. I recenti attacchi di massa hanno lo scopo di guadagnarsi la massima visibilità, esponendo su larga scala le vulnerabilità che affliggono numerosissime aziende. Tuttavia questi attacchi potrebbero essere dei meri tentativi di sondare la qualità delle difese di un’azienda. Non illudiamoci: questo è solo l’inizio, virulenza e pericolosità aumenteranno.

Rispolveriamo il senso civico per il bene della collettività

La cybersicurezza è un tema che riguarda la collettività. La proliferazione degli attacchi negli scorsi mesi dovrebbe mettere in allarme le aziende puntando i riflettori su un trend che si ripercuote pesantemetne sulla produttività aziendale.

E‘ altrettanto importante, trascendere dalla mera protezione dei dati, le organizzazioni devono assumersi il proprio ruolo rispetto a impiegati, partner e clienti. E poiché il confine tra privato e professionale svanisce progressivamente, le aziende dovrebbero farsi carico della tutela delle attività e/o identità digitali di collaboratori e clienti.

Se la collettività prendesse a cuore tali indicazioni e reagisse, potremmo forse evitare il peggo e dar vita ad un ambiente digitale sicuro per il bene di tutti.

Continua a leggere

Può essere che gli hacker vadano in ferie a luglio?


Dopo aver rilevato forti ondate di cybercriminalità a giugno abbiamo riscontrato una certa quiete fino alla fine di luglio – forse gli hacker vanno in ferie a luglio? Con lo strumento Breach Fighter, il team di Security Intelligence di Stormshield rileva e analizza i malware esaminando milioni di spam e attacchi mirati. Dagli stabilimenti balneari al ritorno di Locky – da un tipo di onda all’altra.

In vacanza a luglio e rientro in agosto?

Breach Fighter è uno strumento integrato in centinaia di migliaia di firewall di Stormshield Network Security distribuiti in tutto il mondo allo scopo di raccogliere quanti più campioni o modelli di attacco possibili. Utilizzando questo strumento, il team di Security Intelligence di Stormshield è riuscito a identificare una concreta variazione nel volume di attacchi cybernetici. Dopo i picchi verificatisi quasi quotidianamente nel mese di giugno, i volumi sono diminuiti drasticamente nel corso di luglio, con una modesta ripresa negli ultimi giorni del mese.

 

clicca qui per ingrandire

 

Non foss’altro che per il curioso periodo di calma, questa considerevole diminuzione di attacchi potrebbe suggerire che gli hacker e i loro committenti vadano in vacanza. Forse hanno dovuto scegliere tra investire fondi nelle vacanze o in nuovi attacchi malware? E hanno ripreso le proprie attività tra la fine di luglio e l’inizio di agosto per l’irrefrenabile desiderio di scoprire se e quando tra Daenerys e Jon Snow in Game of Thrones sboccerà qualcosa di più che una semplice amicizia? Oppure non volevano perdere l’occasione di influenzare gli acquisti del FC Barcelona dopo la partenza di Neymar? Fortunatamente anche attività apparentemente aride come l’analisi acribica delle minacce danno adito a ipotesi che strappano un sorriso.

Stormshield Security intelligence: prevenzione e reazione

La squadra di Security Intelligence di Stormshield ha due missioni principali: studiare e capire le minacce al fine di migliorare i prodotti Stormshield da un lato e di fornire il proprio contributo alla cybersecurity condividendo le proprie analisi e collaborando strettamente con organizzazioni professionali (CERT, istituti di ricerca, specialisti della sicurezza e altri).

Una chiara identificazione delle minacce è infatti il primo passo per affrontarle in maniera risolutiva. Come azienda votata all’innovazione, Stormshield valuta modi per combattere le minacce in modo proattivo, attraverso prodotti come Stormshield Endpoint Security, la cui capacità di bloccare minacce day zero sul nascere, senza richiedere alcun aggiornamento, è il carattere distintivo di una soluzione frutto del lavoro incessante del team di Security Intelligence.

Tramite Breach Fighter, integrato nei firewall perimetrali di Stormshield, i clienti Stormshield caricano su una sand-box nel cloud un gran numero di file da suddividere tra applicazioni legittime (goodware) e fraudolente (malware). Questo sistema di intelligence contro le minacce si avvale di strumenti proprietari, tra cui un honeypot (dati che fungono da “esca” per eventuali attacchi), un laboratorio d’analisi del malware, un linguaggio di classificazione personalizzato e algoritmi di apprendimento automatico.

Insieme a informazioni provenienti da fonti esterne, i prodotti Stormshield producono enormi quantità di informazioni e file, costantemente eviscerati dal team di Security Intelligence con l’obiettivo di disporre di un bacino di dati quanto più ampio possibile e di assicurare il miglior tasso di identificazione dei malware sul mercato.

Continua a leggere

Tempo fattore non più sottovalutabile: questa la lezione impartita da WannaCry e Petya.B


WannaCry e Petya.B sono solamente due più recenti (e famosi) attacchi su larga scala che hanno evidenziato lacune nella gestione dei sistemi informativi e dei fattori di rischio da cui trarre preziosi insegnamenti.

Parigi – Osservando l’andamento delle attività dei cybercriminali alla luce delle due più recenti ondate di infezione ransomware su larga scala è impossibile negare un incremento nella sofisticazione del malware e un continuo perfezionamento dei meccanismi di intrusione. Altrettanto innegabile è il fatto che, ad oggi, moderni tool e infrastrutture “Crime-as-a-Service” consentono ai cyber-criminali di agire rapidamente su scala globale, con il supporto derivante dalla diffusione di pericolosi exploit “di Stato” (EternalBlue e EternalRomance), facilmente integrabili nel codice dei malware. Un primo bilancio delle “vittime” sembra indicare con altrettanta chiarezza quanto gli attaccanti siano in vantaggio rispetto alle aziende attive nell’ambito della sicurezza IT che rispondono a tali minacce a suon di “signature” e “patching”. Strumenti che si sono rivelatisi, in entrambe le occasioni, assolutamente insufficienti, vuoi per incuria, vuoi perché la sicurezza – oggi più che mai – deve essere predittiva e non reattiva.

WannaCry si è dimostrato particolarmente efficace poiché in grado di propagarsi tramite internet, installandosi “lateralmente” su altri host presenti nella rete senza alcun intervento dell’utente, bensì a posteriori di una scansione approfondita sulla porta TCP/UDP 445. Una minaccia seria ai danni di chi non ha aggiornato i propri sistemi per i più vari motivi. Poco tempo dopo PetrWrap, Petya.B o NotPetya, che dir si voglia, si è avvalso della stessa vulnerabilità, cagionando danni ad enti governativi e a numerose aziende su scala globale, bloccando sistemi rilevanti per la produttività delle organizzazioni e chiedendo un riscatto, il cui pagamento in molti casi non è corrisposto alla decrittazione dei file.

Le finalità di questo genere di attacchi possono essere differenti, dall’estorsione di denaro, al sabotaggio su più livelli, fino al furto di dati o allo spionaggio industriale, in alcuni casi infatti i cryptoransomware copiano i file prima di cifrarli e chiedono un riscatto per non divulgarli. A fronte dello scarso riscontro economico ottenuto da entrambe le campagne rispetto all’attenzione mediatica riservata al fenomeno, del tipo di organizzazioni coinvolte e in assenza di codici che indichino una condivisione dei file con server esterni, si potrebbe supporre che queste due campagne siano attività di sabotaggio. Ci troviamo di fronte a minacce in rapida successione che colpiscono organizzazioni di pubblica utilità e di grandi dimensioni.  Le aziende private che ne subiscono le conseguenze sembrano essere danni collaterali, quasi un modo per sviare l’attenzione dal vero obiettivo e rientrare almeno parzialmente dei costi di produzione dell’attacco, sempre che le vittime paghino il riscatto.

Lezione 1: Occorre più tempo per la mitigazione delle minacce

Per quanto oggettivamente essenziale, il processo di patching dei sistemi operativi e delle applicazioni in uso risulta lacunoso. Tale attività, ove conducibile, va automatizzata e certificata. Nelle situazioni in cui non sia possibile aggiornare i sistemi (piccola nicchia con gravissime implicazioni, cfr. settore utility, industria/SCADA, healthcare, banking) per limiti hardware/software e di compliance, è fondamentale abilitare la segmentazione della rete e cambiare totalmente approccio alla sicurezza, dotandosi di strumenti per l’identificazione e la mitigazione di minacce note e non note che non necessitino di aggiornamenti, perché riconoscono comportamenti anomali e li bloccano sul nascere.

Sono numerosi i vendor di soluzioni antivirus che hanno riconosciuto che basare la sicurezza endpoint su signature non è più la risposta. Hanno quindi integrato o stanno per integrare meccanismi intelligenti capaci di individuare comportamenti sospetti delle applicazioni, al fine di bloccare attività anomale. Questo è un passo nella giusta direzione, tuttavia solo parzialmente, perché per quanto avanzate, queste soluzioni non rinunciano all’uso di firme, che richiedono frequenti aggiornamenti, in alcuni casi non conducibili. Ecco perché ha senso blindare i sistemi operativi con soluzioni che evitano l’esecuzione di qualsiasi malware, frapponendosi tra il kernel e il layer applicativo e bloccando chiamate a sistema ingiustificate grazie ad algoritmi avanzati di analisi comportamentale. Ne è un esempio Stormshield Endpoint Security, che non rimuove il malware (compito degli antivirus) ma ne blocca in tempo reale l’esecuzione, facendo guadagnare tempo utile agli amministratori per effettuare il patching e la messa in sicurezza dei sistemi.

Avere più “tempo” è un grande vantaggio che nessuno oggi può più sottovalutare. Un vantaggio riconosciuto sia da noti istituti bancari che con Stormshield Endpoint Security hanno potuto assicurarsi la compliance PCI DSS anche su macchine obsolete, sia da numerosi istituti ospedalieri e gruppi industriali dotati di sistemi SCADA.

Lezione 2: l’analisi comportamentale va estesa al perimetro

Il limite fondamentale delle soluzioni di Endpoint Security è che queste proteggono la singola macchina, non lavorano sul traffico di rete, e quindi entrano in azione solo in presenza di “infezione” sul singolo host. Avvalersi in tempo reale dell’analisi comportamentale dell’intero flusso di dati, dal singolo file alle attività delle applicazioni di rete, scevri dell’approccio passivo signature-based dei firewall tradizionali, assicura protezione proattiva dell’intera infrastruttura contro infezioni “laterali” come quelle favorite dall’uso dell’exploit EternalBlue garantendo che il malware non “esca” dalla rete per propagarsi altrove. Una tecnologia tutta europea dotata delle più alte certificazioni di sicurezza europea e della qualifica ANSII per ambienti industriali energetici, su cui Stormshield basa l’intera offerta di firewall IPS sin dal lontano 1998 e che oggi protegge aziende e governi in tutto il mondo.

Proteggere il singolo terminale non basta, occorre estendere l’analisi comportamentale al perimetro, seppur allargato, per assicurarsi quel vantaggio temporale e quella tutela proattiva dei sistemi che nel caso di WannaCry e Petya.B avrebbero fatto la differenza per molti.

Continua a leggere

Panda Security e Stormshield siglano un’alleanza tecnologia europea contro le minacce informatiche


  • Due aziende leader nel settore della sicurezza informatica sottoscrivono un’alleanza tecnologica europea che assicurerà ai rispettivi clienti una protezione completa e globale contro il cybercrime.
  • L’accordo offre agli utenti il meglio delle soluzioni Stormshield e Panda Security per proteggere workstation e infrastrutture IT.
  • Fornisce tutti gli strumenti di gestione della sicurezza necessari per proteggere le aziende contro la violazione dei dati che cagionano in media danni per 3,7 milioni di euro.

Secondo un recente studio (1), le violazioni dei dati sono aumentate del 29% dal 2013 e in media cagionano danni per 3,7 milioni di euro alle imprese.

Panda Security, multinazionale spagnola leader in soluzioni di sicurezza endpoint, e Stormshield, azienda francese leader nella protezione delle reti aziendali, annunciano di aver siglato un’alleanza strategica europea che unisce le rispettive competenze a garanzia di una protezione ancora più efficiente delle infrastrutture e degli ambienti IT delle aziende, al fine di fornire loro un aiuto concreto nel percorso verso la trasformazione digitale. Attraverso questa alleanza strategica, i clienti avranno accesso a soluzioni uniche, progettate per rilevare e contrastare le minacce note e non note ai danni di reti, workstation e server. L’offerta congiunta darà ai clienti una visibilità completa e unificata delle minacce.

Una soluzione di sicurezza innovativa

Oltre a fornire ai clienti una soluzione unificata ed europea al 100%, che integra il meglio delle tecnologie per la sicurezza di perimetro e endpoint, questa collaborazione permetterà ai due partner di condividere esperienze e competenze in merito alle differenti minacce, al fine di aumentare significativamente il livello di protezione dei propri clienti. Nello specifico Stormshield condividerà la propria esperienza nella tutela di reti industriali e tecnologie operative. Più in generale, Panda Security e Stormshield collaboreranno a stretto contatto per fornire una protezione efficace contro minacce note e sconosciute. Questa collaborazione unica in Europa è indice del ruolo centrale che le due società informatiche europee intendono svolgere nel mercato della cybersecurity e in particolare nel campo della protezione dell’infrastruttura digitale.

Juan Santamaria, Direttore Generale di Panda Security commenta: “I firewall di nuova generazione e le funzionalità UTM perno delle soluzioni Stormshield Network Security proteggono efficacemente le reti dei nostri clienti, assicurando loro il miglior rapporto prezzo / prestazioni sul mercato. Queste soluzioni offrono una risposta completa e quanto mai necessaria all’esigenza di tutelare infrastrutture tradizionali, industriali e cloud “. Matthieu Bonenfant, Direttore Marketing di Stormshield, dichiara: “Panda Security gode di un posizionamento unico sul mercato della protezione delle workstation e delle soluzioni avanzate per la sicurezza informatica. Con Adaptive Defense, tutti i nostri clienti, indipendentemente dalla loro dimensione, beneficeranno di una sicurezza next-gen, facile da implementare e gestire. Questa soluzione si combina perfettamente con l’offerta Stormshield Endpoint Security dedicata principalmente a ambienti operativi sensibili e industriali. Siamo lieti di questa nuova alleanza e di come essa sottolinei il nostro impegno nel proporre una soluzione europea su larga scala per la sicurezza end-to-end delle infrastrutture dei nostri clienti”.

(1) 2016 Ponemon Institute Cost of a Data Breach Study

Continua a leggere

Stormshield e Schneider Electric: Storia di una partnership industriale e commerciale di successo


Nel 2015 Stormshield, uno dei leader europei nel mercato della sicurezza informatica, e Schneider Electric, specialista globale nella gestione dell’energia e nell’automazione, decisero di condividere le proprie competenze con l’intento di sensibilizzare e incrementare la consapevolezza su questioni di cybersecurity tra le realtà industriali, fornendo loro un aiuto concreto ai fini dell’adozione di misure adeguate alla salvaguardia dei propri sistemi IT e OT. Stormshied e Schneider Electric assicurano oggi controllo e gestione del flusso di dati di tre dei maggiori gruppi industriali.

Parigi, 20 giugno 2017 – L’interazione tra tecnologie dell’informazione (IT) tecnologie operative (OT) rappresenta una fonte di nuove opportunità e nuove sfide per il settore industriale. Con catene di approvvigionamento sempre più automatizzate e robotizzate, le fabbriche sono sempre più interconnesse. Questa imprescindibile apertura a flussi di dati esterni comporta inevitabilmente nuovi rischi.

Da oltre due anni, Stormshield e Schneider Electric sono impegnate in uno sforzo congiunto per rispondere a tali minacce alla sicurezza industriale. La complementarità delle rispettive aree di competenza – quella di Stormshield nella protezione di reti, server e workstation, e quella di Schneider Electric in ambito OT – ha permesso loro di sviluppare un prodotto adatto a qualsivoglia infrastruttura industriale.

 “Schneider Electric ci ha aiutato ad acquisire conoscenze e competenze in ambito industriale. Dal connubio della rispettiva esperienza è nato un prodotto di cybersecurity unico nel settore industriale. Una soluzione che offre alle realtà industriali protezione completa e proattiva per un accesso sereno all’era dell’industria 4.0”, spiega Pierre Calais, Direttore Generale di Stormshield.

Frutto della partnership con Schneider Electric, lo Stormshield Sni40 è un firewall industriale “hardenizzato”, adattato in tutti gli aspetti alle esigenze di sicurezza dei sistemi IT e OT.

Schneider Electric ha permesso a Stormshield di meglio comprendere i protocolli industriali, il settore e i suoi limiti, e di valutare le prestazioni generali del dispositivo calato in ambito industriale.  Dal canto suo Stormshield ha assicurato a Schneider Electric una maggior comprensione delle problematiche inerenti la sicurezza di reti e workstation.

Rinomata in ambito industriale, Schneider Electric ha anche avuto modo di presentare le soluzioni Stormshield alla propria clientela. Grazie a questa iniziativa, le soluzioni Stormshield sono attualmente impiegate presso tre grandi aziende che operano nel settore della trasformazione alimentare (caseifici), dei trasporti (aereoporti) e della generazione di energia elettrica.

La collaborazione con Stormshield è stata una tappa importante nel nostro percorso di sviluppo sul mercato della cybersecurity. Grazie a questa partnership siamo diventati una società di integrazione leader che opera in conformità con gli standard ANSSI per la messa in sicurezza degli impianti industriali. La nostra partnership incarna il principio del trasferimento di competenze e questi primi successi commerciali rafforzano la nostra fiducia nel potenziale di un settore industriale in costante maturazione”, afferma Yann Bourjault, Direttore della Cybersecurity di Schneider Electric France.

Continua a leggere

WannaCry ovvero “ritorno al futuro”


Il nostro universo interconnesso sta vivendo una crisi importante dovuta all’ormai sensazionalistico ransomware WannaCry, aka WannaCrypt, WanaCrypt0r o WCry, diffusosi a macchia d’olio in pochissimo tempo con modalità che richiamano alla memoria un passato non proprio recente. Matthieu Bonenfant, Chief Marketing Officer, Stormshield, condivide le sue riflessioni.

Assediate da tempo dalla minaccia del ransomware, molte organizzazioni sono riuscite a volare sotto i radar dei cybercriminali mentre altre hanno adottato misure preventive incrementando la consapevolezza degli utenti e impiegando tecnologie di nuova generazione per la propria sicurezza. Tuttavia WannaCry è parso a tutti dotato di una “nuova arma” che ne incrementa a dismisura la potenziale diffusione e il danno cagionato.  Una volta infettato un singolo sitema tramite – per esempio – l’apertura di un allegato, questo malware di nuova generazione è in grado di diffondersi automaticamente in modo del tutto trasparente senza intervento umano, replicandosi quasi istantaneamente su tutte le macchine insufficientemente protette nella rete aziendale. Ma è davvero così?

Quindi qual è la novità? In realtà nessuna, sfortunatamente.

La situazione attuale dà adito a parallelismi con un’esperienza altrettanto caotica del passato. Circa 10 anni fa il worm Conficker obbligò numerose aziende e organizzazioni a disattivare le proprie reti informatiche, chiudere temporaneamente punti di vendita, interrompere catene logistiche, persino l’areonautica militare subì blocchi operativi. Questo worm, che continuava ad assumere nuove forme, si è diffuso in un lampo e ha infettato milioni di sistemi in tutto il mondo. A quei tempi liberarsi dal worm richiese sforzi enormi in termini monetari, di energie, risorse e tempo. Alla fine di questa battaglia, le aziende colpite erano così traumatizzate da essere determinate a non rivivere mai più un’esperienza del genere. “Mai più” è diventato il mantra di un congruo numero di responsabili IT che avevano finalmente fatto esperienza dell’impatto dei rischi informatici sulle proprie attività aziendali.

Ed eccoci qui, dieci anni dopo.  Potremmo dire che è cambiato ben poco da allora, dato che la stessa ricetta ha dimostrato la stessa efficacia dieci anni dopo. Conficker e WannaCry usano lo stesso metodo di propagazione: sfruttano da remoto una vulnerabilità critica di Microsoft attraverso i servizi SMB e NetBIOS. In entrambi i casi, la patch era disponibile mesi prima che il malware fosse lanciato. Dieci anni dopo la stessa tecnica continua a creare subbuglio nelle aziende. Purtroppo non risulta esistere un grafico simile a quello del maggio 2017 prodotto dal SANS Internet Storm Center sull’uso via internet della porta SMB (TCP/445), ma anche allora gli strumenti per il monitoraggio del traffico mostravano un picco simile durante la fase di propagazione di Conficker.

Il picco di utilizzo della porta SMB (TCP/445) durante la propagazione del malware WannaCrypt (maggio 2017).

Gli strumenti che avrebbero cambiato completamente il corso della storia

La cosa più spiacevole nel caso di WannaCry è che la situazione avrebbe potuto essere facilmente evitata o quanto meno ampiamente mitigata: due mesi fa Microsoft ha rilasciato una patch di sicurezza per la vulnerabilità del servizio SMB sfruttata per la diffusione del malware. Molti esperti avevano emesso avvisi riguardo alla criticità di tale falla, riferendosi esplicitamente a Conficker.

Un mese dopo, il gruppo di hacker noti come Shadow Brokers ha persino diffuso il codice rubato alla NSA che sfruttava questa vulnerabilità. Un’informazione passata in sordina e nota ai più solo ora che l’attacco è in corso è oggetto dell’interesse dei media.

Le aziende e le organizzazioni hanno avuto un ampio lasso di tempo per applicare la patch o la soluzione che avrebbe relegato WannaCry al rango di “semplice” ransomware, come tutti quelli con cui noi, quale produttore di soluzioni per la sicurezza IT, ci confrontiamo quotidianamente.

Oltre ad applicare tempestivamente le patch di sicurezza, tecnologie come quelle presenti in Stormshield Endpoint Security basate sull’analisi comportamentale e non sulle mere signature, assicurano una risposta reale a minacce simili a WannaCry, bloccando lo sfruttamento di vulnerabilità anche qualora non siano note o prevenendo azioni malevole, come la cifratura illegittima dei file. Una soluzione che protegge egregiamente anche sistemi basati su Windows XP o Windows 2000, spesso ancora impiegati in infrastrutture critiche, che necessitano di speciali attenzioni.

Conclusioni

Come Conficker, anche WannaCry ha dimostrato che una maggiore consapevolezza dei rischi informatici, adatte misure per la mitigazione di tali rischi e un’applicazione tempestiva delle patch di sicurezza prodotte dai vendor sono sicuramente lo strumento migliore per evitare di incappare ciclicamente negli stessi problemi. Non resta che da chiedersi se “repetita juvant”.