Oltre firewall e antivirus: tattiche e strategie

Sicurezza
0 0 Non ci sono commenti

Contro attacchi complessi che mirano al profitto

Il paesaggio delle minacce It sta cambiando rapidamente, soprattutto per l’ambiente Windows, e il mondo dell’information technology sta diventando più pericoloso ogni giorno che passa. I segnali premonitori sono chiari. Non molto tempo fa esistevano tre grandi famiglie di malicious code: virus, worm e Trojan. Ora il panorama di quello che in Symantec chiamano crimeware copre attacchi sempre più pericolosi e sofisticati da parte di spyware, adware, rootkit, botnet, key logger, phishing. Molte di queste nuove modalità di attacco erano sconosciute solo pochi anni fa ed ora occupano molto spazio tra le cronache del mondo della sicurezza.

Sullo spyware esiste un recente rapporto di Ponemon Institute che ha intervistato manager It del nord America. I dati dell’indagine indicano che solo il 19% degli intervistati dichiara una protezione efficace contro lo spyware, mentre la percentuale sale al 40% per chi dichiara di essere in grado di potersi difendere , ma non sempre. I programmi di spyware, nati per insediarsi all’interno dei computer per tener traccia delle abitudini degli utenti su Internet, hanno poi cambiato scopo e puntano a informazioni personali degli utenti per realizzare frodi basate sulla loro identità personale. Poco più dell’80% dichiara di avere instaurato iniziative anti-spyware. Esse comprendono anche formazione del personale e software antivirus. Solo il 24% degli intervistati utilizza applicazioni specifiche.
I fornitori di software di protezione hanno rapidamente aggiunto capacità antispyware alla loro offerta antivirus. Il client sembra essere protetto dagli attacchi, ma gli utenti non sono altrettanto propensi a dotarsi di protezione antispyware a livello di rete.
Secondo i più recenti report di Symantec tra i 50 top malicious code, il 22% sono bot. Bot e backdoor (Trojan) sono diventati un minaccia tangibile e significativa per la piattaforma operativa Windows.

Nel frattempo gli It manager sono bombardati da ogni parte da informazioni e promesse di sicurezza. In pratica ogni vendor non offre soluzioni hardware e software senza introdurre una componente riguardante la sicurezza. Due tendenze però , dicono gli esperti, guideranno le scelte e le decisioni degli It manager.
La prima è il proliferare dei meccanismi e dei vettori di attacco. Un esempio è rappresentato dall’utilizzo dei punti deboli di una applicazione per introdurre crimeware nei sistemi. Di più, diversi tipi di attacco si combinano insieme per creare minacce più difficili da riconoscere e da respingere.
Ancora in Symantec spiegano che le applicazioni sul client che richiedono un certo grado di interazione da parte dell’utente, oltre ai client di email e i browser web sono al centro delle attenzioni dei malintenzionati.
Il secondo trend è il cambiamento ormai definitivo delle motivazioni degli attacchi: non più vandalismo e desiderio di notorietà, ma il profitto. Dal punto visto della sicurezza It questo va a influire sulla tattiche e le strategie di attacco. Un criminale narcisista cerca di compromettere più sistemi possibile con una metodologia che ne annunci la presenza a tutti, un criminale alla ricerca del profitto seleziona in modo silenzioso e coperto pochi utenti o sistemi. La velocità di diffusione di questi attacchi è più lenta per evitare di essere scoperti e aumentare le probabilità di compromettere con successo il sistema prima che vengano messe in atto misure di sicurezza.
Quali sono le misure che in It manager deve mettere in atto per adattarsi a questo nuovo spettro di minacce?
Prima di tutto rispondendo ad attacchi combinati con una difesa altrettanto combinata e integrata. Il primo pensiero va a un a combinazione di antivirus, scansione della email e client di firewall che insieme integrano una sfida più ardua per l’attaccante, rispetto a tre soluzioni separate.
In secondo luogo tenere sotto stretto controllo l’aggiornamento dei sistemi e delle soluzioni di sicurezza. Un controllo del sistema deve prevedere non solo scansioni frequenti, e ricerca di signature, ma anche comportamenti strani del sistema o schemi di traffico irragionevoli sulla rete.
Infine assicurarsi che anche se il sistema è compromesso è possibile accedere ancora ai dati necessari per il funzionamento dell’azienda. Questa fase della protezione ha il vantaggio aggiuntivo di fornire una preparazione per ogni tipo di incidente (disaster recovery).
La posta in gioco diventa più alta e chi gioca in difesa deve aggiustare tattica e strategia.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore