Una caratteristica tipica delle pandemie è rappresentata dalla loro rapida diffusione in tutte le parti del mondo… Tutti ne siamo coinvolti e insieme ne usciremo”. Così parlava nel 2009 Margaret Chan, Direttore Generale dell’Organizzazione Mondiale della Sanità (WHO), in riferimento alla diffusione della cosiddetta “influenza suina” H1N1. La dottoressa avrebbe potuto tranquillamente usare lo stesso tenore se avesse parlato di un’epidemia di malware.
=> Leggi come combattere attacchi malware
Secondo un’indagine del Ponemon Institute del Maggio 2012, il 35% delle aziende britanniche ha subito attacchi malware via web, mentre il 29% è stato vittima di APT (Advanced Persistent Threat) negli ultimi due anni. Ma meno della metà dispone della protezione necessaria per combattere contro advanced threat, quali ad esempio le botnet. Tuttavia queste minacce stanno veramente operando su scala mondiale. É stato calcolato che fino a uno quarto di tutti i computer connessi a internet fa parte di una botnet. Nel 2011, la Botnet TDL ha infettato a quanto si dice 4,5 milioni di PC e circa 100.000 indirizzi unici al giorno.
=> Leggi cosa sono le botnet e come difendersi
Una delle ragioni principali che si celano dietro alla rapida diffusione delle bot e di altre advanced threat è data dal fatto che i cyber criminali le usano spesso per colpire diverse aziende e aumentare così le probabilità di successo dei loro attacchi. Come i virus presenti in natura, anche il malware sta diventando sempre più complesso e sofisticato. Le botnet hanno molteplici forme che simulano applicazioni e percorsi di traffico normale, rendendo gravoso per le tradizionali soluzioni basate su firma il compito di combatterle.
Inoltre, le bot sono progettate per agire in modo furtivo, motivo per cui molte aziende non si rendono conto del fatto che le proprie reti siano state infettate, e spesso i team di sicurezza non hanno la giusta visibilità sulle violazioni poste in essere dalle botnet. Ecco spiegata la rapida crescita di nuove minacce e di infezioni globali che causano continui danni e perdite.
È una lotta solitaria
Esiste un altro fattore fondamentale che contribuisce a questa rapida diffusione. Nonostante siano migliaia le aziende prese di mira dalle bot, ogni organizzazione tende tipicamente a combattere la minaccia individualmente, e soprattutto ad infezione avvenuta. In molti casi le difese anti-malware delle aziende potrebbero non disporre dell’aggiornamento che consenta loro di rilevare l’infezione, o i livelli di difesa in grado di bloccarne l’azione. Ciò equivale a provare a combattere una malattia solo offrendo il trattamento a chi l’ha già contratta in seguito all’infezione. Non sarebbe un approccio migliore quello di vaccinarci contro l’infezione – per contenere e bloccare la sua capacità di contagiare gli altri?
Dopo tutto, è stato grazie a una collaborazione su scala globale che l’organizzazione sanitaria è riuscita a contenere l’epidemia dell’H1N1, con la WHO che ha lavorato a livello locale con i ministeri della sanità dei singoli Paesi, utilizzando le informazioni ricavate per coordinare e generare una risposta internazionale. Allora perché le aziende non possono collaborare allo stesso modo e condividere i dati sulle nuove minacce nel momento stesso in cui ne escono di nuove?
Chiudere le finestre
In effetti, ciò consentirebbe alle aziende di diventare parte di un network globale di sensori di minacce – chiudendo la finestra temporale che esiste tra la scoperta di un nuovo attacco e la capacità di difendersi contro di esso. In un recente sondaggio, sì è notato come l’85% delle violazioni dovute a cyber attacchi fosse scoperto dopo settimane o più. Se le aziende potessero condividere le informazioni sulle nuove bot o minacce malware nel momento in cui vengono individuate nelle loro reti, gli elementi chiave della minaccia (quali indirizzo IP, URL o DNS) potrebbero essere condivisi nel cloud, e gli aggiornamenti sulle specifiche della nuova minaccia verrebbero fatte circolare a livello mondiale in pochi minuti.
=> Leggi i Rischi del Cloud Computing: problemi e soluzioni
Per esempio, ciò permetterebbe di condividere rapidamente tra le organizzazioni di tutto il mondo i dettagli chiave relativi a una minaccia o a un attacco scoperti in Giappone, garantendo una threat intelligence potenziata in modo tale che le difese possano essere aggiornate per bloccare l’attacco. Ciò potrebbe implicare la chiusura di una porta firewall, l’aggiornamento dei sistemi di Intrusion Prevention, o l’applicazione di patch software o del sistema operativo – ma grazie a quella intelligenza, le aziende possono attuare una protezione preventiva.
Ciò non comporta benefici solo per le singole aziende ma anche per l’intera comunità di business e di internet. Riducendo il numero di reti e macchine infettate da un determinato agente, ne viene rallentata la diffusione – diminuendo di conseguenza le possibilità che essa raggiunga picchi elevati per divenire poi una vera e propria epidemia. Come osservò Benjamin, un’oncia di prevenzione è meglio di una libbra di cura.
Quindi per tenere a bada queste minacce, le aziende dovrebbero cominciare a collaborare e condividere le informazioni, per rallentare la diffusione del malware, ridurne l’impatto e migliorare i livelli di sicurezza complessivi. La sicurezza su Internet è un tema che ci riguarda tutti da vicino: per cui occorre collaborare per vincere insieme questa battaglia.
Per chiudere riprendendo il parallelo con la sanità effettuato in apertura, possiamo senza dubbio affermare che, anche in tema di sicurezza IT, prevenire è sicuramente meglio che curare.
Articolo a cura di Rodolfo Falcone, Country Manager, Check Point Software Technologies Italia