Non solo attacchi informatici a scopo dimostrativo o politico (come i Denial of Service di Anonymous): nel 2011 sono stati sferrati numerosi attacchi indirizzati specificatamente alle aziende: a fine anno si contavano 76 milioni di minacce malware note, e il settore commerciale più colpito dell’anno è stato quello dell’Energia.
I dati sottratti vanno a formare veri e propri database rivendibili al mercato nero come se si trattasse di un catalogo, una sorta di Crimeware -as-a-service.
Vediamo l’evoluzione delle minacce secondo gli studi di McAfee illustrati da Marcello Romeo, Presales Manager per l’Italia e le soluzioni proposte dall’azienda di software antivirus.
Trend
Il 90% delle minacce è costituito da Trojan volti a sottrarre credenziali e dati sensibili, per accessi non autorizzati, o peggio per realizzare truffe. La novità è che piattaforme fino a poco tempo fa sicure sono oggi attaccabili e attaccate, come Mac Os di Apple.
Senza contare il filone degli attacchi ai sistemi operativi Mobile, Android per primo perché è il più diffuso. Alcuni nomi noti di malware per cellulare? Crdcream, fgolddream, nickispy, capaci di prendere i dati dell’utente o di spiare le sue telefonate.
Fra i motivi della proliferazione del malware, la mancanza di leggi specifiche, soprattutto nei paradisi digitali in cui non ci sono leggi contro questa tipologia di reati. Al mondo solo cinque paesi si stanno “armando per la guerra informatica”: Stati Uniti, Russia, Francia, Israele e Cina.
I nuovi attacchi
Le minacce si evolvono e raggiungono raffinate sofisticazioni, come le APT (Advanced Persistent Threaths) che, attraverso un attacco mirato, puntano ad installare diversi malware all’interno delle sotto-reti del bersaglio, per mantenere attivi tutti quei canali che servono a far uscire informazioni di valore del soggetto vittima.
Caratteristica di questi attacchi è la progettazione della minaccia, pensata e realizzata in modo specifico rispetto all’obiettivo da attaccare. Inoltre poiché il fine è il controllo a lungo termine di un’organizzazione per il furto dei dati, questi attacchi sono generalmente lenti e durevoli, possono richiedere diversi anni per essere completati e la maggior parte delle volte, quando vengono scoperti, è forse già tardi.
Durante tutto il periodo dell’attacco la minaccia resta nascosta. La finalità può non essere il guadagno, ma solo il controllo dei server critici e a tal fine questi attacchi sono effettuati con tecniche di offuscamento. Ad esempio Stuxnet, o Night Dragon dedicato al settore energetico, ma anche il meno noto Shady Rat, un attacco durato circa cinque anni, e perpetrato nei confronti di ben 72 entità governative coinvolte.
Il contrasto di minacce così evolute non può consistere in un rimedio singolo ma deve prevedere monitoraggi a multipli livelli e su diverse fonti che analizzando azioni separate sappiano ricondurle ad un’unica strategia o modello di attacco informatico.
Si sta inoltre diffondendo da parte delle forze dell’ordine italiane, la pratica di utilizzare Trojan “poliziotti” a supporto nelle operazioni di indagine, che non dovrebbero essere rimossi o ostacolati da un sistema antivirus e antimalware.
La Deep security di McAfee
La risposta di McAfee a queste problematiche di sicurezza, come spiegato da Ferdinando Torazzi, responsabile McAfee Italia, poggia su tre colonne portanti:
- integrazione fra sistemi,
- total cost of ownership,
- visione globale della Security.
La recente acquisizione da parte di Intel ha permesso di spostare l’approccio della sicurezza non più limitandolo al substrato software, ma spingendo la protezione al livello profondo del Bios del chipset.
McAfee ha costruito una soluzione hardware assisted per la protezione. Sul “laywer deep safe” è stato poi sviluppato l’applicativo. In sostanza vengono effettuati monitoraggi sui processi a basso livello per accorgersi di comportamenti maliziosi quasi in tempo reale.
In aggiunta viene utilizzato il Global Threath Intelligence (GTI), un sistema centralizzato di gestione delle informazioni sulle minacce, che riceve e aggiorna dati da ogni software remoto di McAfee ed è in grado di riconoscere le azioni iniziali di un attacco.
A livello locale McAfee ha presentato il NITRO next generation SIEM (Security Information and Event Management), un sistema di monitoraggio degli eventi allo scopo di analizzare e riconoscere modelli di attacco. In continuo collegamento con il GTI, NITRO cerca di riconoscere le specificità, o le eccezioni, che si verificano sui sistemi aziendali, mettendole in relazione a eventi e modelli già noti localmente o a livello centrale grazie al GTI e al lavoro degli altri SIEM McAfee connessi da remoto. Il sistema funziona con dei sensori hardware (appliance dedicate) e mediante agent software che analizzano le attività di rete, dei server e dei dati.
McAfee propone anche una soluzione per la protezione dei database, in cui viene applicata la separazione delle responsabilità del DB Administrator, in modo da permettere la gestione del DB ma non quella dei log che registrano anche il suo comportamento.
La soluzione è completata con un prodotto di Intrusion Prevention System (IPS) di nuova generazione arricchito dei controlli di sicurezza al livello di presentazione della pila Iso/Osi (livello 7) per riconoscere le applicazioni che accedono ad una porta e prevenirne le eventuali azioni maligne.
Sicurezza come strategia
Al momento, le soluzioni McAfee supportano il sistema operativo Microsoft e la Endpoint Encription attualmente non è del tutto supportata, anche se nella roadmap di sviluppo è prevista.
Per il futuro è prevista l’apertura del Deep Layer ai competitor, politica di vendita che si sposa con difficoltà in quegli ambienti aziendali ad alta presenza di dati legacy poiché il rinnovo di un intero parco macchine diventa dispendioso e impraticabile.
D’altra parte anche volendo attuare un approccio incrementale, c’è il problema di integrazione con le vecchie strutture e soprattutto in una server farm mista, l’ultimo “server vecchio” costituisce il “buco della sicurezza”.
E’ dunque consigliabile per le aziende pensare alla sicurezza in termini estesi, come strategia e come implementazione, prevedendo soluzioni il più possibile complete ma anche flessibili e intelligenti, capaci cioè di adattarsi all’evoluzione delle minacce. A tal fine vale la pena di ricordare il detto: «i dinosauri si sono estinti perché si affidavano unicamente alle loro corazze».