È il momento della Threat Intelligence

18

In occasione dell’Osservatorio ANFoV sulla sicurezza, Renato Conti di Ibm esamina i rischi del mobile e descrive come cambia l’approccio alla sicurezza






La spinta verso il mobile porta le aziende a cogliere le nuove opportunità e allargare il range dei rischi per quanto riguarda la sicurezza“Così oggi nessuno dispone di un antivirus su mobile, mentre tutti ne hanno uno sul pc – spiega Renato Conti, Technical Sales and Solutions Leader Security System di Ibm, intervenuto al primo osservatorio ANFoV sulla sicurezza nelle infrastrutture di rete –. Ma oggi non ci sono limiti alle funzionalità che si possono realizzare con applicazioni mobile”.

Esiste una forte differenza nella consapevolezza del rischio sulle varie piattaforme. “Durante l’installazione delle app ci vengono richiesti e diamo permessi che non daremmo mai per qualunque software installato su un laptop”. Quasi come se il mobile fosse un mondo a parte, sicuro. Eppure il pericolo corre anche via smartphone o tablet. I tipi più utilizzati di attacco per il mondo mobile sono quelli che hanno come obiettivo l’installazione di malware che permetta di prendere il controllo remoto del device, al fine di intercettare transazioni finanziarie e/o sottrarre credenziali per poter rubare denaro all’utente attaccato. Oppure si punta a sottrarre le credenziali che consentano di potersi connettere a sistemi aziendali e accedere quindi a informazioni sensibili che possano poi essere rivendute lucrosamente sul mercato dello spionaggio industriale. “I budget a disposizione dei criminali sono altissimi e il Roi per un attacco andato a buon fine è anch’esso eccezionalmente elevato”.

Per trovare il punto debole dove portare l’attacco spesso si punta verso ambienti o filiali periferiche, fornitori esterni o reti insicure“Ben noto – spiega Conti – è il caso di quegli hacker che, seduti in ambienti free WiFi, mettono a disposizione il loro access point per leggere in modo indisturbato tutto il traffico che passa”.
Altra minaccia è quella del 
social engineering, e prevede l’utilizzo dei più noti social e di utenze fake fare in modo che chi è target dell’attacco finisca su di un sito insospettabile a sua volta attaccato in precedenza per inoculare un malware destinato alla macchina del target (whaterhole).

Per proteggerci da questi attacchi, sostiene il manager di Ibm, non è più sufficiente utilizzare i metodi tradizionali tra cui firewall e antivirus. Questi si basano su meccanismi di Balacklist, ovvero il riconoscimento di signature specifiche che ogni virus troyan o malware presenta. Purtroppo ad oggi esistono malware polimorfici, che cambiano continuamente signature ad ogni esecuzione ed inoltre spesso questi oggetti sono in grado di riconoscere gli ambienti di quarantena o le sandbox sospendendo la loro esecuzione nel caso in cui si trovino in uno di questi ambienti.

C’è bisogno quindi di un cambio di prospettiva, perché se il malware è in grado di nascondersi, quello che non si può nascondere è il suo effetto. “Questi software sono in grado di cancellare la propria presenza, ma non di cancellare le operazioni che compiono, le sessioni di comunicazione che aprono gli Ip address coinvolti. Ed è su questo che si basa quella che viene denominata Security Intelligence”.
Applicando 
tecnologie di ‘Analitycs’ ai flussi di rete è infatti possibile evidenziare comportamenti e connessioni anomale dei flussi di rete che, incrociati con le basi dati contenenti i metodi di attacco conosciuti, gli Ip address malevoli e le vulnerabilità già riscontrate, permettono di prevenire e bloccare attacchi prima ancora che si manifestino e facciano danni all’azienda. “Occorre dotarsi di una soluzione di Threat Intelligence completa, quale ad esempio quella proposta da Ibm, costituita da un sistema che protegga gli endpoint intercettando il malware nel momento in cui tenta di installarsi, integrato con un sistema di analisi e blocco degli attacchi noti come protezione perimetrale della rete, quelli che oggi vengono chiamati next generation Intrusion prevention systems. Il tutto integrato e coordinato da un sistema di Security Intelligence in grado di correlare tutti gli eventi di sicurezza ai flussi anomali e prevenire l’esecuzione di un attacco prima ancora che questo venga portato a compimento”.