SICUREZZA INFORMATICA
Home articoli Sicurezza informatica Articolo

Security: le blacklist non funzionano più e’ il momento dei flussi di rete

In occasione dell’Osservatorio ANFoV sulla sicurezza, Renato Conti di Ibm esamina i rischi del mobile. E descrive come cambia l’approccio alla sicurezza. Oggi ci vogliono soluzioni di Threat Intelligence
del 15/05/14 -

La spinta verso il mobile porta le aziende a cogliere le nuove opportunità e allargare il range dei rischi per quanto riguarda la sicurezza. Piattaforma per sua natura ibrida nell' utilizzo, personale/business , e indistinta nella localizzazione (poiché può connettersi sia dall'interno di una rete aziendale sia dall'esterno su una rete insicura), è diventato il punto debole della catena di comunicazione.

“Così oggi – spiega Renato Conti, Technical sales and solutions leader security system di Ibm, intervenuto al primo osservatorio ANFoV sulla sicurezza nelle infrastrutture di rete– nessuno dispone di un antivirus su mobile, mentre tutti ne hanno uno sul pc. Ma oggi non ci sono limiti alle funzionalità che si possono realizzare con applicazioni mobile”.

Esiste una forte differenza nella consapevolezza del rischio sulle varie piattaforme. “Duante l’installazione delle app ci vengono richiesti e diamo permessi che non daremmo mai per qualunque software installato su un laptop”. Quasi come se il mobile fosse un mondo a parte, sicuro.

Eppure il pericolo corre anche via smartphone o tablet. I tipi più utilizzati di attacco per il mondo mobile sono quelli che hanno come obiettivo l'installazione di malware che permetta di prendere il controllo remoto del device, al fine di intercettare transazioni finanziarie e/o sottrare credenziali per poter sottrarre denaro all'utente attaccato.

Oppure si punta a sottrarre le credenziali che consentano di potersi connettere a sistemi aziendali e accedere quindi a informazioni sensibili che possano poi essere rivendute lucrosamente sul mercato dello spionaggio industriale. “I budget a disposizione dei criminali sono altissimi e il Roi per un attacco andato a buon fine è anch’esso eccezionalmente elevato”.

Per trovare il punto debole dove portare l’attacco spesso si punta verso ambienti o filiali periferiche, fornitori esterni o reti insicure. “Ben noto – spiega Conti – è il caso di quegli hacker che, seduti in ambienti free WiFi mettono a disposizione il loro access point per leggere in modo indisturbato tutto il traffico che passa”.

Altra minaccia è quella del social engineering e prevede l’utilizzo dei più noti social e di utenze fake fare in modo che chi è target dell'attacco finisca su di un sito insospettabile a sua volta attaccato in precedenza per inoculare un malware destinato alla macchina del target.

Questo tipo di attacco è chiamato whaterhole perché ricorda metodi di avvelenamento delle sorgenti utilizzati in passato per uccidere animali e persone.

Per proteggerci da questi attacchi, sostiene il manager di Ibm, non è più sufficiente utilizzare i metodi tradizionali tra cui firewall e antivirus. Questi metodi si basano su meccanismi di Balacklist ovvero il riconoscimento di signature specifiche che ogni virus troyan o malware presenta.
Purtroppo ad oggi esistono malware polimorfici, che cambiano continuamente signature ad ogni esecuzione ed inoltre spesso questi oggetti sono in grado di riconoscere gli ambienti di quarantena o le sandbox sospendendo la loro esecuzione nel caso in cui si trovino in uno di questi ambienti.

C’è bisogno quindi di un cambio di prospettiva, perché se il malware è in grado di nascondersi, quello che non si può nascondere è il suo effetto. “Questi software sono in grado di cancellare la propria presenza, ma non di cancellare le operazioni che compiono, le sessioni di comunicazione che aprono gli Ip address coinvolti. Ed è su questo che si basa quella che viene denominata Security Intelligence”.

Applicando tecnologie di "Analitycs" ai flussi di rete è infatti possibile evidenziare comportamenti e connessioni anomale dei flussi di rete che incrociati con le basi dati contenenti i metodi di attacco conosciuti, gli Ip address malevoli, le vulnerabilità già riscontrate permettono di prevenire e bloccare attacchi prima ancora che si manifestino e facciano danni all'azienda. “Occorre dotarsi di una soluzione di Threat Intelligence completa, quale ad esempio quella proposta da Ibm, costituita da un sistema che protegga gli endpoint intercettando il malware nel momento in cui tenta di installarsi, integrato con un sistema di analisi e blocco degli attacchi noti come protezione perimetrale della rete, quelli che oggi vengono chiamati next generation Intrusion prevention systems. Il tutto integrato e coordinato da un sistema di Security Intelligence in grado di correlare tutti gli eventi di sicurezza ai flussi anomali e prevenire l'esecuzione di un attacco prima ancora che questo venga portato a compimento”.

Licenza di distribuzione:
INFORMAZIONI SULLA PUBBLICAZIONE
iCons Srl - Ufficio Comunicazione ANFoV
Responsabile account:
 Mariano Peluso (Ufficio Comunicazione ANFoV)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Contatta il responsabile o Leggi come procedere
Stampa ID: 227902