[section_title title=Best practice e sandbox, ecco come difendersi dall’ignoto]
A cura di Roberto Pozzi, Regional Manager Southern Europe di Check Point
Venti anni fa Stephen Hawking, importante fisico e autore, ha dichiarato che i virus dei computer dovrebbero essere trattati come una forma di vita, poiché vivono sfruttando il metabolismo dei computer host che infettano e ne diventano parassiti. I decenni a seguire hanno confermato la veridicità di questa affermazione, con infezioni malware che hanno registrato una crescita esponenziale. E come le altre forme di vita, anche i virus si sono evoluti. Nel 2013 ad esempio abbiamo visto l’emergere del cosiddetto ransomware, che i criminali utilizzavano per ricattare le aziende trattenendo i loro dati in ostaggio e chiedendo un riscatto per il rilascio.
Il passo successivo di tale evoluzione è arrivato con il recente attacco contro Sony Pictures Entertainment, descritto come uno dei più distruttivi mai visti contro un’azienda, che ha messo offline per una settimana gran parte della rete aziendale. L’attacco ha utilizzato un malware di tipo ‘wiper’ che sovrascrive i dischi dei PC, rendendoli non operativi. È difficile e costoso da superare, perché ogni PC infettato deve essere sostituito o ricostruito, ed è quasi impossibile ripristinare i dati sovrascritti utilizzando metodi forensi standard.
Le dimensioni e la tipologia dell’attacco hanno condotto l’FBI a rilasciare un alert immediato, avvisando altre organizzazioni della minaccia potenziale, in particolare poiché il malware specifico utilizzato non era rilevabile da software antivirus convenzionale. È questo ultimo punto a essere particolarmente critico: le aziende non possono proteggersi facilmente contro minacce che le loro difese non sono in grado di “vedere”.
Best practice contro il malware sconosciuto
Il problema nasce dal fatto che nuovo malware sconosciuto continua a essere rilasciato a ritmo sostenuto. È relativamente semplice per i criminali fare piccoli aggiustamenti al codice di un malware, per consentirgli di bypassare il rilevamento delle signature condotto da un antivirus standard, che quindi lascia le aziende vulnerabili. Il Security Report 2014 di Check Point, che ha analizzato milioni di eventi di sicurezza registrati da oltre 10.000 organizzazioni in tutto il mondo, ha riscontrato che, in media, un’azienda scarica inavvertitamente nuovo malware nella sua rete ogni 27 minuti. Si tratta di quasi 50 infezioni malware sconosciute ogni giorno.
Cosa possono fare allora le aziende per proteggersi contro malware distruttivo che non conoscono? Il primo importante passo sta nell’implementazione di best practice di sicurezza raccomandate per proteggere i computer da qualsiasi tipo di infezione:
- Assicurarsi che il software anti-virus sia aggiornato con le ultime signature
- Verificare che le patch del sistema operativo e del software applicativo siano aggiornate
- Installare un firewall a due vie sul PC di ogni utente
- Formare gli utenti sulle tecniche di social engineering, specialmente per quanto riguarda gli allegati provenienti nella posta indesiderata
Anche se il malware è in grado di eludere il rilevamento dei software antivirus, alcune delle sue azioni potrebbero essere inibite o bloccate dal firewall del PC, o dalla versione più recente di un software, o dalla patch del SO. Tuttavia, queste misure di best-practice non offrono protezione completa contro nuovi attacchi emergenti. Anche a un dipendente esperto di sicurezza può capitare di cliccare inavvertitamente su un allegato email, innescando un’infezione.
Per continuare a leggere l’articolo consultare la pagina SUCCESSIVA
