C’è stata un’esplosione di malware nel corso degli ultimi due anni. Quanto è seria la minaccia e come dovrebbe essere contrastata? David Gubiani Technical Manager per l’Italia di Check Point Software affronta il problema.

[section_title title=Vecchio malware, nuovi trucchi – Parte 2 ]

Questo tipo di sandboxing si basa sul fatto che sono pochi i metodi a poter essere utilizzati per scaricare ed eseguire un malware in un PC ospite. Poiché opera a livello di chip, sotto il livello delle applicazioni o del sistema operativo, il sandboxing a livello CPU rileva i metodi che il malware utilizza per penetrare il sistema, e il flusso di esecuzione a livello dell’assembly code, nel momento stesso in cui sta avvenendo l’infezione. Di conseguenza è in grado di svelare i mascheramenti applicati al malware, impedendo agli hacker di eludere la sorveglianza del sistema.

Mentre la velocità e l’accuratezza della rilevazione fanno del sandboxing a livello CPU un potente metodo per rilevare gli attacchi sconosciuti, questo metodo consente anche di rilevare i più rari, ma ben più sofisticati attacchi zero-day. Il malware zero-day è creato ad hoc per sfruttare le vulnerabilità dei software di cui i produttori stessi non sono ancora a conoscenza. La capacità di bloccare gli attacchi comuni come quelli rari e mirati aggiunge un ulteriore, solido livello di difesa alle reti d’impresa.

Estrarre il veleno dal malware

Portando questo approccio un passo oltre, una nuova tecnica di prevenzione delle minacce consiste nel combinare il sandboxing a livello di sistema operativo con quello a livello CPU, praticamente azzerando il rischio di infezione. Questa tecnica è definita threat extraction e comporta un approccio diretto alla rimozione della minaccia: poiché la maggior parte dei malware è distribuita per mezzo di documenti infetti (il Security report mostra che il 55% dei file infetti sono pdf o file di office), tutti i documenti che arrivano in un’organizzazione via e-mail dovrebbero essere intercettati, e il contenuto identificato come malware, ad esempio le macro, gli oggetti e i file embedded e i link esterni, rimossi. A quel punto, il documento privo di minacce viene ricostruito con elementi noti e sicuri e inoltrato al destinatario in formato originale oppure come pdf protetto, a seconda delle policy di sicurezza dell’organizzazione.

Gli attacchi malware non mostrano segni di diminuzione e le tecniche di elusione utilizzate dagli hacker sono in continua evoluzione, quindi la tecnologia di sicurezza si deve evolvere di pari passo, o meglio più rapidamente. Ciò che era all’avanguardia nel 2014 è solo tecnologia di base nel 2015.

 

Articoli correlatiAltro dello stesso autore