Di Florian Malecki, International Product Manager, SonicWall
Se ti occupi di data security saprai sicuramente che devi essere sempre un passo avanti rispetto agli advanced persistent threat (APT). Sarai certamente coinvolto in attività di mitigazione proattiva e visibilità avanzata sulle minacce, ma i rischi odierni sono spesso in grado di bypassare le soluzioni anti-malware tradizionali mascherando le loro attività malevole. Per identificare gli APT, i professionisti della sicurezza implementano tecnologie di advanced threat detection e protection, spesso con l’aggiunta di sandbox virtuali che analizzano il comportamento di file sospetti e individuano malware nascosti, non noti in precedenza. Tuttavia, le minacce sono sempre più sofisticate, e le tecniche sandbox di svariati vendor non sono all’altezza.
Questo articolo esamina 5 aree in cui le tecniche di sandboxing legacy non sono efficaci ed esplora quello che le imprese devono fare se vogliono evitare gli APT.
Un’APT è un set di processi di hacking costanti e nascosti, spesso orchestrati da criminali che mirano a un target specifico. Queste minacce – che comprendono malware sconosciuto e non documentato, tra cui gli attacchi zero-day e sono studiate per evolvere in modo polimorfo e dinamico – hanno l’obiettivo di estrarre o compromettere dati sensibili, comprese le informazioni di controllo e accesso. Anche se meno frequenti rispetto ad attacchi automatizzati e personalizzati con una superficie di attacco più estesa, gli APT rappresentano una seria minaccia emergente. Quindi, che cosa cercare quando si sceglie un vendor di sicurezza per rimanere al passo con i cybercriminali senza incrementare costi e complessità?
Innanzitutto è imperativo comprendere l’importanza dell’analisi prima dell’infiltrazione. Alcune soluzioni di sandboxing non giungono a un verdetto prima che sia troppo tardi, e cioè quando un file potenzialmente dannoso è già entrato nel perimetro della rete. In questo modo aumentano il numero di vettori possibili che un file malware eseguito può infiltrare dietro il perimetro. E’ importante che il sandbox consenta di catturare il codice sospetto e ne analizzi il comportamento con diversi engine in simultanea, e lo blocchi fino al verdetto finale, offrendo una visibilità completa sulle attività malevole, resistendo alle tecniche di evasione e massimizzando l’identificazione delle minacce zero-day.
La seconda sfida riguarda l’analisi di file. Alcune soluzioni gateway sandboxing sono limitate in termini di tipologia di file o ambiente operativo che possono valutare e questo rappresenta una preoccupazione significativa dato che gli attacker continuano ad utilizzare file sempre più complessi per penetrare in rete. Alcune soluzioni sandbox indirizzano solo minacce mirate a un unico ambiente di elaborazione, anche se oggi molte imprese operano con svariati sistemi operativi tra cui Windows, Android e Mac OSX. Quando si sceglie la soluzione sandbox bisogna quindi accertarsi che sia allineata con gli ambienti utilizzati e che non sia limitata nella sua capacità di analisi di file di qualunque genere.
E’ poi fondamentale notare che le soluzioni sandbox single-engine standalone non sono più adatte. Se in passato sarebbero state in grado di identificare ed eliminare il rischio di un attacco, il malware di oggi è progettato per individuare la presenza di un sandbox virtuale ed evitare il riconoscimento, rendendo le tecnologie sandbox di prima generazione obsolete. Queste soluzioni sono un target primario per i cyber criminali e rappresentano un bersaglio facile per coloro che si avvalgono di tecniche di evasione. Inoltre, danno luogo a un gap significativo in termini analitici. Per esempio, le analisi che valutano le chiamate tra applicazioni e sistemi operativi potrebbe essere meno granulari rispetto a quelle che studiano le chiamate tra hardware e sistemi operativi per il fatto che molte di queste sono nascoste agli strati applicativi. Molti IT manager cercano di evitare questo problema adottando tecnologie di sandboxing multiple, ma questo approccio aumenta la complessità di configurazione, le attività amministrative e i costi. Una tecnica più efficace è quella di integrare strati di diversi sandbox engine, piuttosto che adottare molteplici tecnologie di sandboxing.
Il quarto aspetto da considerare sono le tecnologie di cifratura. Per molti anni, le istituzioni finanziarie e tutte quelle che gestiscono dati sensibili hanno optato per il protocollo HTTPS che cifra le informazioni condivise. Oggi siti come Google, Facebook e Twitter e altri stanno adottando questa pratica in risposta a una crescente domanda di privacy e sicurezza degli utenti. Anche se ci sono molti vantaggi nell’uso della cifratura internet, gli hacker hanno iniziato a sfruttare questa cifratura per “nascondere” il malware nel traffico codificato, spesso non ispezionato dai firewall aziendali.
Grazie alla codifica Secure Sockets Layer (SSL) e Transport Layer Security (TLS) (SSL/TLS), o al traffico Secure Shell (SSH), i cyber criminali esperti possono cifrare le comunicazioni command and control e il codice malevolo per evitare i sistemi di intrusion prevention (IPS) e di anti-malware inspection. Questi attacchi possono essere estremamente efficaci, semplicemente perché molte aziende non dispongono dell’infrastruttura necessaria per identificarli. Le soluzioni di network security tradizionali tipicamente non hanno la capacità di ispezionare il traffico SSL/TLS-encrypted, o le loro prestazioni degradano a tal punto che diventano inutilizzabili in fase ispettiva.
Infine, le attuali tecnologie di threat detection spesso riportano solo la presenza e il comportamento del malware. Anche se la tecnica di sandbox identifica una nuova minaccia su un determinato endpoint, le aziende non hanno un modo chiaro per rimediare alla minaccia e non dispongono di una modalità semplice ed efficace per aggiornare le firewall signature su una rete globale distribuita. Una volta identificato il malware, spesso dopo che un sistema è stato compromesso, la risoluzione ricade sul dipartimento IT, lasciandoti il compito di trovare ed eradicare il malware e riparare i danni sui sistemi infetti. Dovrai anche occuparti di creare e implementare rapidamente nuove signature malware per evitare nuovi attacchi al resto dell’organizzazione.
Mentre i sandbox legacy hanno svariati difetti, il principio sottostante rimane valido. Al fine di proteggere un’azienda dagli APT bisogna superare questi cinque ostacoli e il sandboxing sarà efficace. Questo potrebbe comportare diversi passi come l’applicazione di analisi cloud-based a file sospetti al fine di identificare e bloccare minacce sconosciute all’esterno del gateway fino al verdetto. La tecnologia sandbox dovrebbe essere in grado di analizzare una vasta gamma di tipologie di file su diversi sistemi operativi, indipendentemente da dimensioni e tipologia di file. Infine, integrando diversi sandbox engine potrai contrastare meglio gli APT, riducendo al tempo stesso costi e complessità.