La sicurezza IT nelle aziende è messa sotto pressione. Le minacce informatiche sul posto di lavoro sono numerose, per cui è necessario valutare attentamente le soluzioni da adottare in base al tipo di comportamenti sospetti da identificare. Un compito che si dimostra difficile a causa della complessità della questione. Stormshield fa chiarezza.
I potenziali comportamenti sospetti su una postazione di lavoro sono numerosi. Parliamo ad esempio di software installati all’insaputa del reparto IT e indice di shadow IT, di applicazioni da classificare senza alcun dubbio come malware (ne è un esempio è il ransomware, che cancella rapidamente i backup e cifra i file subito dopo essere stato attivato) o catene di singole azioni apparentemente ordinarie che vengono eseguite senza essere notate e causano danni prima di essere riconosciute come una minaccia. Questo è soprattutto il caso delle APT (“Advanced Persistent Threats”).
Come sottolineato in una nota ufficiale da Alberto Brera, Country Manager Italia di Stormshield: «Oggi i responsabili IT devono farsi carico di definire i comportamenti sospetti da identificare. Tuttavia, il reparto IT non è onnisciente: pratiche di lavoro e applicazioni che si discostano dalla norma e che potrebbero quindi essere considerate sospette sono invece comuni in alcuni campi professionali e non possono essere bloccate. Definire un comportamento sospetto serve a capire cosa deve essere identificato come tale».
Tuttavia, questa analisi richiede una conoscenza approfondita delle tecniche di attacco e, soprattutto, dei principali vettori di infezioni sulle postazioni di lavoro.
Tre di questi risaltano particolarmente:
Phishing
Il phishing è utilizzato dal 75% – 80% del malware. È popolare tra gli aggressori perché è sia facile da eseguire che efficace, e può raggiungere un numero molto elevato di potenziali vittime. Gli attacchi di phishing sono aumentati notevolmente negli ultimi mesi a fronte della della pandemia, sfruttata dai cybercriminali. Inoltre, il ricorso al telelavoro di gran parte della popolazione ha ulteriormente aggravato questa tendenza. I dati rilevati durante la prima ondata suggeriscono che i tentativi di phishing sarebbero aumentati del 400% già nella prima settimana del lock-down.
Periferiche USB
Il trucco dei cybercriminali consiste nel piazzare una chiavetta USB con malware a terra vicino a un’azienda target. La naturale curiosità di alcuni dipendenti li spinge a prenderla e a collegarla ad una postazione di lavoro. Un comportamento rischioso, che si verifica ben più spesso di quanto ci si aspetti.
Protocolli per desktop remoto
Gli RDP (“Remote Desktop Protocols”) consentono l’accesso a computer remoti e il ransomware ne abusa spesso per diffondersi. Anche nel caso degli RDP, le circostanze della pandemia hanno amplificato il fenomeno e in particolare sotto forma di attacchi “brute force”. A causa del lock-down e della diffusione del telelavoro, i dipendenti accedono sempre più spesso alle risorse aziendali dai terminali personali che non necessariamente sono dotati di soluzioni di sicurezza aggiornate. Il numero di compromissioni RDP è aumentato in modo significativo di conseguenza.
Perché la Endpoint protection può fare da salvagente
Fino ad ora, i programmi antivirus sono stati lo strumento prediletto per tutelare le workstation contro i cyberattacchi. Oltre alle soluzioni per i terminali, sono stati presi in considerazione anche altri metodi, come il sandboxing, che permette di aprire o eseguire file sconosciuti o sospetti in un ambiente di test isolato, senza correre rischi. Che si tratti della soluzione antivirus stand-alone o di una combinazione di entrambe le opzioni, questo approccio si è rapidamente rivelato insufficiente, poiché alcune tecniche di attacco tentano di bypassare il software di protezione. Pertanto, è necessario trovare soluzioni complementari in grado di rilevare comportamenti sospetti.
Da questa esigenza sono emerse soluzioni di sicurezza più avanzate come le piattaforme di protezione degli endpoint (EPP) che rilevano comportamenti sospetti e palesemente dannosi, dotate anche di funzionalità di protezione delle workstation. Poi sono apparsi sistemi di “Endpoint Detection & Response” (EDR), che rispondono all’esigenza di rilevare in modo proattivo i comportamenti sospetti tracciando in maniera approfondita ciò che accade su una postazione di lavoro e rilevando anche i segnali più deboli, come l’avvio improvviso di numerosi processi sulla stessa postazione di lavoro.
Le soluzioni EPP ed EDR offrono ciascuna interessanti livelli di protezione e rilevamento e si completano a vicenda, a seconda del caso d’uso aziendale. Una tecnologia che spesso va di pari passo con l’EDR è l’intelligenza artificiale (IA).
Ancora per Brera: «L’IA porta con sé una maggiore potenza di calcolo, utile per classificare e rispondere meglio ai comportamenti inaspettati».
I fornitori devono essere in grado di progettare soluzioni di protezione che incorporino a priori classificazioni e policy in modo da poter fornire il giusto livello di identificazione dei comportamenti sospetti. L’efficacia di queste soluzioni è infatti determinata dalla giusta combinazione di misure di sicurezza da applicare a comportamenti specifici. Nonostante la specificità e l’approccio restrittivo, per loro stessa natura le soluzioni per endpoint non sono comunque infallibili.
Per questo motivo si raccomanda di impostare una whitelist (o allowlist) per evitare il blocco di applicazioni legittime. Inoltre, per garantire una completa efficacia, è necessario adottare un approccio personalizzato per ogni organizzazione adattando la protezione ai diversi comportamenti. La soluzione per la sicurezza degli endpoint di Stormshield combina le capacità EPP e EDR. Grazie alla sua adattabilità dinamica, è possibile intervenire immediatamente e, se necessario, il livello di protezione può essere rafforzato in qualsiasi momento.
