La protezione moderna non abbandona le misure di sicurezza comprovate. Le sviluppa in pratiche migliori e olistiche. Negli ultimi anni abbiamo visto articoli in cui si affermava che l’antivirus è morto, e inadeguato a proteggere le aziende contro le minacce moderne. Storie come questa lasciano noi che operiamo nell’industria della Cyber Defense sia divertiti che perplessi.
Siamo divertiti perché l’antivirus che questi articoli erano così desiderosi di uccidere in realtà non esiste più dal 2008, quindi per noi il vecchio modo di fare le cose è morto da tempo. E allo stesso tempo, siamo perplessi su come spiegare alle persone che la loro comprensione delle cose non è esattamente lo ‘stato dell’arte’. Specialmente da quando ci sono i cosiddetti vendor ‘di prossima generazione’ che infondono questo genere di confusione nel loro marketing.
Il vecchio modo di proteggere contro gli attacchi si basava solamente sui motori di scansione antivirus, in cui il software usa un database di signatures antivirus per rilevare malware conosciuto in Windows o altri sistemi. I motori di scansione hanno iniziato a perdere la loro efficacia intorno al 2006, quando il malware polimorfico generato dai server ha iniziato a diventare la norma. Il che significa che quella che è nota come industria antivirus ha iniziato a guardare verso nuove soluzioni da tempo.
Il problema chiave con i motori di scansione è che chi attacca può facilmente impostare ambienti di test con tutti i prodotti antivirus comunemente usati, e testare nuovo malware fino a quando questo contrasta gli scanner antivirus. E poiché gli attaccanti fondamentalmente hanno molto tempo a disposizione, è certo che troveranno il modo per modificare il malware affinché non venga rilevato. Quindi, sì, in verità il vecchio modo di affidarsi solo a database antivirus e motori di scansione è morto. Sebbene molti prodotti usino motori di scansione (incluso quello di F-Secure) come ultima linea di difesa e pulizia, non possiamo affidarci solamente a motori di scansione per garantire una protezione completa.
L’idea alla base della protezione moderna è comprendere come l’hacker lavora. E invece di andare alla caccia dell’exploit del giorno e del malware del giorno dopo, ci concentriamo su risorse che gli attaccanti hanno bisogno per fare il loro lavoro, e neghiamo l’accesso a quelle risorse. Attualmente, il metodo più efficace nell’ “arsenale di protezione” è limitare la superficie d’attacco a chi sferra l’attacco. Nello specifico, cerchiamo di identificare gli exploit kit o altri tipi d’attacco attraverso modelli di traffico, o semplicemente neghiamo l’accesso a Java, Flash, e altri elementi potenzialmente pericolosi quando provengono da fonti sconosciute.
Questo significa che nella maggior parte dei casi l’attacco non prende neanche piede, poiché l’attaccante è impossibilitato a contattare la vittima, o non riesce a inviare il contenuto che contiene l’exploit con cui vorrebbe attaccare la vittima. Se la prevenzione del contatto fallisce, useremo metodi che o rilevano genericamente gli exploit o rilevano i cambiamenti del comportamento in applicazioni colpite da exploit. La fine è la stessa – prevenire che l’exploit colpisca con successo il sistema della vittima.
Se l’exploit è in grado di fare la sua azione, siamo ancora in grado di contrastarlo con il monitoraggio del comportamento, l’analisi su cloud, e altri metodi. Così in molti casi, saremo stati in grado di contrastare l’attacco molto prima che gli aggiornamenti del motore di scansione arrivino. E sebbene la maggior parte della protezione è fatta usando metodi più avanzati, i motori di scansione hanno ancora un utilizzo.
Una volta che un malware particolare è reso noto, possiamo usare i motori di scansione per distribuire la protezione ai clienti in massa. Questo permette che le minacce note possano essere rilevate e identificate ai livelli esterni – cosa che metodi più generici non sono in grado di fare. I motori di scansione permettono anche di identificare e categorizzare in massa grandi numeri di sample, il che aiuta a risparmiare energia. In questo senso, i motori di scansione possono essere visti come un genere di ‘green technology’.
Inoltre, i motori di scansione non serve che siano presenti nei client dell’utente finale. Offriamo già scansione in outsourcing basata su server nei prodotti per le aziende, in cui le workstation dell’utente finale inviano file per essere scansiti sul server di scansione aziendale. E stiamo prototipando lo stesso approccio per i prodotti consumer: molto probabilmente in un paio d’anni i motori di scansione esisteranno solo nei server aziendali o basati su cloud.
…a proposito, quelle aziende “next gen” usano ancora i motori di scansione. Li chiamano solamente scanner IOC (indicator of compromise). Per scoprire come ‘Proteggere le operazioni aziendali’ leggi l’eBook di F-Secure.
*Senior Researcher, F-Secure Labs