L’architettura tradizionale composta da Antimalware nei sistemi (desktop o server) e sonde IPS nel perimetro di rete, non è più in grado di proteggerci in modo efficace dall’evoluzione delle minacce al sistema informativo sempre più complesse e mirate alle frodi. L’attività di hackeraggio su sistemi, spesso di natura finanziara, viene sostenuta da organizzazioni criminali transnazionali; grazie a queste organizzazioni l’accesso a strumenti di infezione finalizzati al crimine informatico è diventato a buon mercato: bastano pochi centinaia di dollari per affittare una botnet.

Eludere sistemi di sicurezza deboli per rubare informazioni è fonte di profitto per, purtroppo molte, organizzazioni cybercriminali che si differenziano da altre forme più blande di hacktivismo proprio perché mirano a frodi finanziarie.

Il danno economico subito dall'azienda o istituzione presa di mira è quantificabile, non lo è invece il danno di immagine che essa stessa può subire senza contare gli effetti sui legali rappresentati e/o responsabili di sicurezza.

Per queste ragioni gli strumenti di indagine tradizionali, basati sulla sola firma, sono da considerarsi non più efficaci. Difendersi, quindi, dai malware e dai cybercriminali mediante un’architettura tradizionale di sicurezza non è risolutivo e rimane l’idea di non aver fatto abbastanza per garantire la sicurezza dei propri dati.

Qual'è l’approccio corretto per identificare e contrastare i nuovi malware?

  1. Rafforzare le proprie difese con strumenti di analisi statica e dinamica (sandbox) del codice scaricato dalla rete (contrasto al vettore di attacco “drive-by-download”). I sistemi IPS di ultima generazione sono già predisposti per l’analisi dinamica. Oltre all’IPS anche i gateway di scansione virale per la posta o per il web possono sfruttare le sandbox.

 

  1. Avere visibilità completa della propria rete è un modo per tenere traccia dell’attività dei malware e quindi identificare e conoscere gli attacchi e gli hacker che hanno invaso il vostro perimetro. Conoscere gli spostamenti di un hacker da un nodo all’altro della rete permette di agire in un tempo ragionevole, chiudere le vulnerabilità ed isolare e/o aggiornare i sistemi  compromessi.

 

Una architettura evoluta a più strati, cui ad ognuno di questi è fornito un livello di “intelligenza” da base ad avanzata, comunque in continua evoluzione tramite sistemi di aggiornamento live, può essere non solo un baluardo contro le minacce sconosciute (attacchi “zero-day”), ma anche uno strumento di investigazione e analisi forense. Non solo, quindi, contrastare le minacce ma anche rendere più immediata la ricerca delle minacce informatiche; un plus per gli esperti del settore (Security Analyst) ma anche semplice per il personale interno. Questi strati, così integrati, possono sostenere, analizzare e condividere un importante e sostenuto flusso di informazioni relative alla sicurezza IT, avere un’unica visione d’insieme, identificare situazioni a rischio e generare allarmi, elaborare report, supportare la gestione degli incidenti di sicurezza ed il processo di remediation.

In sintesi tutto ciò trova realizzazione nelle moderne piattaforme SIEM (Security Information and Event Management), con capacità di analisi per  grandi quantità di informazioni (Big Data) generate da diverse tipologie di sorgenti, siano esse end-point che dispositivi di rete/sicurezza, ed in grado di correlare, identificare, indagare e gestire gli incidenti di sicurezza.

L’analisi di Big Data, quindi, come elemento chiave anche per una gestione efficace ed efficiente della sicurezza del sistema informativo.

Per approfondimenti:
RSA: Architettura di analisi della sicurezza
McAfee: Counter stealth malware Solution