Gli antivirus sono giunti al capolinea? Con l’arrivo di nuove minacce in Rete, si torna a parlare dell’inadeguatezza dei software destinati alla protezione di sistemi privati ed aziendali.
Per gli addetti ai lavori l’ultima sfida è rappresentata dai cosiddetti fileless malware, dei programmi malevoli in grado di lanciare un attacco direttamente nella memoria (RAM) dei computer e rimanervi attivi senza lasciare alcuna traccia sul disco rigido, area solitamente controllata dagli antivirus.
“C’è una nuova gamma di attacchi che per acquisire il controllo dei computer si appoggia a macro e strumenti di scripting come PowerShell“ commenta un esperto della Carbon Black Asia-Pacific. Ed a farne le spese sono stati anche “bersagli” che per la loro importanza dovrebbe disporre delle misure di sicurezza più sofisticate, come ad esempio le banche.
Eppure, nonostante analisti di mercato profetizzino il declino inesorabile degli antivirus, nel 57% dei casi questi si rivelano in grado di individuare e bloccare eventi che possono avere un impatto negativo sulle organizzazioni (fonte: Sans Institute). “Piuttosto che scomparire della scena, gli antivirus si stanno evolvendo. Attualmente diverse compagnie valutano di investire il budget destinato agli antivirus in piattaforme di prossima generazione (next-generation antivirus o NGAV) in grado di fronteggiare le nuove minacce e non solo i malware”.
Anche perchè, come osserva l’analista T. Marques “gli hacker stanno investendo tempo e risorse nello sviluppo di soluzioni dove il codice malevolo è nascosto [da pratiche d’offuscamento ed espedienti simili]”.
Di conseguenza le soluzioni NGAV non si appoggiano più solo ai classici database con le definizioni dei virus o all’analisi dei file di hash ed URL ma anche alla scienza dei dati (data science) ed al cloud (cloud based analitycs). Solo tale approccio consente infatti aumentare le possibilità di individuare le tattiche, tecniche e procedure (alle quali ci si riferisce anche con l’acronimo inglese TTP) adoperate per attaccare un sistemi.
I TTP sono infatti una sorta ” di traccia” lasciata dai virus o da un attacco in preparazione o in corso. Il software, grazie all’analisi dei TTP ed eventuali correlazioni con determinati file ed azioni annesse (behaviours), può ricostruire una serie di eventi e valutare effettivamente se vi siano o meno delle minacce.
“I TTP possono essere memorizzati e riutilizzati per sventare futuri attacchi. […] Questi pattern aiutano a contestualizzare le attività e supportare le policy [di sicurezza, rilevazione minacce e risposta ai pericoli]” aggiunge Marques.
Streaming prevention: nuovo approccio per nuove minacce
Nel settore finanziario le banche si appoggiano già da diversi anni all’event stream processing (ESP), tecnologia che permette di individuare “situazioni sospette” come transazioni non autorizzate (prelievi da una carta di credito che avvengono magari dall’altra parte del mondo o a distanza di pochi secondi). Le piattaforme NGAV puntano ad aumentare la loro efficienza affiancando l’ESP alle tecnologie ricordate in apertura (analisi dei dati e cloud).
Prendiamo come esempio un “attacco X” che tenti, mediante il caricamento di un oggetto Flash da browser, di utilizzare PowerShell ed eseguire uno script malevolo. Il sistema di protezione si focalizzerà non tanto su un singolo evento (come la tentata esecuzione di uno script) quanto su una serie di avvenimenti individuati in un determinato intervallo di tempo. La piattaforma è così in grado di registrare “consapevolmente” tutte le fasi dell’attacco, prevedendo anche i passaggi successivi. Ciò consente naturalmente al sistema di bloccare completamente l’attacco prima che possa danneggiare effettivamente il sistema.
L’event stream processing è solo l’ultimo degli strumenti che le aziende di sicurezza informatica hanno elaborato per contrastare le minacce della Rete, afferma l’esperto G. Lim. Gli strumenti degli hacker si evolvono infatti costantemente come quelli di chi si appresta a difendere i sistemi informatici.
Un salto di qualità in tal senso è stato compiuto nel corso del 2016 con alcuni attacchi DDoS di considerevole portata lanciati tra settembre ed ottobre e di intensità compresa tra i 500Gbps ed 1Tbps. In occasione dell’attacco al DNS provider statunitense DYN (21 ottobre e ad oggi ineguagliato come intensità), fu evidente come gli hacker si fossero appoggiati a centinaia di migliaia di device IoT (Internet delle Cose, in questo caso telecamere di sorveglianza connesse alla Rete) per sommergere di richieste il bersaglio e saturare le risorse dei server DYN.
“Nei prossimi due anni ci aspettiamo attacchi DDoS di elevata intensità, nell’ordine dei 10Tbps. Questi attacchi utilizzeranno malware fileless ma anche altre minacce sconosciute, [non riportate nei registri di sicurezza dell’intelligence], che gli antivirus tradizionali non sono più in grado di individuare” conclude l’esperto.