Il ransomware fa sempre più notizia e la sua minaccia continuerà a crescere nei mesi e negli anni a venire. Lo stesso vale per tutte le violazioni di sicurezza in generale che continuano a verificarsi a un ritmo crescente. Basti pensare che nel 2015 si sono verificati quasi 60 milioni di incidenti di sicurezza informatica. E non è il ransomware in sé che causa il danno maggiore, ma è l’interruzione che determina nell’operatività aziendale.
Per proteggere al meglio gli endpoint dalle minacce moderne occorre prima di tutto evitare che queste stesse minacce vengano a contatto con le vittime. Il modo più efficace per farlo è utilizzare molteplici livelli di protezione che combinino una scansione intelligente, l’analisi del comportamento, e il cloud (per un’intelligence delle minacce sempre aggiornata).
In un report di Gartner dal titolo ‘Tattiche efficaci per proteggere le aziende del midmarket dalle minacce avanzate” pubblicato da Neil MacDonald* il 29 marzo 2016 si dice che “la prevenzione dovrebbe essere il mantra di ogni professionista della sicurezza nel midmarket. Non bisogna credere a chi afferma che ‘le firme sono morte’. L’offerta di soluzioni EPP (Endpoint Protection Platforms) per anni non si è mai basata unicamente sulle firme per rilevare il malware. Tutte le soluzioni EPP più note offrono motori di analisi del comportamento avanzati per la prevenzione da malware”.
Quando si usa la protezione preventiva, la stragrande maggioranza dei malware, ransomware o qualsiasi altra applicazione non voluta viene bloccata dai motori di scansione prima che raggiungano il livello maggiore di protezione. E i motori di scansione moderni sono molto diversi dalle soluzioni antivirus degli anni ‘90. Andy Patel della divisione Technology Outreach dei Laboratori di F-Secure, spiega che le tecnologie di rilevazione moderne sono progettate per catturare migliaia o persino centinaia di migliaia di sample. Molto lontano dall’approccio ‘un hash per sample’ dei vecchi tempi.
Ma ci saranno sempre nuovi tipi di malware che non possono essere identificati dai motori tradizionali ed è qui che serve un approccio differente. Per proteggersi dalle nuove minacce emergenti (malware, ransomware, trojan ecc.) serve anche una protezione euristica basata sul comportamento.
Mikael Albretch, dei Laboratori F-Secure, spiega che la tecnologia DeepGuard di F-Secure offre un approccio del tutto differente nella rilevazione del malware.
DeepGuard analizza il comportamento del computer e intercetta gli attacchi in grado di sfruttare le vulnerabilità dei programmi più diffusi per installare software dannoso. Ogni giorno viene rilevata una media di 10.000 nuove varianti di malware per Windows. Queste varianti hanno tipicamente una vita breve. Tuttavia, le rilevazioni di DeepGuard si focalizzano sugli algoritmi del malware e sul suo modo di operare, il che permette di riconoscere tali modelli anche prima che il malware abbia tentato di iniziare l’attività malevole. L’approccio di DeepGuard nel rilevare la funzionalità principale del malware rende le regole di rilevamento più longeve. Una nuova variante malware ha un’alta probabilità di avere una regola già esistente. Questo rende DeepGuard realmente proattivo.
In aggiunta, anche se la rilevazione basata sul comportamento fallisce, malware e ransomware possono ancora essere fermati. Un esempio di questo è il ransomware Petya, che F-Secure ha bloccato con lo script relevance di DeepGuard molto tempo prima che fosse identificato.
Secondo Andy Patel, “la maggior parte dei meccanismi di rilascio del malware si possono facilmente bloccare a livello di comportamento. Nella maggior parte dei casi, quando troviamo nuove minacce, scopriamo anche che avevamo, nel lontano passato, già aggiunto della logica per affrontare i meccanismi che usano”.
Leggi anche “Guida pratica e veloce per sconfiggere il ransomware”.
*Gartner non promuove alcun vendor, prodotto o servizio raffigurato nelle proprie pubblicazioni di ricerca, e non suggerisce agli utenti della tecnologia di optare soltanto per quei vendor che possiedono la classificazione più alta o altre valutazioni. Le pubblicazioni di ricerca di Gartner comprendono le opinioni delle organizzazioni di ricerca di Gartner e non dovrebbero essere interpretate come dati di fatto. Gartner disconosce tutte le garanzie, espresse o implicite, rispetto a questa ricerca, inclusa ogni garanzia di commerciabilità o di idoneità per un determinato obiettivo.
Categorie