venerdì 7 novembre 2014

Un approccio innovativo, ma soprattutto efficace all'analisi dei Malware avanzati

Da sempre la principale sfida dei gruppi di sicurezza è proteggere le informazioni aziendali. 

Purtroppo l’evoluzione delle minacce e i recenti attacchi ci hanno ampiamente dimostrato quanto un approccio innovativo e la combinazione di diversi criteri siano fondamentali per proteggere il bene più prezioso delle aziende: le informazioni.

Esistono molteplici tipologie di malware e di codice malevolo che possono compromettere i nostri sistemi e di conseguenza le nostre informazioni. Pensiamo ad esempio ad un attacco programmato, il codice è sviluppato per attivarsi alle 4.09 AM del primo sabato del mese verificando se esistono driver di VMware. In questo caso analizzare il file con una sandbox non produrrebbe nessun risultato; dobbiamo utilizzare un approccio innovativo che mette insieme criteri diversi identificando dei valori secondo cui sarà possibile stabilire delle efficaci contromisure.

Security Analytics Malware Analysis è una soluzione che rivoluziona l’identificazione, l’analisi e la definizione delle priorità circa le minacce di tipo malware-based.

Gli analisti di sicurezza esperti riconoscono che nessun tool è in grado di bloccare tutti i possibili attacchi: la soluzione aiuta nell’identificazione e nella mitigazione dei problemi reali e seri che non sono intercettati dalle soluzioni tradizionali e moderne di protezione dai malware.

 Ciò che rende Security Analytics Malware Analysis una soluzione unica è la sua capacità di vedere l’intero spettro di attacchi ed analizzare tutti i dati in transito sulla rete utilizzando quattro distinte tecniche di investigazione. 

  • Network Session Analysis – Esame degli attributi relativi alla sessione di rete che contiene il file potenzialmente malevolo; ad esempio, il software scaricato da un sito conosciuto, attraverso porte e protocolli appropriati è considerato meno sospetto rispetto al software identificato come malevolo o scaricato da siti di dubbia reputazione. Di seguito, ulteriori esempi dei fattori utilizzati nella valutazione di questo specifico criterio relativamente a sessioni che contengono:
    • informazioni relative a feed (contenuti Live) di tipo “threat”;
    • connessioni verso siti malevoli ben conosciuti;
    • connessioni verso paesi/domini ad elevato rischio (ad es. dominio .cc);
    • utilizzo di protocolli noti attraverso porte non standard;
    • JavaScript di tipo “obfuscated”.
  • Static File Analysis – Analisi del file per evidenziare sia tentativi di “obfuscation” sia indicatori relativi al possibile comportamento malevolo che si manifesta all’apertura o esecuzione del file stesso; ad esempio, il software che presenta link a librerie con funzioni di tipo networking è più probabile che possa effettuare attività di rete sospette. Di seguito, ulteriori esempi dei fattori utilizzati nella valutazione di questo specifico criterio:
    • File che siano identificati come XOR encoded (tecnica di obfuscation);
    • File che siano identificati come embedded all’interno di formati non-EXE (ad esempio, file PE embedded in un formato GIF);
    • File che collegano a librerie identificate ad elevato rischio;
    • File che non rispettano il formato PE.
  • Security Community Analysis – Consultazione della community per determinare sia se la sessione di rete è relativa a siti segnalati o conosciuti per la delivery di malware sia se il file stesso è già stato segnalato come malevolo; ad esempio, i file il cui fingerprint/hash è già conosciuto come “good” o “bad” dai principali vendor antivirus riceve un punteggio adeguato all’analisi effettuata dalla Community.
  • Sandbox (dynamic) Analysis – I file nella sessione sono dinamicamente analizzati e monitorati in un ambiente controllato al fine di rilevare comportamenti di tipo malevolo; ad esempio, il software che si auto-configura per la partenza automatica ad ogni reboot del sistema ed effettua connessioni di tipo IRC riceverà uno score superiore rispetto ad un file che non presenta un comportamento malevolo noto.


Le funzionalità di Malware Analysis non devono basarsi esclusivamente sulle sole capacità di Sandbox, bensì sull’insieme delle suddette quattro metodologie di analisi, al fine di compensare le intrinseche mancanze delle altre; ad esempio, le funzionalità di Sandbox (Dynamic) Analysis possono compensare la mancata rilevazione di “Zero-Day attack” da parte della fase di Security Community Analysis e l’approccio basato esclusivamente su Sandbox è ampliamente dimostrato come non sia del tutto efficiente.


I dipartimenti IT sono funzionali agli obiettivi di business che l’azienda si pone, uno strumento come Security Analytics aiuta i gruppi di sicurezza ad automatizzare quanto più possibile le attività di identificazione di potenziali minacce mettendo a fattor comune criteri diversi in modo automatico riducendo i tempi di analisi in ambito Big Data.


Mauro Costantini - mauro.costantini@rsa.com
https://blogs.rsa.com
https://blogs.rsa.com/category/security-operations-2/
http://www.emc.com/security/rsa-security-operations.htm 
Labels: , , , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)