Un approccio innovativo, ma soprattutto efficace all'analisi dei Malware avanzati

Da sempre la principale sfida dei gruppi di sicurezza è proteggere le informazioni aziendali. 

Purtroppo l’evoluzione delle minacce e i recenti attacchi ci hanno ampiamente dimostrato quanto un approccio innovativo e la combinazione di diversi criteri siano fondamentali per proteggere il bene più prezioso delle aziende: le informazioni.

Esistono molteplici tipologie di malware e di codice malevolo che possono compromettere i nostri sistemi e di conseguenza le nostre informazioni. Pensiamo ad esempio ad un attacco programmato, il codice è sviluppato per attivarsi alle 4.09 AM del primo sabato del mese verificando se esistono driver di VMware. In questo caso analizzare il file con una sandbox non produrrebbe nessun risultato; dobbiamo utilizzare un approccio innovativo che mette insieme criteri diversi identificando dei valori secondo cui sarà possibile stabilire delle efficaci contromisure.

Security Analytics Malware Analysis è una soluzione che rivoluziona l’identificazione, l’analisi e la definizione delle priorità circa le minacce di tipo malware-based.

Gli analisti di sicurezza esperti riconoscono che nessun tool è in grado di bloccare tutti i possibili attacchi: la soluzione aiuta nell’identificazione e nella mitigazione dei problemi reali e seri che non sono intercettati dalle soluzioni tradizionali e moderne di protezione dai malware.

Ciò che rende Security Analytics Malware Analysis una soluzione unica è la sua capacità di vedere l’intero spettro di attacchi ed analizzare tutti i dati in transito sulla rete utilizzando quattro distinte tecniche di investigazione. 

• Network Session Analysis – Esame degli attributi relativi alla sessione di rete che contiene il file potenzialmente malevolo; ad esempio, il software scaricato da un sito conosciuto, attraverso porte e protocolli appropriati è considerato meno sospetto rispetto al software identificato come malevolo o scaricato da siti di dubbia reputazione. Di seguito, ulteriori esempi dei fattori utilizzati nella valutazione di questo specifico criterio relativamente a sessioni che contengono:
• informazioni relative a feed (contenuti Live) di tipo “threat”;
• connessioni verso siti malevoli ben conosciuti;
• connessioni verso paesi/domini ad elevato rischio (ad es. dominio .cc);
• utilizzo di protocolli noti attraverso porte non standard;
• JavaScript di tipo “obfuscated”.

• Static File Analysis – Analisi del file per evidenziare sia tentativi di “obfuscation” sia indicatori relativi al possibile comportamento malevolo che si manifesta all’apertura o esecuzione del file stesso; ad esempio, il software che presenta link a librerie con funzioni di tipo networking è più probabile che possa effettuare attività di rete sospette. Di seguito, ulteriori esempi dei fattori utilizzati nella valutazione di questo specifico criterio:
• File che siano identificati come XOR encoded (tecnica di obfuscation);
• File che siano identificati come embedded all’interno di formati non-EXE (ad esempio, file PE embedded in un formato GIF);
• File che collegano a librerie identificate ad elevato rischio;
• File che non rispettano il formato PE.

• Security Community Analysis – Consultazione della community per determinare sia se la sessione di rete è relativa a siti segnalati o conosciuti per la delivery di malware sia se il file stesso è già stato segnalato come malevolo; ad esempio, i file il cui fingerprint/hash è già conosciuto come “good” o “bad” dai principali vendor antivirus riceve un punteggio adeguato all’analisi effettuata dalla Community.

• Sandbox (dynamic) Analysis – I file nella sessione sono dinamicamente analizzati e monitorati in un ambiente controllato al fine di rilevare comportamenti di tipo malevolo; ad esempio, il software che si auto-configura per la partenza automatica ad ogni reboot del sistema ed effettua connessioni di tipo IRC riceverà uno score superiore rispetto ad un file che non presenta un comportamento malevolo noto.

Le funzionalità di Malware Analysis non devono basarsi esclusivamente sulle sole capacità di Sandbox, bensì sull’insieme delle suddette quattro metodologie di analisi, al fine di compensare le intrinseche mancanze delle altre; ad esempio, le funzionalità di Sandbox (Dynamic) Analysis possono compensare la mancata rilevazione di “Zero-Day attack” da parte della fase di Security Community Analysis e l’approccio basato esclusivamente su Sandbox è ampliamente dimostrato come non sia del tutto efficiente.

I dipartimenti IT sono funzionali agli obiettivi di business che l’azienda si pone, uno strumento come Security Analytics aiuta i gruppi di sicurezza ad automatizzare quanto più possibile le attività di identificazione di potenziali minacce mettendo a fattor comune criteri diversi in modo automatico riducendo i tempi di analisi in ambito Big Data.

Mauro Costantini - mauro.costantini@rsa.com

https://blogs.rsa.com

https://blogs.rsa.com/category/security-operations-2/

http://www.emc.com/security/rsa-security-operations.htm 

Sync&Share: un’analisi dell’impatto economico

La condivisione dei dati all’interno di un’azienda e/o con i fornitori presenta vari spunti che vanno dalla sicurezza, al controllo degli accessi ma, anche, rischi e impatto sulla capacità di velocizzare e rendere più efficiente il processo decisionale di Manager e Quadri.

Qui di seguito forniamo una analisi sull’impatto (transformato in economics) che vuole dare un’idea di quale ritorno si possa ottenere dall’adozione di Syncplicity, la piattaforma Synh&Share di EMC; l’analisi non tiene conto dell’utilizzo in Cloud oppure On_Premise (possibiltà entrambe presenti nell’offerta Syncplicity) ma si prefigge di analizzare e quantificare economicamente gli impatti dell’adozione di Syncplicity in una ipotetica azienda di livello Enterprise.


Dati di Base.
Per rendere più fruibile il Business Impact, abbiamo utilizzato i seguenti dati:

• Impiegati dell’azienda: 10.000
• Turnover dell’azienda (millions) 10.000 USD
• Utenti Sync&Share (10%) 1.000
• Costo Aziendale per persona 200.000 USD

Analisi degli impatti.

Virtual Storage Integrator (VSI) 6.3

Il 7 Ottobre è stata rilasciata la versione 6.3 del VSI (Virtual Storage Integrator), il Pug-In gratuito per VMware che consente la gestione dello Storage EMC direttamente dal vCenter.
Le novità principali riguardano XtremIO e VMAX: in questo articolo analizzeremo le nuove funzionalità rilasciate per queste due due piattaforme.

EMC Forum: ecco la lista dei vLab disponibili

L’EMC Forum 2014 di Milano è ormai vicinissimo e anche quest’anno saranno molte le novità. E ancora una volta, a fianco delle classiche presentazioni, saranno messe a disposizione dei clienti numerose aree dove poter “mettere mano” sulle soluzioni EMC. Mi riferisco in particolare ai nostri vLab: chi ha già partecipato agli EMC Forum sa di cosa si tratta, e se avete avuto la possibilità di prendere parte all’EMC World oppure al VMWorld avrete visto quale successo riescono sempre a raccogliere questi laboratori.


Per chi non sapesse di cosa stiamo parlando, abbiamo creato per voi un micro e-book con tutte le informazioni su questi laboratori: trovate il PDF a questo indirizzo (o cliccate sulla cover qui a fianco).

Quali saranno i vLab disponibili quest’anno? Ecco la lista completa

• Introduction to the VMAX3 Family
• Deploying HADOOP with EMC Isilon and VMware
• EMC Hybrid Cloud Solution v2.5 with VMware vCloud Suite
• EMC Avamar 7.0 Hybrid Cloud Protection for Cloud Providers
• ViPR 2.0 Storage-as-a-Service Development and Integration
• ViPR SRM v3.5 - Visualize- Analyze- Optimize Storage Resources
• XtremeIO Simulator

Per saperne di più potete ovviamente andare alla pagina dell'EMC Forum o mandare un email all'indirizzo info_emcforum@emc.com.

vi aspettiamo tutti il 18 novembre al MiCo (Milano Congressi) in via Gattamelata, Gate 14!

Valutare l’entità di una compromissione: RSA ECAT

Al fine di garantire la massima visibilità anche sui singoli endpoint e valutare al meglio l’entità e l’estensione di una potenziale compromissione, RSA mette a disposizione uno strumento specifico chiamato ECAT, Enterprise Compromise Assessment Tool.

Benchè esistono in commercio e nel mondo open source numerosi strumenti atti ad individuare potenziali codici malevoli presenti in una postazione di lavoro o di un server, ECAT adotta un’ottica unica e si pone come uno strumento Enterprise completamente integrato nel all’interno del Security Operation Center.

Si tratta di una soluzione basata su agente che permette di valutare lo stato di salute di un determinato sistema attraverso una prima scansione e di mantenere costantemente monitorata la situazione in modo tale da essere notificati qualora avvenisse una compromissione. L’approccio su cui il prodotto si basa è sull’analisi della memoria: qualsiasi componente malevolo, a prescindere dagli accorgimenti che l’attaccante ha adottato per nascondere i comportamenti malevoli del suo software, per poter interagire con il sistema, deve ad un certo punto «scoprirsi», essere caricato in memoria ed eseguirsi. Ed è a questo punto che ECAT interviene, modellando attraverso un’analisi comportamentale non basata su firme ciò che un determinato applicativo sta facendo, come influisce sugli altri processi e con che modalità interagisce con il sistema operativo.

Il risultato di queste complesse analisi viene poi quindi sintetizzato in un unico punteggio chiamato «grado di sospetto», che sarà poi utilizzato dall’analista per assegnare una priorità alle proprie investigazioni o per confermare o meno un potenziale incidente a seguito di una segnalazione da parte della piattaforma di Security Analytics.

Adottare un approccio non basato su firme, benché evidentemente più efficace per individuare minacce non ancora note, può risultare inevitabilmente più complesso da gestire a causa del numero di falsi positivi che potrebbe generare. Per scongiurare tale scenario, ECAT adotta un sistema di whitelisting in modo tale che applicativi certificati o legittimi non influiscano sul grado di sospetto e permettano quindi all’analista di individuare immediatamente il componente malevolo.

Davide Veneziano – RSA Security Analytics Pre Sales Consultant

Francesco Gelo – RSA Pre Sales Consultant

http://www.emc.com/security/rsa-ecat.htm

Visibilità a 360 gradi: RSA Security Analytics

All’interno della proposizione RSA, il cuore pulsante che garantisce al SOC quella visibilità necessaria a fronteggiare lo scenario delle minacce odierno è come detto nei precedenti articoli rappresentato dalla soluzione RSA Security Analytics.

Da un punto di vista architetturale, il prodotto è costituito da un primo livello, sulla sinistra, che è finalizzato a collezionare gli eventi di sicurezza. Sia che essi siano messaggi di log provenienti da dispositivi di rete o server, sia che sia il traffico di rete in entrata o in uscita dall’organizzazione, dei moduli applicativi specifici si occupano di rilevare quanto raccolto, identificando la tipologia del dispositivo che ha generato il log o il protocollo di rete in uso nella comunicazione ed estrarre, prima ancora che l’informazione venga memorizzata, tutte le informazioni che potranno essere utili per una successiva analisi sotto forma di meta-dato.