Da sempre la principale
sfida dei gruppi di sicurezza è proteggere le informazioni aziendali.
Purtroppo
l’evoluzione delle minacce e i recenti attacchi ci hanno ampiamente dimostrato quanto
un approccio innovativo e la combinazione di diversi criteri siano fondamentali
per proteggere il bene più prezioso delle aziende: le informazioni.
Esistono molteplici
tipologie di malware e di codice malevolo che possono compromettere i nostri
sistemi e di conseguenza le nostre informazioni. Pensiamo ad esempio ad un
attacco programmato, il codice è sviluppato per attivarsi alle 4.09 AM del
primo sabato del mese verificando se esistono driver di VMware. In questo caso
analizzare il file con una sandbox non produrrebbe nessun risultato; dobbiamo
utilizzare un approccio innovativo che mette insieme criteri diversi
identificando dei valori secondo cui sarà possibile stabilire delle efficaci
contromisure.
Security Analytics
Malware Analysis è una soluzione che rivoluziona l’identificazione, l’analisi e
la definizione delle priorità circa le minacce di tipo malware-based.
Gli analisti di
sicurezza esperti riconoscono che nessun tool è in grado di bloccare tutti i
possibili attacchi: la soluzione aiuta nell’identificazione e nella mitigazione
dei problemi reali e seri che non sono intercettati dalle soluzioni
tradizionali e moderne di protezione dai malware.
Ciò che rende Security Analytics Malware Analysis una soluzione unica è la sua capacità di vedere l’intero spettro di attacchi ed analizzare tutti i dati in transito sulla rete utilizzando quattro distinte tecniche di investigazione.
- Network Session Analysis – Esame degli attributi relativi alla sessione di rete che contiene il file potenzialmente malevolo; ad esempio, il software scaricato da un sito conosciuto, attraverso porte e protocolli appropriati è considerato meno sospetto rispetto al software identificato come malevolo o scaricato da siti di dubbia reputazione. Di seguito, ulteriori esempi dei fattori utilizzati nella valutazione di questo specifico criterio relativamente a sessioni che contengono:
- informazioni relative a feed (contenuti Live) di tipo “threat”;
- connessioni verso siti malevoli ben conosciuti;
- connessioni verso paesi/domini ad elevato rischio (ad es. dominio .cc);
- utilizzo di protocolli noti attraverso porte non standard;
- JavaScript di tipo “obfuscated”.
- Static File Analysis – Analisi del file per evidenziare sia tentativi di “obfuscation” sia indicatori relativi al possibile comportamento malevolo che si manifesta all’apertura o esecuzione del file stesso; ad esempio, il software che presenta link a librerie con funzioni di tipo networking è più probabile che possa effettuare attività di rete sospette. Di seguito, ulteriori esempi dei fattori utilizzati nella valutazione di questo specifico criterio:
- File che siano identificati come XOR encoded (tecnica di obfuscation);
- File che siano identificati come embedded all’interno di formati non-EXE (ad esempio, file PE embedded in un formato GIF);
- File che collegano a librerie identificate ad elevato rischio;
- File che non rispettano il formato PE.
- Security Community Analysis – Consultazione della community per determinare sia se la sessione di rete è relativa a siti segnalati o conosciuti per la delivery di malware sia se il file stesso è già stato segnalato come malevolo; ad esempio, i file il cui fingerprint/hash è già conosciuto come “good” o “bad” dai principali vendor antivirus riceve un punteggio adeguato all’analisi effettuata dalla Community.
- Sandbox (dynamic) Analysis – I file nella sessione sono dinamicamente analizzati e monitorati in un ambiente controllato al fine di rilevare comportamenti di tipo malevolo; ad esempio, il software che si auto-configura per la partenza automatica ad ogni reboot del sistema ed effettua connessioni di tipo IRC riceverà uno score superiore rispetto ad un file che non presenta un comportamento malevolo noto.
Le funzionalità di Malware Analysis non devono basarsi esclusivamente sulle
sole capacità di Sandbox, bensì sull’insieme delle suddette quattro metodologie
di analisi, al fine di
compensare le intrinseche mancanze delle altre; ad esempio, le funzionalità di
Sandbox (Dynamic) Analysis possono compensare la mancata rilevazione di
“Zero-Day attack” da parte della fase di Security Community Analysis e
l’approccio basato esclusivamente su Sandbox è ampliamente dimostrato come non
sia del tutto efficiente.
I dipartimenti IT sono funzionali agli obiettivi di
business che l’azienda si pone, uno strumento come Security Analytics aiuta i
gruppi di sicurezza ad automatizzare quanto più possibile le attività di
identificazione di potenziali minacce mettendo a fattor comune criteri diversi
in modo automatico riducendo i tempi di analisi in ambito Big Data.
Mauro Costantini - mauro.costantini@rsa.com
Nessun commento:
Posta un commento