Caricamento
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner acconsenti all’uso dei cookie.

End Point Protection: il punto di vista dell'attacker

End Point Protection: il punto di vista dell'attacker

Per decenni l’utente è stato terrorizzato dai malware e ha imparato ad installare un buon anti-malware. Da qualche anno si è preda dei ransomware e ci si sta attrezzando con nuovi strumenti di intercettazione di questa nuova generazione di malware. L’approccio tipico è quello di ricorrere a cure istantanee e ci si dimentica che è molto più efficace prevenire.

Per prima cosa dobbiamo realizzare che i nuovi attacchi che stiamo osservando sono ben mirati, sono programmati da attacker che hanno progettato e realizzato una tecnica più efficace delle precedenti, una tecnica che ha come specifico target l’End Point (PC, Laptop, Tablet, Smartphone, ecc).

Per prevenire un attacco così specifico è ovviamente necessario conoscere la tecnica utilizzata e proteggere le vie di accesso potenzialmente vulnerabili e utilizzabili. Spostiamoci, per qualche minuto, dall’altra parte della barricata e ragioniamo su come potremmo prendere il controllo di un End Point target, ad esempio una qualsiasi Workstation da ufficio.

RAGIONARE COME UN ATTACKER

Come si “affaccia” al mondo il nostro target? Quali punti di accesso mette a disposizione?

Il potenziale punto di accesso è identificato da tutto ciò che consente un “contatto” con il mondo esterno alla workstation. Una qualsiasi comunicazione è potenzialmente un punto di accesso al sistema vittima. Ad esempio quando navighiamo in internet i nostri browser instaurano delle sessioni di comunicazione con altri sistemi e creano dei “collegamenti” per dialogare; la comunicazione avviene tramite il protocollo HTTP (o HTTPS) e al suo interno vengono veicolate le nostre richieste di accedere ad una determinata pagina o contenuto. Le stesse sessioni vengono utilizzare per scaricare e visualizzare le pagine web che, sempre più spesso, oltre ai contenuti statici contengono istruzioni di alto livello per i nostri browser.

Di fatto quello che avviene ormai spessissimo è che il nostro browser esegue del codice (tipicamente javascript) per mostrare all’utente dei comportamenti o delle automazioni all’interno del sito web visitato. Diventa così tecnicamente fattibile sfruttare eventuali falle del browser o semplicemente la disattenzione dell’utente per installare un malware o un trojan sulla macchina vittima usando come <strong>vettore d’attacco</strong> una vulnerabilità nota.

VETTORI E SUPERFICIE D’ATTACCO

Restiamo nei panni dell’attacker. Per portare il nostro malware sul sistema della vittima abbiamo più di una strada: i sistemi moderni hanno molti modi per scambiare dati.

La citata vulnerabilità a livello browser e/o la disattenzione dell’utente sono molto semplici da sfruttare (per chi è del “mestiere” ovviamente) per guadagnare una posizione sul PC target. “Spiando” il comportamento della vittima, ad esempio osservandola sui social network, è possibile carpire informazioni utili per creare una comunicazione contraffatta molto dettagliata e portare l’utente a visitare un sito web appositamente creato per tentare di installare un malware sul PC target. In questo caso, oltre alla vulnerabilità del browser, sfruttiamo un mezzo di comunicazione ampiamente diffuso come l’e-mail.

Le informazioni che derivano dall’analisi dell’intera superficie d’attacco – sistemi, reti, persone, social network, fitapp, ecc. – è determinante per selezionare poi il vettore d’attacco più efficiente.

MINACCE E CONTROMISURE

È possibile accedere ai PC anche fisicamente e le analisi condotte nel 2017 mostrano che la più grande minaccia viene dall’interno (Insider Threats as the Main Security Threat in 2017). Il panorama impone di non limitarsi alla protezione “perimetrale” dai malware o all’utilizzo di una buona soluzione anti-malware, i dati possono essere trafugati in molti altri modi.

Su questo fronte ovviamente la situazione è più complessa in quanto gli utenti sono in una posizione comoda per accedere ad un dato sensibile. Dall’osservazione del comportamento degli utenti si è appreso che vi sono delle tecniche, semplici quanto efficaci, ben definite:

  • USB drive per salvare file da portare fuori dalla rete aziendale
  • Allegati via e-mail
  • Personal Cloud Storage
  • Web Application per la condivisione di file
  • Printing

Ovviamente il software anti-malware da solo non può far fronte a queste minacce ed è necessario mettere in campo qualcosa che, almeno a livello End Point, protegga il dato su tutti i potenziali fronti di attacco e ci consenta di tracciare eventuali tentativi di accesso a dati sensibili. In tal senso non è sufficiente avere una rete con un buon sistema di autenticazione, utenti ben profilati e GPO eccezionali… al di là dell’effort che gli strumenti richiedono, soprattutto in contesti non piccoli, l’impiego di più strumenti specifici rischia di complicare l’analisi di ciò che accade nella nostra rete e, laddove possibile, è bene scegliere soluzioni che consentano di aggregare un po’ di funzionalità ed informazioni.

Partendo dal presupposto che non esiste la soluzione software che risolve magicamente tutti i problemi, possiamo cominciare da quelle che ne risolvono almeno una parte. Le soluzioni di End Point Protection che oggi sono sul mercato offrono spessissimo funzionalità molto eterogenee con l’obiettivo di mettere al centro il dato. E’ quindi facile trovare soluzioni che, oltre al classico anti-malware e anti-exploit (requisiti minimi), mettano a disposizione sistemi di controllo dei “canali di comunicazione” (mail, usb storage, file server, ecc.), funzionalità di cifratura dei file e dischi e funzionalità di analisi per comprendere come si è propagata la minaccia nella rete.

Se poi riusciamo ad affiancare anche un buon sistema di logging ed auditing… non saremo invulnerabili, ma almeno renderemo la vita molto difficile agli attacker che, solitamente, tengono ben in considerazione il rapporto “costo/beneficio”.


Team Tecnico Lantech//Longwave

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

free_breakfast
#CoffeeTECH
LION Network Dynamic: il controllo della rete a supporto delle decisioni strategiche
LION® Network Dynamic è il servizio erogato dal Network Operation Center Lantech Longwave che si pone l’obiettivo di gestire gli apparati di rete monitorandone...
READ MORE
arrow_forward
LION Proactive: scopri il servizio di monitoraggio h24 dell'infrastruttura
Verificare costantemente il corretto funzionamento dell’infrastruttura IT e delle apparecchiature che ne fanno parte, costituisce un’attività fondamentale...
READ MORE
arrow_forward
mouse
Business Case
Una soluzione infrastrutturale server dinamica, efficace, sicura. Il case SIO S.p.A.
SIO S.p.A. è da molti anni il Partner tecnologico delle Forze dell'Ordine per lo sviluppo, la produzione e l'installazione di soluzioni innovative per...
READ MORE
arrow_forward
Caffeina: una rivoluzione "senza fili"
Energia, entusiasmo, talento e crescita continua: queste sono le caratteristiche che meglio delineano il profilo di Caffeina S.p.A., creative digital agency...
READ MORE
arrow_forward