Il tuo browser è obsoleto! Al fine della migliore esperienza possibile su www.longwave.eu considera la possibilità di aggiornarlo ad una versione più recente o di passare ad un altro browser.

End Point Protection: il punto di vista dell’attacker

15 Nov 2017
image

Per decenni l’utente è stato terrorizzato dai malware e ha imparato ad installare un buon anti-malware. Da qualche anno si è preda dei ransomware e ci si sta attrezzando con nuovi strumenti di intercettazione di questa nuova generazione di malware. L’approccio tipico è quello di ricorrere a cure istantanee e ci si dimentica che è molto più efficace prevenire.

Per prima cosa dobbiamo realizzare che i nuovi attacchi che stiamo osservando sono ben mirati, sono programmati da attacker che hanno progettato e realizzato una tecnica più efficace delle precedenti, una tecnica che ha come specifico target l’End Point (PC, Laptop, Tablet, Smartphone, ecc).

Per prevenire un attacco così specifico è ovviamente necessario conoscere la tecnica utilizzata e proteggere le vie di accesso potenzialmente vulnerabili e utilizzabili. Spostiamoci, per qualche minuto, dall’altra parte della barricata e ragioniamo su come potremmo prendere il controllo di un End Point target, ad esempio una qualsiasi Workstation da ufficio.

Ragionare come un attacker

Come si “affaccia” al mondo il nostro target? Quali punti di accesso mette a disposizione?

Il potenziale punto di accesso è identificato da tutto ciò che consente un “contatto” con il mondo esterno alla workstation. Una qualsiasi comunicazione è potenzialmente un punto di accesso al sistema vittima. Ad esempio quando navighiamo in internet i nostri browser instaurano delle sessioni di comunicazione con altri sistemi e creano dei “collegamenti” per dialogare; la comunicazione avviene tramite il protocollo HTTP (o HTTPS) e al suo interno vengono veicolate le nostre richieste di accedere ad una determinata pagina o contenuto. Le stesse sessioni vengono utilizzare per scaricare e visualizzare le pagine web che, sempre più spesso, oltre ai contenuti statici contengono istruzioni di alto livello per i nostri browser.

Di fatto quello che avviene ormai spessissimo è che il nostro browser esegue del codice (tipicamente javascript) per mostrare all’utente dei comportamenti o delle automazioni all’interno del sito web visitato. Diventa così tecnicamente fattibile sfruttare eventuali falle del browser o semplicemente la disattenzione dell’utente per installare un malware o un trojan sulla macchina vittima usando come <strong>vettore d’attacco</strong> una vulnerabilità nota.

Vettori e superficie d’attacco

Restiamo nei panni dell’attacker. Per portare il nostro malware sul sistema della vittima abbiamo più di una strada: i sistemi moderni hanno molti modi per scambiare dati.

La citata vulnerabilità a livello browser e/o la disattenzione dell’utente sono molto semplici da sfruttare (per chi è del “mestiere” ovviamente) per guadagnare una posizione sul PC target. “Spiando” il comportamento della vittima, ad esempio osservandola sui social network, è possibile carpire informazioni utili per creare una comunicazione contraffatta molto dettagliata e portare l’utente a visitare un sito web appositamente creato per tentare di installare un malware sul PC target. In questo caso, oltre alla vulnerabilità del browser, sfruttiamo un mezzo di comunicazione ampiamente diffuso come l’e-mail.

Le informazioni che derivano dall’analisi dell’intera superficie d’attacco – sistemi, reti, persone, social network, fitapp, ecc. – è determinante per selezionare poi il vettore d’attacco più efficiente.

Minacce e contromisure

È possibile accedere ai PC anche fisicamente e le analisi condotte nel 2017 mostrano che la più grande minaccia viene dall’interno (Insider Threats as the Main Security Threat in 2017). Il panorama impone di non limitarsi alla protezione “perimetrale” dai malware o all’utilizzo di una buona soluzione anti-malware, i dati possono essere trafugati in molti altri modi.

Su questo fronte ovviamente la situazione è più complessa in quanto gli utenti sono in una posizione comoda per accedere ad un dato sensibile. Dall’osservazione del comportamento degli utenti si è appreso che vi sono delle tecniche, semplici quanto efficaci, ben definite:

  • USB drive per salvare file da portare fuori dalla rete aziendale
  • Allegati via e-mail
  • Personal Cloud Storage
  • Web Application per la condivisione di file
  • Printing

Ovviamente il software anti-malware da solo non può far fronte a queste minacce ed è necessario mettere in campo qualcosa che, almeno a livello End Point, protegga il dato su tutti i potenziali fronti di attacco e ci consenta di tracciare eventuali tentativi di accesso a dati sensibili. In tal senso non è sufficiente avere una rete con un buon sistema di autenticazione, utenti ben profilati e GPO eccezionali… al di là dell’effort che gli strumenti richiedono, soprattutto in contesti non piccoli, l’impiego di più strumenti specifici rischia di complicare l’analisi di ciò che accade nella nostra rete e, laddove possibile, è bene scegliere soluzioni che consentano di aggregare un po’ di funzionalità ed informazioni.

Partendo dal presupposto che non esiste la soluzione software che risolve magicamente tutti i problemi, possiamo cominciare da quelle che ne risolvono almeno una parte. Le soluzioni di End Point Protection che oggi sono sul mercato offrono spessissimo funzionalità molto eterogenee con l’obiettivo di mettere al centro il dato. E’ quindi facile trovare soluzioni che, oltre al classico anti-malware e anti-exploit (requisiti minimi), mettano a disposizione sistemi di controllo dei “canali di comunicazione” (mail, usb storage, file server, ecc.), funzionalità di cifratura dei file e dischi e funzionalità di analisi per comprendere come si è propagata la minaccia nella rete.

Se poi riusciamo ad affiancare anche un buon sistema di logging ed auditing… non saremo invulnerabili, ma almeno renderemo la vita molto difficile agli attacker che, solitamente, tengono ben in considerazione il rapporto “costo/beneficio”.

rocco-sicilia-technical- team-leader
Rocco Pierpaolo Sicilia – – Technical Team Leader Longwave 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *