Nuovi Virus e minacce Zero Day: Perchè una Sandbox ?
TOPICS
Perché tutti parlano di questo problema come se non ce fossero altri?
I motivi sono due:
- Le tendenze di crescita
- La logica di funzionamento di antivirus e firewall
Secondo le statistiche di AV Test, una società indipendente che si occupa di ricerche sui malware, i nuovi virus scoperti negli ultimi anni sono stati:
- 2012 - 37M
- 2013 - 83M
- 2014 - 141M
- 2015 - 142M
- 2016 - 100M (prospettiva di 150M al 31/12)
Questi numeri ci fanno capire un fenomeno importante, il Cybercrime sta concentrando gli sforzi su questo tipo di attacchi perché hanno una probabilità di successo praticamente certa, in gergo vengono chiamate minacce zero day.
I comuni antivirus e firewall a causa del concetto alla base del loro funzionamento non possono considerare questi virus come tali, semplicemente perché non li conoscono, quindi ne permettono l' esecuzione sui PC e server di destinazione.
In altre parole la logica che seguono è quella del confronto, un antivirus, che sia installato sul PC, su un server oppure a bordo del firewall, contiene un database di “firme” dei malware e può riconoscere come tali solo quelli presenti.
Analogamente anche i servizi IPS, Antibot o la Threat Intelligence sono basati su firme o database di indirizzi IP e bloccano solo le connessioni verso tali destinazioni.
Chiaramente quando un Hacker diffonde un virus non invia la firma ai produttori di antivirus (almeno per quanto ne sappiamo…), ma si deve diffondere, fare danni, continuare a farne finché non attira l’attenzione abbastanza da spenderci un po’ di tempo, sviluppare la firma, collaudarla e rilasciarla tramite gli aggiornamenti. Analogamente succede per le firme dell’ IPS e le Botnet.
Ecco il problema, la situazione non è in grado di sostenere questo ciclo perché i danni che subiamo nel frattempo sono troppo ingenti, prima per la produttività aziendale ed ora anche per tutte le normative sulla privacy che ti assalgono in caso di perdite di dati.
A fronte di questo il mercato ha dato alcune risposte che hanno migliorato parzialmente la situazione, dotando gli antivirus di funzioni di analisi comportamentali in grado di valutare le azioni di un programma e in base a queste classificarlo o meno come malware.
Iniziamo ad avvicinarci al concetto di Sandbox ...
Queste analisi entrano in azione solo se la verifica delle firma è stata superata e di fatto devono permettere l’esecuzione del programma per analizzarne l’operato, quindi per rapide che siano ad intervenire il malware farà sempre in tempo a fare qualcosa che potenzialmente potrebbe aprire altre strade di infezione.
Oltre a questo non dimentichiamo che la fantasia del cybercrime è ampiamente in grado di aggirare questi controlli, sfruttando principalmente il fatto che vengono eseguiti sulle macchine di destinazione e non a monte di esse.
La tecnologia Sandbox prende nome e concetto da una metafora che si riferisce alle “scatole” di legno piene di sabbia dove si fanno giocare i bambini.
Nella sicurezza informatica questo significa analizzare il traffico in un ambiente isolato, prima che raggiunga la macchina di destinazione, al fine di analizzarne l’operato per valutare se rilasciarlo, bloccarlo o bonificarlo delle componenti malevole.
Non sostituisce il firewall, ed ora vi spiego perché.
Questi strumenti hanno certi tempi di risposta, devono portare a termine tutte le esecuzioni e per questo meno lavoro fanno più veloci sono.
Ecco perché il controllo deve essere effettuato dopo il firewall, in questo modo prima blocchiamo:
- le richieste verso le porte chiuse
- la navigazione web verso le categorie di siti non permesse
- le connessioni verso le Botnet conosciute
- le connessioni ritenute malevole dall’IPS
- il passaggio dei malware riconosciuti dal servizio anti-malware sul firewall
In altre parole prima trattiamo tutto ciò che rientra nella sfera delle minacce conosciute, per rilasciare alla Sandbox solamente ciò che è pulito oppure minaccia sconosciuta, così i tempi di risposta complessivi che dovrà attendere l’utente saranno il più ridotti possibile, in sostanza si suddividono i compiti.
A prescindere che venga adottata come servizio cloud, a bordo del firewall o su un’appliance dedicata, la tecnologia attiva in tempo reale delle macchine virtuali, ognuna con una versione di sistema operativo diversa dove di fatto viene riprodotto fedelmente tutto ciò che succederebbe sulla macchina di destinazione.
Così facendo è possibile:
- Analizzare tutto il traffico HTTP, HTTPS e SMTP.
- Valutare l’operato di ogni applicazione per scoprire azioni malevole.
- Accelerare il clock di sistema per rilevare virus ad attivazione ritardata.
- Simulare i click su link ipertestuali al fine di valutare il servizio web a cui puntano.
- Simulare le conferme User Account Control, richieste con l’apertura di file in genere “eseguibili”.
- Simulare l’apertura di documenti.
- Simulare le conferme di attivazione macro nei documenti Office.
- Simulare ogni altra azione utente richiesta
Con la diffusione di questa tecnologia però gli hackers hanno adattato le caratteristiche polimorfiche dei virus in modo tale che restino inattivi qualora dovessero essere in esecuzione su una virtual machine, ora il problema da superare è appunto evitare che se ne accorgano.
Ma come?
Tutto sta nel livello in cui si posiziona lo strato della Sandbox.
Per evitare che i malware sfruttino gli exploit e quindi raggirare il controllo è necessario che la tecnologia adottata si posizioni tra la CPU e l’ Hypervisor, in questo modo è possibile valutare solamente l’inequivocabile operato della CPU.
Per questo la scelta della tecnologia è fondamentale, molte di quelle presenti sul mercato portano poco in più rispetto ad un buon firewall con tutti i servizi attivi o ad un buon antivirus, quindi anche in questo campo ce n’è per tutti i gusti.
Certo, fare le scelte giuste non mai facile ma più sono le informazioni che abbiamo a disposizione più riusciamo ad avvicinarci alla soluzione migliore. Senz'altro è ultile iniziare con un Security Check-Up, che ti permetta di valutare lo stato della sicurezza della tua rete e le minacce a cui è soggetta.
Per farti capire meglio cosa intendo ti consiglio questo report.