Bitdefender contro le nuove minacce informatiche sempre più complesse

Nei giorni scorsi Bitdefender ha organizzato a Milano un interessante incontro con la stampa, a cui abbiamo partecipato. I portavoce della società, specialista a livello mondiale in tecnologie per la sicurezza informatica e fornitore di soluzioni innovative (le sue soluzioni proteggono ad oggi oltre 500 milioni di utenti in più di 150 paesi), hanno dipinto gli scenari attuali e presentato le tendenze future spiegando quali strategie possano essere messe in campo per difendersi dalle nuove minacce, ormai divenute sempre più complesse.

La sicurezza informatica è una delle priorità di qualunque azienda (o almeno dovrebbe esserlo…): attacchi mirati, peraltro sempre più diffusi, possono essere sfruttati dai criminali informatici per espletare attività di spionaggio industriale, per sottrarre l’altrui proprietà intellettuale o informazioni riservate oppure, più semplicemente, per provocare gravi danni (come perdite di dati).

I dati, compresi i dati personali, sono infatti divenuti linfa vitale per l’economia globale: proteggere i propri dati e quelli dei clienti in maniera adeguata rappresenta la chiave di volta per ottenere un vantaggio competitivo sulla concorrenza, per tutelare e ampliare il proprio business, per preservare la libertà di comunicare.

Il 25 maggio 2018 comincerà ad avere piena efficacia il nuovo Regolamento generale sulla protezione dei dati (GDPR), stilato dalla Commissione Europea lo scorso anno e incentrato sugli obblighi in capo ai soggetti che trattano dati di residenti nell’Unione Europea.

Il GDPR spinge molto sugli investimenti sulle soluzioni per la sicurezza e la tutela dei dati: quest’ultima parte dell’anno e l’inizio del prossimo saranno quindi il periodo migliore, per le aziende, per riflettere sulle politiche per la difesa delle informazioni conservate all’interno della propria infrastruttura.

Basti pensare, infatti, che se il fenomeno cybercrime in Italia è cresciuto del 13,3% rispetto allo scorso anno, le attività di spionaggio e sabotaggio hanno purtroppo fatto registrare, sempre nel nostro Paese, un balzo in avanti del 127% circa.

Nel resoconto elaborato da Clusit, Associazione Italiana per la Sicurezza Informatica, il 2011 fu definito come l’annus horribilis per la sicurezza; il 2017, però, ha fatto segnare performance ancora peggiori anche in forza degli investimenti che sul mercato nostrano si confermano assolutamente inadeguati.

Il quadro delle minacce informatiche attuali e future secondo Bitdefender

Nel corso del 2017 si è assistito alla diffusione di malware sviluppati a partire da codice sottratto alle agenzie governative (presumibilmente alla NSA statunitense). Si tratta di codici exploit spesso sconosciuti ai produttori di soluzioni per la sicurezza informatica, capaci di sfuggire ai tradizionali strumenti di protezione.
Minacce come WannaCry e GoldenEye hanno provocato molti danni tra il secondo e il terzo trimestre di quest’anno bloccando le attività di intere aziende e provocando perdite operative senza precedenti.

I malware dotati di capacità di movimento laterale (ossia in grado di diffondersi all’interno della rete locale sfruttando cartelle condivise e privilegi degli utenti) sono diventati sempre più diffusi: exploit conosciuti con gli appellativi di EternalBlue ed EternalRomance sono stati ripetutamente sfruttati dai criminali informatici per “ritagliarsi” degli spazi all’interno delle reti aziendali vulnerabili e da lì controllare il traffico all’interno dell’altrui network (con la possibilità di monitorare e sottrarre informazioni).

Bitdefender ha registrato anche un crescente interesse, da parte dei malware writer, per gli strumenti opensource e freeware, modificati “ad arte” e integrati in pacchetti personalizzati.
Tali strumenti software sono sempre più “gettonati” negli attacchi APT (advanced persistent threat), aggressioni studiate per trovare una “via d’ingresso” privilegiata all’interno di qualsiasi realtà aziendale, partendo ad esempio da una campagna malware mirata ad aggredire alcuni utenti o amministratori i cui sistemi sono a loro volta collegati alla LAN dell’impresa. L’utilizzo di misure di sicurezza non all’altezza della situazione, di risorse condivise non adeguatamente protette, di account dotati di diritti troppo ampi possono portare a una completa débâcle, mostrando il fianco a un attacco che, inizialmente, ha avuto successo sulla singola workstation o endpoint.

Bitdefender utilizza oltre 500 milioni di sensori e honeypot per rilevare tempestivamente le minacce emergenti e avere immediata visibilità sugli attacchi informatici minori che cercano di superare i controlli esercitati dai prodotti per la sicurezza.

Osservando le statistiche, un messaggio spam su sei inviato tramite email presenta qualche forma di ransomware e i malware di questo tipo progettati appositamente per bersagliare le aziende sono ormai una realtà.

Il 2017 è stato poi l’anno dei miner di crittovalute illegali che usano diverse tecniche per infettare i sistemi degli utenti e sfruttano tecniche di movimento laterale per diffondersi all’interno della rete aziendale.

Secondo i tecnici di Bitdefender durante il prossimo anno emergeranno nuovi codici exploit sottratti alle agenzie governative che saranno verosimilmente impiegati per sferrare attacchi dirompenti. Il movimento laterale, inoltre, diventerà standard nella maggior parte dei malware: si utilizzeranno sempre più utilità per l’ottenimento delle password come Mimikatz che codici in grado di far leva su vulnerabilità wormable.

Saranno sempre più diffusi i cosiddetti attacchi fileless che, diversamente rispetto alle aggressioni tradizionali, non si basano sul rilascio, la memorizzazione e l’esecuzione di un file malevolo a livello di file system.
Il termine fileless, infatti, non si riferisce al fatto che nel corso dell’attacco non venga mai usato alcun file ma che, piuttosto, per attivare l’infezione non venga salvato alcun oggetto in locale sul sistema della vittima.
Con Windows 10 che diverrà sempre più diffuso, Bitdefender spiega che è lecito attendersi una crescita degli attacchi che poggiano su script Powershell o sulla nuova bash Linux.

Sempre secondo i tecnici di Bitdefender, cominceranno a diffondersi ransomware che faranno leva sulla potenza di calcolo delle moderne GPU per agire più rapidamente e provare a superare il controllo dei prodotti antimalware.

L’utilizzo del polimorfismo come servizio prenderà ancora più piede: già oggi gli aggressori sono soliti usare motori polimorfici sul cloud per inondare la rete di varianti univoche degli stessi malware e complicare così il loro rilevamento.
Da un lato verranno generati campioni progettati per produrre “falsi positivi”, dall’altro si agirà sul payload dei malware così da farli passare inosservati alla maggioranza delle soluzioni per la sicurezza.

Sarà purtroppo sempre più scontata la diffusione di botnet composte da dispositivi per l’Internet delle Cose (IoT) dotati di firmware vulnerabili o comunque non adeguatamente protetti. Infine, ma non per importanza, Bitdefender prevede che il 2018 sarà l’anno in cui i malware writer dedicheranno un interesse ancora maggiore agli strumenti per aggredire i sistemi macOS.

Bitdefender Hypervisor Introspection, per la protezione dagli attacchi avanzati

Nel corso della presentazione svoltasi a Milano qualche giorno fa, Bitdefender ha presentato la sua nuova soluzione per aiutare le aziende a proteggersi dagli attacchi avanzati: Hypervisor Introspection.

Liviu Arsene, senior e-threat specialist di Bitdefender, ha spiegato che ormai – nel mondo della sicurezza informatica – alcuni aspetti dovrebbero ormai essere conosciuti dai responsabili e dai decisori aziendali. In particolare:

– Vulnerabilità conosciute e sconosciute possono essere utilizzate da parte dei criminali informatici per violare l’infrastruttura dell’azienda.
– Esistono exploit mantenuti segreti dalle agenzie governative (ma spesso rastrellati nel corso di attacchi mirati) che possono essere sfruttati per aggressioni di massa come negli APT.
– Una vulnerabilità irrisolta può potenzialmente esporre i dati di milioni di clienti o utenti.
– Le attuali soluzioni per la sicurezza a livello di endpoint sono spesso inadeguate per rispondere tempestivamente alle minacce più nuove.

Bitdefender Hypervisor Introspection (HVI) è la prima soluzione (sviluppata in collaborazione con Citrix) in grado di mettere a nudo eventuali violazioni della memoria che gli strumenti di sicurezza per endpoint non riescono a riconoscere, analizzando direttamente le linee contenute in memoria in formato raw e garantendo che esse non vengano alterate dai malware.

La protezione esercitata da HVI è particolarmente interessante ed efficace perché è esterna al sistema operativo, non presuppone l’installazione di alcun agent sulle singole workstation e macchine server operando a livello di hypervisor.
Bitdefender HVI espleta un isolamento forzato a livello hardware e non può essere quindi disattivato o compromesso da rootkit o altre minacce che operano sul kernel del sistema operativo.

A titolo meramente esemplificativo, Arsene ha dimostrato come la soluzione di Bitdefender sia in grado di bloccare tempestivamente qualunque minaccia capace di utilizzare strumenti di movimento laterale come EternalBlue.

Proprio perché non si basa su agent, HVI è compatibile con qualunque soluzione per la sicurezza in uso a livello aziendale ed è in grado di produrre un avviso non appena dovesse essere rilevata una violazione della memoria, fornendo un rapporto dettagliato sulla sequenza dell’attacco (con l’indicazione dei processi colpiti, il tipo di violazione e la cronologia dell’aggressione).

HVI cambia l’approccio al problema della sicurezza concentrandosi sulle tecniche utilizzate nei moderni attacchi e bloccando sul nascere heap spray attack, code injection, function detouring, API hooking e così via.

Oltre quindi ad avere un impatto minimo in termini prestazionali, HVI permette di spazzare via i punti deboli relativi alla sicurezza della rete aziendale e dei dispositivi ad essa connessi.

La proposta di Bitdefender per proteggere efficacemente gli endpoint

Denis Cassinerio, regional sales director per l’Italia di Bitdefender, ha poi acceso un faro sulla soluzione per la protezione degli endpoint.

Come abbiamo accennato nell’introduzione, gli endpoint continuano ovviamente a rappresentare la “porta d’accesso” preferita alla struttura aziendale da parte dei criminali informatici.

Basti pensare che il 62% dei malware vengono installati con il classico “doppio clic” su allegati malevoli ricevuti sui propri account di posta e che il 92% degli attacchi phishing è seguita dall’installazione di qualche software dannoso sul client dell’utente.

Gli attacchi fileless, ovvero quelli che hanno successo senza neppure memorizzare alcun file a livello di file system, usano sempre più la RAM e il registro di sistema di Windows e hanno luogo sfruttando falle dei browser web, mentre si visitano pagine web che ospitano kit per l’exploit delle vulnerabilità, quando si usano versioni non aggiornate dei vari plugin per il browser.
Sfruttando questo tipo di approccio, il codice malevolo viene semplicemente caricato in memoria e ed eseguito da lì.

Bitdefender propone quindi una soluzione integrata – GravityZone Endpoint Security HD – che sfrutta un approccio adattivo sul singolo endpoint e che, grazie al modulo HyperDetect, attiva una protezione in fase di pre-esecuzione per i malware e a livello di runtime nei confronti degli attacchi fileless.

Bitdefender HyperDetect poggia su modelli per il machine learning di provata efficacia, su una solida euristica e sul rilevamento delle minacce verificandone il comportamento.

La nuova soluzione presentata da Bitdefender è quindi un’ottima risposta nei confronti degli attacchi mirati (APT), dei file sospetti e del traffico di rete anomalo (macro, script,…), dei codici exploit, dei ransomware e dei greyware (software che “gravitano” in quell’area grigia compresa tra i malware e i programmi legittimi).

L’approccio innovativo presentato da Bitdefender aiuterà certamente le aziende ad attrezzarsi per tempo anche in vista degli adempimenti previsti dal nuovo regolamento europeo (GDPR) proteggendo efficacemente i dati degli utenti e le loro identità digitali.

Per maggiori informazioni, è possibile far riferimento al sito ufficiale di Bitdefender.