RANSOMEWARE: HOWTO
Alzi la mano chi tra noi non ha mai sentito parlare di ransomware!
Con questa uscita, ancora oggi, un relatore potrebbe vedere mani alzate in platea!
Risultato diverso invece si otterrebbe con nomi come Cryptolocker, Wannacry, Petya…
Fino a qualche tempo fa si collegavano questi nomi ad eventi capitati ad altri; oggi invece capita di sperimentarne di persona l’irruenza prima ancora di sentirne parlare in TV o da conoscenti.
Parliamo quindi di ransomware. Conoscerli è il modo migliore per proteggersi e tornare a sentirne solo parlare!
VELOCITA’
La caratteristica di tutti i ransomware è la velocità. Sono veloci a propagarsi e ancor di più a fare danni.
Solo fino a quando i produttori di software di sicurezza non avranno terminato di analizzare il fenomeno (Exploit) e attuato le dovute contro-difese, i creatori dei ransomware guadagneranno coi riscatti. E’ per questo motivo che la velocità è un elemento fondamentale.
Le minacce ancora senza cura oggi hanno il nome di “zero day”.
DIFFUSIONE
La propagazione può avvenire in modi diversi:
Via mail: All’utente arriva una mail contenente un link che, una volta cliccato, scarica ed esegue il ransomware sul proprio device. Può capitare anche che il codice spedito via mail sfrutti le vulnerabilità dei client di posta e riesca ad eseguire il processo malevolo automaticamente.
Navigando su siti web: Evitare che gli utenti navighino su siti pericolosi è necessario ma spesso non basta. Non tutti i siti web sono catalogati ed è una buona best practice, seppur drastica, bloccare la navigazione a siti non catalogati dai sistemi di sicurezza.
Sfruttando falle di sicurezza del sistema informativo: In Internet esistono software malevoli chiamati “robot” con la capacità di identificare le vulnerabilità dei siti/firewall aziendali e in grado di “innestare” il ransomware in azienda.
L’esperienza dei rivenditori IT aiuta le aziende a prendere le dovute precauzioni nell’esporre i servizi B2B o B2C in tutta sicurezza.
Il ransomware arriva quindi in azienda in due modi: via mail e via web. L’approccio corretto è proteggere sia la posta che il web.
Proteggere uno solo dei due elementi non basta, è inutile, sarebbe come non fare nulla.
Esempio:
A un utente arriva una mail senza allegati. E’ una mail grafica e ben formattata. Pare una bolletta di un provider di energia.
Non essendoci allegati, il sistema antivirus della posta non ha bloccato la mail; anche il sistema antispam non l’ha bloccata in quanto proveniente da un mittente non conosciuto.
Il form chiede di cliccare un link per verificare i propri dati di fornitura energetica. In realtà il link è di tipo https e punta direttamente ad un eseguibile che viene scaricato ed eseguito in modo silente sul computer.
L’utente dopo aver cliccato la prima volta il link non vede nessun sito aprirsi e riprova una seconda volta.
Spazientito lascia stare ma il ransomware è in esecuzione sul suo computer per ben due volte e sta agendo indisturbato.
La mail è passata senza problemi. Dato che non è stata fermata è probabile che siamo di fronte ad uno zero-day (vedi sopra). Il sistema di controllo web non ha bloccato nulla. Il motivo potrebbe essere che non è in grado di controllare il traffico https oppure che non ha servizi di controllo efficaci.
PROTEZIONE A DUE LINEE DI DIFESA
Ecco quindi come funziona la protezione a due linee di difesa.
1) MAIL
La nostra prima linea di protezione deve essere attiva sulla porta principale, la posta.
I sistemi antispam e antivirus che proteggono i sistemi di posta oggi devono avvalersi anche di motori di rilevamento avanzati con supporto per il sandboxing (detonazione automatica degli allegati pericolosi).
Ricordiamoci però che il miglior cocktail di protezione della posta elettronica rimane sempre un buon sistema di mail security ed una buona formazione comportamentale del personale.
Mail malevoli riusciranno sempre a filtrare per qualche ragione ed è per questo motivo che va sempre considerata una seconda linea di difesa.
2) WEB
La seconda linea di difesa entra in gioco quando la prima ha fallito.
Sia per i casi di minacce che riescono a bypassare il sistema di controllo delle mail sia per la navigazione Internet degli utenti, un sistema di web security è necessario ad ogni azienda, grande o piccola che sia.
I FIREWALL DI TIPO UTM SONO LA RISPOSTA
Oltre alle funzioni di firewall tradizionali, gli UTM (Unified Threat Management) integrano tutti i moduli necessari alla protezione da ransomware, spyware, virus, botnet, attacchi via rete coadiuvati dal controllo dei contenuti e dal sandboxing dei file scaricati via web. Ecco cosa è necessario abbia un Firewall UTM al giorno d’oggi:
- identificazione trasparente dell’utente che naviga: il firewall UTM deve sapere chi accede ad Internet per farne il corretto log e reporting.
- decifratura del traffico SSL (DPI SSL): il firewall UTM si pone tra l’utente ed il sito web che viene visitato ed è in grado di controllare il traffico criptato in transito. Il 50% dei siti mondiali utilizzano solo connessioni di tipo https , anche i link malevoli che arrivano via mail sono sempre più spesso in https.
- controllo antivirus di tutti i file che vengono scaricati
- controllo degli spyware: il Firewall UTM deve essere in grado di identificare e bloccare le applicazioni nate per sottrarre informazioni agli utenti (password, dati personali, etc.). Vi è mai capitato di fare delle ricerche in rete per poi scoprire che quelle informazioni vengono usate per proporvi della pubblicità? Ecco…
- controllo dei botnet: il botnet è composto da un controllore (master) e un controllato (slave).
Il codice slave viene distribuito su computer/device in Internet da hacker/cracker e può essere eseguito attraverso il controller. In pratica si possono portare attacchi ad enti, istituzioni, portali o aziende concorrenti usando computer e device all’insaputa dei proprietari. Sono ormai famosi gli attacchi DDoS verso centrali elettriche, testate giornalistiche, siti governativi americani e portali di contenuti multimediali. I sistemi anti botnet dei firewall UTM bloccano le comunicazioni slave e master dei botnet e la loro proliferazione. - Intrusion prevention: questo modulo, controllando il traffico di rete da e verso internet, consente il blocco di protocolli di rete malevoli o applicazioni malevoli tipo worm.
- Sandboxing: il modulo sandboxing di un UTM viene utilizzato nel caso in cui i file scaricati attraverso i link delle mail o attraverso i normali download non vengano riconosciuti dal motore antivirus del firewall. In questo caso il file di norma viene detonato in cloud per determinarne l’effettiva pericolosità. Il sandboxing è un efficace protezione per le minacce zero-day.
- Content Filtering: questo modulo previene la navigazione degli utenti su siti pericolosi mediante la categorizzazione del web da parte di team o robot specializzati.
MA TUTTO QUESTO NON BASTA
Fondamentale per la protezione, oltre alla già citata formazione e presa di coscienza degli utenti, è l’applicazione regolare degli aggiornamenti rilasciati dai vari produttori software: molto spesso infatti i ransomware sfruttano vulnerabilità note di applicazioni e sistemi operativi, per i quali sono già state rilasciate le opportune fix: bastava applicarle…
Di certo aiutano anche soluzioni di erogazione dei servizi IT che abbiano caratteristiche intrinseche di sicurezza, ad esempio utilizzare thin client anziché normali PC, connessi ad ambienti virtual desktop gestiti centralmente nei quali gli utenti hanno permessi limitati.
E bisogna comunque prendere in considerazione l’eventualità che, nonostante tutte le misure adottate, qualche evento malevolo ci possa ugualmente colpire e si debba quindi poter contare su una soluzione di backup/restore che ci permetta di limitare i danni, o su soluzioni storage evolute che mantengano in modalità nascosta “fotografie” precedenti dei dati, prese ripetutamente e a brevi intervalli.
LA NOSTRA PROPOSTA
Come si capice la soluzione è chiaramente un mix di conoscenze, tecnologie e formazione che va portato avanti nel tempo coi nuovi moduli di sicurezza che mano a mano vengono introdotti e che il mercato della sicurezza propone.
Surftech si avvale di nomi come SonicWall, Kaspersky Lab, Cybonet, Vasco, Citrix, IBM, NetApp e Arcserve per ottenere la protezione da minacce a 360 gradi.
