Si protegga chi può
Alcuni vendor di sicurezza si sono prodigati a informare che i loro sistemi di protezione avrebbero potuto bloccare l'attacco. Per esempio, McAfee e Intel hanno sviluppato una tecnologia hardware avanzata che blocca i rootkit MBR prima che abbiano la possibilità di prendere il controllo dei dispositivi e diffondersi ulteriormente.
Trend Micro ha sottolineato il blocco del malware contenuto nelle email di spear phishing, che ha protetto gli utenti di Deep Discovery, evidenziando, in particolare, che le capacità di network detention e analisi della sandbox personalizzata di hanno permesso di rilevare le email, identificare il malware che contenevano e scoprire i siti esterni di comando e controllo (C&C) utilizzati dai cybercriminali in questa particolare occasione.
A questo proposito, è bene osservare che il sandboxing semplice, non supportato da una capacità di analisi 'comportamentale' del codice, può non essere sufficiente. Come ci ha rivelato Websense nel suo rapporto sulle minacce 2013, infatti, i malware si fanno sempre più 'intelligenti': oltre ad agire a tempo, alcuni di essi analizzano lo stato del pc ospite, alla ricerca di vulnerabilità.
Si tratta di codici sofisticati, più pesanti di quelli tipici del passato, che sfruttano la larga banda per scaricare più exploit con una logica modulare: trovato un punto debole usano la componente maligna più adatta a compromettere quel determinato pc.
Per sconfiggere questi malware di ultima generazione occorrono dunque capacità di detection sofisticate, in grado di analizzare a fondo le funzionalità del codice. Non a caso tutti i principali produttori stanno sviluppando e integrando funzionalità di security intelligence a più livelli.