Websense allerta sugli assedi al forziere dei dati

All'evoluzione delle modalità di attacco, silenti e mirate, il vendor risponde con la nuova versione di Triton, basata sul sandboxing di url, applicativi e email

Avatar di Loris Frezzato

a cura di Loris Frezzato

Il panorama odierno degli attacchi molto si discosta rispetto a quello di qualche, anche pochi, anni fa. I virus continuano ad esistere, certamente, ma per la maggior parte dei casi i rimedi a questi attacchi sono già attivi.

Il vero pericolo, oggi, deriva da attacchi che sono più subdoli, meno evidenti e, ovviamente, molto più pericolosi, andando a toccare direttamente il valore dei dati degli utenti.

La premessa di una situazione in piena evoluzione della sicurezza informatica è di Emiliano Massa, director regional sales per Italia e Spagna di Websense, che evidenzia come ormai ci si debba abituare a vedere sempre meno casi eclatanti di infezioni virali, con azioni mirate e silenti che, tra l'altro, rischiano di allentare l'attenzione generale su un problema che, invece, diventa sempre più pericoloso e volto a colpire i dati più preziosi, se non addirittura direttamente il denaro degli utenti.

Emiliano Massa - director regional sales per Italia e Spagna di Websense

"Si tratta di un vero e proprio assedio - avvisa -, che dura molto tempo, finchè riesce a trovare una breccia. Non vengono coinvolti virus, ma pezzi di codice che si vanno a installare sui sistemi operativi e che agiscono in maniera silente. Ed è una modalità di attacco che sta cambiando radicalmente lo scenario conosciuto, a causa di un'inefficacia delle tradizionali barriere di sicurezza, solitamente basate sulla detection di una signature, che non la riconoscono".

"Questo è un approccio che ormai non vale più: i virus sono intercettabili abbastanza facilmente e non rappresentano più una fonte di guadagno per il cybercrime, che onvece ora può dedicarsi ad altre attività che gli consentono di prelevare credenziali dell'utente per rubarne i dati, o tenerlo in riscatto o, ancora, entrare nel sistema aziendale in maniera insospettabile".

Le brecce d'ingresso al fortino dei dati aziendali sono varie, e non solamente riscontrabili nel sistema operativo ma, sempre più, negli applicativi, in special modo quelli non aggiornati alle ultime versioni, sui quali la criminalità ha avuto tempo e modo di operare.

"Quindi si sfruttano le 'porte' aperte dalla vulnerabilitá per inoculare del codice maligno - interviene Ferdinando Mancini, responsabile tecnico di Websense -. Queste sono ormai le fasi comuni a tutti gli attacchi odierni, tutti orientati ad attingere a dati sensibili, con motivazioni diverse: dal mero guadagno all'attivismo sociale o politico".

E a queste nuove minacce Websense risponde con la versione 7.8 di Triton, una major release del proprio software per la protezione dagli attacchi mirati e gli APT (Advanced Persistant Threath), basato su un approccio, come quello della sandboxing, che consente di analizzare applicativi sospetti in aree esterne e protette, che replicano l'ambiente reale, prima di farle accedere al sistema aziendale.

"Si parla di attacchi avanzati, molto mirati, in perfetta lingua italiana, quindi insospettabili, su obiettivi di cui si conoscono bene gli usi – prosegue Mancini -, e che la loro apparente familiarità gli consente di passare indisturbati attraverso i normali sistemi di sicurezza. Furti e perdita di dati è il vero obiettivo di questi attacchi, dati che possono avere un alto valore sul mercato e che possono essere rivenduti con guadagno. Attacchi che sono, quindi, mirati e persistenti, che necessitano un monitoraggio dei comportamenti degli utenti in rete, oltre che di un approccio più spinto, che Triton 7.8 riesce ad effettuare in real time".

E se le grandi aziende contano di essere adeguatamente protette, richiedendo sforzi della criminalità troppo dispendiosi, sempre più spesso si ricorre a degli attacchi indiretti, 'di filiera', partendo dalla piccola azienda meno protetta per arrivare a quella grande con cui ha qualche rapporto, come fornitore o cliente.

Fondamentale rimane, comunque, l'educazione a un comportamento sicuro degli utenti, che rappresenta sempre il primo livello di sicurezza. Dopodichè interviene la tecnologia: "Sono diversi gli strumenti a disposizione all'interno di Triton – spiega il responsabile tecnico – consentendo l'analisi del Web, dell'email, o effettuando anche sandboxing delle url e delle email stesse, attraverso ThreatScope, che è una nuova modalitá che caratterizza la versione 7.8, rappresentando una sorta di ambiente di test che monitora come si comporta il file sospetto".

"A questo si aggiunge poi RiskVision, per il monitoraggio delle attivitá giá in essere delle soluzioni di Websense Triton tradizionali, utilizzando tecniche comuni di sicurezza, ma anche controllando ciò che l'utente manda all'esterno, con un'attenta analisi del traffico".