Analisi

Nuove tecniche per aggirare i sistemi di sandboxing

Nathan Shuchami, Head of Threat Prevention di Check Point, fa il punto sui trend delle minacce e illustra la tecnologia di identificazione basata sul paradigma “CPU-level”

Pubblicato il 19 Mag 2015

nathan-shuchami-head-150525100439

Nathan Shuchami, Head of Threat Prevention in Check Point Software Technologies

La cyberguerra infuria, raggiungendo oggi livelli senza precedenti e definendo uno scenario di trasformazione delle minacce in continuo mutamento. Queste ultime, stanno diventando più sofisticate e frequenti di anno in anno, avverte Nathan Shuchami, Head of Threat Prevention in Check Point Software Technologies.

Al punto che, nel 2014, sono state raggiunte oltre 100 mila varianti di malware prodotte giornalmente. I mattoni basilari per costruire un sistema di difesa, spiega, sono gli IPS (intrusion prevention system), gli antivirus, gli anti-bot, oltre ai sistemi di threat emulation, che servono a bloccare gli attacchi ’zero-day’ e il malware sconosciuto (di cui non è disponibile una ’signature’) che si annida nei file.

Il problema è che le soluzioni di threat emulation ’OS-level’, operando a livello del sistema operativo, non riescono a individuare il 100% delle minacce, in quanto gli hacker hanno sviluppato tecniche per evadere i sistemi di sandboxing e i prodotti di threat emulation.

Ad esempio, esiste malware in grado di agire in modalità differita nel tempo, di essere eseguito allo spegnimento o al riavvio delle macchine, di riconoscere gli ambienti virtuali inattivandosi, o di rilevare i comportamenti dell’utente.

Proprio per innovare i sistemi di threat prevention, Check Point a febbraio ha acquisito Hyperwise, startup nel settore della security guidata in precedenza dallo stesso Shuchami, e creatrice di una tecnologia proprietaria di analisi basata su un paradigma di tipo ’CPU-level’ in grado di complementare l’analisi OS-level, riuscendo a eliminare, dichiara Check Point, il 100% delle minacce.

In sostanza, questa tecnologia è in grado di monitorare le istruzioni eseguite a livello della CPU. Il controllo a livello del processore è attuato con un determinismo tale da identificare immediatamente, in uno stadio di pre-infezione, gli exploit che stanno cercando di bypassare i meccanismi di sicurezza del sistema operativo.

«Quando gli hacker spediscono file di dati contenenti malware, ogni sistema operativo moderno è creato per prevenire in automatico l’esecuzione del codice malevolo insito nel file. Ad esempio, nel caso di un documento in formato PDF, il sistema operativo non permetterà il lancio del codice eseguibile eventualmente presente, perché tutti gli SO possiedono tale capacità nativa. Quindi l’attacco deve partire con qualcosa che forzi il processore a eseguire il codice malevolo».

Monitorando le attività sulla CPU diventa dunque possibile identificare operazioni e comportamenti anomali del codice. «Così facendo possiamo individuare il vero inizio dell’attacco, prima che il malware venga eseguito sulla CPU. E questa è una rivoluzione nel modo in cui possiamo aiutare le organizzazioni a identificare attacchi sofisticati» chiarisce Shuchami.

E-mail e Web browsing, vie maestre di accesso

La threat prevention? «È un termine generico che usiamo per descrivere le tecniche per individuare chi cerca di accedere all’infrastruttura IT dell’organizzazione utilizzando file malevoli, veicolabili in diversi modi, ma principalmente via e-mail – mezzo molto popolare di comunicazione all’interno e all’esterno di un’azienda, quindi da considerarsi un vettore di attacco molto serio – e attraverso la navigazione su Internet, che può condurre al download di malware. Queste sono le maggiori aree di preoccupazione che la threat prevention ha il compito di affrontare».

E la ragione per cui questi attacchi fanno molta paura è che sono relativamene facili da sferrare per i criminali, inviando a un’organizzazione grandi volumi di e-mail con attachment ’invitanti’.

È sufficiente che un singolo dipendente poco attento ai rischi faccia doppio click su uno di questi file, per infettare l’endpoint, da cui il malware può entrare nella rete, propagandosi e creando vari danni. Shuchami fa l’esempio di una grande banca con migliaia di addetti, e con un reparto risorse umane che giornalmente riceve i curricula e deve aprire tali file. «Qui, per definizione, si ricevono file da persone che non si conoscono, quindi è immaginabile quanto sia teoricamente facile per un hacker inserire del malware nel documento PDF del curriculum, e poi spedirlo via e-mail al reparto HR dicendosi interessato a quella data posizione lavorativa».

Naturalmente, il problema diventa di molto diversa portata, a livello di rischi, quando si tratta di e-mail interne, ad esempio di una e-mail che il CFO spedisce al CIO.

Forze del malware

Il significativo incremento delle minacce sconosciute è divenuto un problema davvero serio per le organizzazioni, che devono combattere quotidianamente con gli attacchi.

L’abilità di usare algoritmi polimorfici e creare permutazioni del malware in maniera quasi automatica, spiega Shuchami, è resa possibile dalla disponibilità di molti sofisticati toolkit scaricabili da Internet, e ciò amplifica il problema della threat prevention.

In aggiunta, continua l’esperto, esistono due forze fondamentali che contribuiscono a ingigantire il fenomeno. Una è quella rappresentata dalle istituzioni e agenzie nazionali per la sicurezza informatica che, finanziate dai governi, stanno ora investendo significativamente in sofisticati sistemi di cyberattacco, percepiti ormai alla stregua di armamenti strategici, in grado di procurare significativi danni alle infrastrutture critiche di un paese.

«La ’electronic warfare’ è la modalità tradizionale e appartiene alla vecchia scuola. Oggi le nuove tecniche consistono nell’impiantare cyberbombe dentro le reti IP di facility il cui funzionamento è fondamentale per una nazione, come i sistemi di distribuzione di energia elettrica, acqua e gas, le infrastrutture IT di borse e istituzioni finanziarie, i sistemi di gestione del traffico. Una volta che si riesce a far detonare queste infrastrutture, diventa possibile paralizzare un paese. Ciò, naturalmente, in coordinamento con la tradizionale guerra fisica».

La ricerca e la conoscenza tecnologica finanziata dalle varie nazioni nel mondo conduce a sferrare gli attacchi piu sofisticati. «Poi, tale conoscenza prolifera poiché, ad esempio, alcuni addetti ed esperti di cybersecurity occupati nelle agenzie nazionali, quando lasciano queste posizioni lavorative ne trovano talvolta altre in società come Check Point, Symantec o McAfee; altri ancora possono unirsi alle organizzazioni di cyber-criminali».

L’altra forza di diffusione del malware è costituita dai singoli individui. Oggi, come si diceva, è relativamente facile estorcere denaro inviando e-mail con malware a grandi numeri di utenti. E i target degli attacchi? Check Point ha realizzato un’applicazione che mostra una mappa in tempo reale di dove stanno avvenendo gli attacchi nel mondo. «Vi è meno interesse a colpire quei paesi che hanno minor visibilità economica». Ma, conclude, se si parla dei paesi del Terzo Mondo, l’interesse di giganti come Cina, Russia, Stati Uniti, Europa all’ottenimento di una fetta del loro business, e gli effetti della globalizzazione, coinvolgono in modo crescente anche queste nazioni.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2