Rodolfo Saccani, Security R&D Manager di Libraesva, ci mette in guardia contro i crescenti pericoli causati dalle minacce zero-day e da nuove varianti ransomware.
Le minacce zero-day sono in continua crescita, soprattutto per via del ransomware, un mercato sempre più florido che secondo le stime dell’FBI raggiungerà il miliardo di dollari nel 2017. Secondo il rapporto di IBM Security, nel 2016 il 40% delle mail di spam contenevano un ransomware, contro l’anno precedente in cui la percentuale era appena dello 0,6%. Una crescita netta che non si arresterà. La cosa non sorprende visto il giro d’affari che alimenta questo “business”, un business che recluta personale tecnico specializzato e competente in grado di realizzare malware sempre più efficace, con organizzazioni dotate di veri e propri servizi di “customer care” per assistere le vittime nella gestione dei pagamenti dei riscatti.
Questo business produce un continuo flusso di nuovi malware, in evoluzione costante e dal livello di sofisticazione tecnica crescente.
Il 2016 ha visto nascere 100 nuove famiglie di ransomware, ogni famiglia dà origine ad una grande quantità di varianti. Questo succede grazie all’ormai consolidato “terziario” del ransomware-as-a-service, che fornisce anche a chi è privo di competenze tecniche la possibilità di confezionare il proprio ransomware. Troviamo ormai anche su YouTube video pubblicitari di questi kit di sviluppo e il marketing del ransomware ha già adottato le tecniche del multilevel e dei programmi di affiliazione. Business is business.
Questo spiega perché sono decine di migliaia le nuove varianti di ransomware che sono state rilasciate nel corso del 2016. Decine e decine di nuovi ransomware, ancora non noti, che ogni giorno raggiungono le nostre caselle di posta.
E’ evidente quanto non sia più sufficiente bloccare malware già noto. La sicurezza oggi dipende soprattutto dalla capacità di intercettare malware ancora non conosciuto.
Nella sicurezza informatica così come in altre discipline – io ad esempio mi occupo da oltre un decennio di sicurezza del volo libero (deltaplano e parapendio) – i concetti alla base della sicurezza sono universali e validi in ogni settore. Ad esempio, definiamo “rischio” la probabilità che un determinato evento possa verificarsi moltiplicata per la gravità delle conseguenze, ovvero dipende sia dalla probabilità che un evento possa capitare che dalla gravità delle sue conseguenze e questi fattori non possono essere valutati separatamente. Un concetto un po’ troppo articolato per i messaggi di marketing che sono poi quelli che guidano la scelta di soluzioni tecniche da parte delle aziende.
Un altro concetto universale è quello della complessità. La complessità è sempre nemica della sicurezza. Non è forse la complessità dei nostri sistemi informatici a creare una superficie d’attacco così ampia? Quando parliamo di sistemi di protezione, che per definizione devono essere il più possibile affidabili e non attaccabili a loro volta, la complessità è un elemento da introdurre con cautela soppesandone i vantaggi in relazione alla inevitabile riduzione di sicurezza e affidabilità.
L’esperienza svolta quotidianamente in Libraesva ci consente di delineare alcuni punti fondamentali per l’efficacia di un sistema di email security:
– Un gateway di email security che analizza tutta la posta in ingresso all’azienda. Il gateway che riceve direttamente la posta dall’esterno è il punto più privilegiato per potersi difendere da attacchi: è lui a gestire direttamente la conversazione con i server remoti, ha visibilità sull’intero flusso di posta aziendale e può quindi fare analisi d’insieme oltre che di dettaglio, può ad esempio stabilire la reputazione storica dei singoli mittenti (intesi soprattutto come server e indirizzi IP di origine), può applicare policy sui volumi oltre che sul contenuto. Il gateway ha quindi a disposizione il maggior numero di informazioni possibili per massimizzare l’efficacia della protezione. Quella del gateway è anche la configurazione con un impatto minimo sul reparto IT: un’unica appliance da installare a monte del proprio server di posta con manutenzione minima o pressoché nulla se il sistema è affidabile. Il gateway può essere installato sia in cloud che on premise, non ci sono preclusioni di sorta, è un software che riceve la posta e consegna al mail server solo quella pulita. E’ una soluzione universale, efficace anche quando la propria posta è gestita da servizi cloud.
– Gli aggiornamenti dei motori di analisi e protezione devono essere costanti e automatici, per rispondere in tempo reale alle nuove minacce. I motori di protezione devono anche essere efficaci nel proprio contesto geografico perché i messaggi che veicolano gli attacchi sono in lingua e fanno riferimento a realtà nazionali e a volte anche locali spacciandosi ad esempio per operatori telefonici o fornitori di servizi locali. E’ fondamentale verificare che il sistema adottato abbia visibilità sul traffico specifico della propria realtà locale che, soprattutto nel caso del malware in lingua italiana, spesso resta sotto alla soglia del “rumore di fondo” dei motori antispam.
– Reattività. Nessun sistema è infallibile, deve quindi essere possibile segnalare in modo semplice e veloce sia i falsi positivi che i falsi negativi e il fornitore deve dimostrare di essere in grado di reagire aggiornando i motori in tempo pressoché reale.
– Semplicità di gestione, minimo impatto sui workflow aziendali, efficacia. Si tratta di tre aspetti che dipendono anche dalle scelte progettuali del prodotto scelto. La valutazione migliore la si fa con una prova sul campo, meglio ancora un test comparativo con il proprio sistema attuale. Il test comparativo consente infatti di confrontare in modo oggettivo, direi scientifico, l’efficacia di due o più sistemi. La soluzione “gateway” si presta benissimo ad essere sottoposta a test comparativi essendo del tutto trasparente.
Quanto sopra attesta quello che secondo noi può essere riassunto in un concetto unico: la sicurezza richiede pragmatismo. Il pragmatismo purtroppo non è un argomento di marketing particolarmente efficace e l’esperienza quotidiana con le aziende ci mostra che spesso una valutazione non pragmatica del problema sicurezza porta all’adozione di soluzioni sub-ottimali dal punto di vista dell’efficacia, spesso dall’impatto decisamente non trascurabile nei workflow aziendali, soluzioni la cui efficacia nel tempo non è costante. Tutto questo a fronte di costi di gestione, diretti e indiretti, non proporzionati.