Il sandboxing permette di identificare malware in modo sicuro. Ma è davvero così? Florian Malecki di SonicWall mette in guardia sui rischi che si corrono
Chi in azienda si occupa di sicurezza dovrebbe essere, almeno in teoria, sempre un passo avanti rispetto agli advanced persistent threat (APT). Il problema, osserva con numerosi punti a suo favore Florian Malecki, International Product Manager di SonicWall, che i rischi odierni sono non raramente come dimostrato dagli ultimi eventi in grado di bypassare le soluzioni anti-malware tradizionali mascherando le loro attività malevole.
Per identificare gli APT, i professionisti della sicurezza implementano tecnologie di advanced threat detection e protection, spesso con l’aggiunta di sandbox virtuali che permettono di analizzare in ambienti protetti il comportamento di file sospetti e individuare malware nascosti.
Tuttavia, le minacce sono sempre più sofisticate, e le tecniche sandbox di svariati, mette in guardia il manager non sono sempre all’altezza. Ben cinque, spiega nei paragrafi seguenti, le aree in cui le tecniche di sandboxing legacy non sono efficaci e cosa s dovrebbe fare per fronteggiare adeguatamente gli APT.
Innanzitutto va ricordato che un APT è un insieme di processi di hacking costanti e nascosti, spesso orchestrati da criminali che mirano a un target specifico. Queste minacce, che comprendono malware sconosciuto e non documentato e sono studiate per evolvere in modo polimorfo e dinamico, hanno l’obiettivo di estrarre o compromettere dati sensibili, comprese le informazioni di controllo e accesso. Che fare?
Cinque punti a cui porre attenzione
Innanzitutto, suggerisce Malecki, è imperativo comprendere l’importanza dell’analisi prima dell’infiltrazione. Alcune soluzioni di sandboxing non giungono a un verdetto prima che sia troppo tardi. In questo modo aumentano il numero di vettori possibili che un file malware eseguito può infiltrare dietro il perimetro. E’ importante che il sandbox consenta di catturare il codice sospetto e ne analizzi il comportamento con diversi engine in simultanea, e lo blocchi fino al verdetto finale.
Una seconda sfida riguarda l’analisi di file. Alcune soluzioni gateway sandboxing sono limitate in termini di tipologia di file o ambiente operativo che possono valutare e questo rappresenta una preoccupazione significativa dato che gli attacker continuano ad utilizzare file sempre più complessi per penetrare in rete. Quando si sceglie la soluzione sandbox bisogna quindi accertarsi che sia allineata con gli ambienti utilizzati e che non sia limitata nella sua capacità di analisi di file di qualunque genere.
E’ anche fondamentale notare che le soluzioni sandbox single-engine standalone non sono più adatte. Queste soluzioni sono un target primario per i cyber criminali e rappresentano un bersaglio facile per coloro che si avvalgono di tecniche di evasione. Inoltre, danno luogo a un gap significativo in termini analitici.
Per esempio, le analisi che valutano le chiamate tra applicazioni e sistemi operativi potrebbe essere meno granulari rispetto a quelle che studiano le chiamate tra hardware e sistemi operativi per il fatto che molte di queste sono nascoste agli strati applicativi. Molti IT manager cercano di evitare questo problema adottando tecnologie di sandboxing multiple, ma questo approccio aumenta la complessità di configurazione, le attività amministrative e i costi. Una tecnica più efficace è quella di integrare strati di diversi sandbox engine, piuttosto che adottare molteplici tecnologie di sandboxing.
Attenti ai dati cifrati
Un quarto aspetto da considerare sono le tecnologie di cifratura. Istituzioni finanziarie e tutte quelle che gestiscono dati sensibili hanno optato per il protocollo HTTPS. Oggi siti come Google, Facebook e Twitter e altri stanno adottando questa pratica. Anche se ci sono molti vantaggi nell’uso della cifratura internet, gli hacker hanno iniziato a sfruttare questa cifratura per “nascondere” il malware nel traffico codificato, spesso non ispezionato dai firewall aziendali.
Con la codifica Secure Sockets Layer (SSL) e Transport Layer Security (TLS) (SSL/TLS), o al traffico Secure Shell (SSH), i cyber criminali esperti possono cifrare le comunicazioni command and control e il codice malevolo per evitare i sistemi di intrusion prevention (IPS) e di anti-malware inspection.
Questi attacchi possono essere estremamente efficaci, semplicemente perché molte aziende non dispongono dell’infrastruttura necessaria per identificarli. Le soluzioni di network security tradizionali tipicamente non hanno la capacità di ispezionare il traffico SSL/TLS-encrypted, o le loro prestazioni degradano a tal punto che diventano inutilizzabili in fase ispettiva.
Ultimo, le attuali tecnologie di threat detection spesso riportano solo la presenza e il comportamento del malware. Una volta identificato il malware, spesso dopo che un sistema è stato compromesso, la risoluzione ricade sul dipartimento IT, lasciandogli il compito di trovare ed eradicare il malware e riparare i danni sui sistemi infetti, cosa che implica il creare e implementare rapidamente nuove signature malware per evitare nuovi attacchi al resto dell’organizzazione.
Un approccio utile
Mentre i sandbox legacy hanno svariati difetti, il principio sottostante, tranquillizza Maleck, i rimane però valido. Al fine di proteggere un’azienda dagli APT bisogna superare questi cinque ostacoli e il sandboxing sarà efficace.
Questo potrebbe comportare diversi passi come l’applicazione di analisi cloud-based a file sospetti al fine di identificare e bloccare minacce sconosciute all’esterno del gateway fino al verdetto.
La tecnologia sandbox dovrebbe in sostanza essere in grado di analizzare una vasta gamma di tipologie di file su diversi sistemi operativi, indipendentemente da dimensioni e tipologia di file. Infine, integrando diversi sandbox engine si potrà contrastare meglio gli APT, riducendo al tempo stesso costi e complessità.