Per minimizzare gli effetti di un attacco di malware esiste un certo numero di tecnologie/servizi, ma l'efficacia di tali tool aumenta in modo considerevole se sono affiancati da policy e procedure adeguate (ad esempio l'auditing).
Passiamo in rassegna alcuni dei criteri di selezione che dovreste seguire nel caso vi trovaste a valutare le predette tecnologie per il deployment nella vostra impresa ma anche le sfide che dovreste affrontare nel momento della loro messa in opera.
Tool di sicurezza
Antivirus e antispam
sono oggi di gran lunga i prodotti più economici per rendere
minimi gli effetti di un attacco di malware. In oltre l'80%
dei casi, questi prodotti hanno mostrato di essere molto
efficaci nella riduzione della mera quantità di malware che varca i vostri
confini. Queste tecnologie rappresentano perciò un grande valore per i vostri investimenti in
sicurezza. Dovete però conoscere con precisione qual è l'ambito operativo
della vostra azienda, per tarae al meglio il filtro antispamming (può essere perfettamente
ragionevole bloccare immagini di nudo se siete nel settore finanziario, ma non si
può dire altrettanto se operate nella sanità).
I filtri Web bloccano l'accesso ai siti che contengono una quantità enorme di codice maligno, rendendo teoricamente pressoché nulla la quantità di malware che potrebbe penetrare nei Pc degli utenti della vostra azienda quando questi visitano i siti Internet. I filtri Web, inoltre, minimizzano l'esposizione di un'impresa ai rischi legali derivanti dall'accesso a siti Web pornografici o inadeguati.
Una volta entrato nell'azienda, per diffondersi e raggiungere il suo scopo il malware deve attraversare la vostra rete. Di conseguenza, potreste inserire all'interno del network tecnologie quali un honeynet (una sorta di trappola con vulnerabilità create ad hoc), sistemi di intrusion prevention e di intrusion detection, uno spammer tar pit (plugin che identifica commenti di spammer conosciuti) o un virus throttle (un programma che riduce la diffusione e i danni causati da virus e worm). Tutti questi accorgimenti rilevano e/o ridirezionano (honeynet, IDS/IPS) oppure rallentano (tar pit/virus throttle) la diffusione del traffico malware attraverso la rete della vostra impresa.
Il desktop è il più comune punto di deployment per i tool anti-malware. L'antivirus desktop può essere considerato come la prima generazione di metodologie per mitigare gli effetti del malware. È un software tipicamente basato sull'aggiornamento delle firme ed è reattivo ovvero agisce sempre come rimedio. I vendor di antivirus stanno però ora sviluppando una nuova generazione di prodotti che sta privilegiando un comportamento basato sulla rilevazione e quindi sulla prevenzione e ciò sta spostando questa tecnologia verso un'azione proattiva.
I firewall sono stati aggiunti in un secondo tempo e sono considerati una tecnologia di seconda generazione. Oggi però bisogna aprire troppi “falle” nei firewall per consentire ai dati delle applicazioni legittime di attraversarli.
Lo strato di intrusion prevention (IPS) è l'aggiunta più recente a livello di desktop. L'IPS protegge il kernel e fornisce un livello di difesa accettabile contro gli attacchi. L'ultima tendenza è di creare un unico agente per il desktop che contenga tutti e tre precedenti moduli.
Criteri di selezione del vendor
In che modo selezionate il fornitore? Di seguito elenchiamo
alcuni criteri di verifica che dovreste prendere in considerazione.
- Efficacia del prodotto - Il prodotto assicura la protezione che il fornitore promette?
- Sicurezza del prodotto - L'offerta è davvero sicura? Se dispone di una console di amministrazione Web based, può essere compromessa? Permette che trapelino user name e password in formato testo attraverso il file di paging?
- Facilità di installazione - L'installazione richiede assolutamente l'intervento di professionisti o questa è solo un'opzione facoltativa?
- Amministrazione centrale - Il deployment globale richiede un'unica o molteplici console? In quest'ultimo caso, l'amministrazione può gestire tutto tramite una sola console?
- Integrazione - Si integra con altre tecnologie di sicurezza? Tale aspetto sta diventando sempre più importante. Non possiamo più impiegare prodotti “stand alone”, nemmeno su scala globale. Il vostro antivirus deve comunicare con il vostro gateway, il quale deve colloquiare con il vostro IPS.
- Scalabilità - Alcuni prodotti antivirus hanno server di policy che possono gestire 5.000 utenti, mentre altri arrivano addirittura a 100.000.
- Usabilità - Sia per l'utente finale sia per l'amministratore, quant'è facile da manutenere e usare il prodotto? In altre parole, quanto grava sul total cost of ownership? Ci sono wizard per la creazione di regole e polcy oppure bisogna agire tramite il prompt dei comandi di Linux?
- Reporting - Questo aspetto sta diventando sempre più importante dal punto di vista regolatore. Quanti report preimpostati fornisce? Potete creare facilmente report personalizzati? Tali report possono essere esportati facilmente e in che formato? I tempi dei semplice file CSV sono ormai un lontano ricordo, oggi gli amministratori di sicurezza sono obbligati a ricreare in un foglio elettronico le tabelle e i grafici che già esistono sulla console.
- Strutture di costo - Il pricing è per postazione, per server o per appliance?
Sfide
Come
professionisti di sicurezza, dobbiamo ricordarci sempre che siamo nel business
delle vendite più che in quello della sicurezza. Questa potrebbe
sembrare un'affermazione di poco conto, ma assume tutt'altro valore quando per
la prima volta dovete usare un gateway per bloccare l'accesso a un sito,
del quale i vostri colleghi hanno assoluto bisogno per presentare i risultati
del loro lavoro entro una determinata scadenza. Dovete consentire al vostro
business di funzionare in modo efficace. E questo potete farlo solo rendendolo
sicuro.
I falsi positivi saranno un grande problema durante il deployment iniziale dei gateway e delle tecnologie di IDS/IPS. È necessario parecchio tempo perché entrino in sintonia.
Usabilità contro sicurezza: è cruciale sia per gli utenti finali sia per gli amministratori trovare il giusto equilibrio. In effetti, quello che dovete cercare di fare è di equilibrare le necessità del business con le esigenze di sicurezza. Per esempio, le applicazioni Microsoft-based richiedono che diverse porte rimangano aperte nel vostro firewall desktop. Come si può minimizzare il rischio di sicurezza di tali porte che potrebbero essere potenzialmente usate da molti worm a rapida diffusione? Come bloccale le applicazioni “insidiose” con il vostro IPS desktop? Potrebbero essere applicazioni legittime. Questo focus sul business richiede cicli molto più lunghi per il test e per il deployment.
Dovete infine considerare la capacità o meno di integrare queste tecnologie. Per esempio, è buona norma disporre di ID host-based che rilevano un attacco e trasmettono un segnale al gateway per bloccare dinamicamente il flusso del pacchetto in uscita. Si tratta di una nuova preoccupazione e va oltre la semplice creazione di una linea di difesa. Significa sviluppare un'architettura che utilizzi i punti di forza di ogni tecnologia come i tasselli di un mosaico, piuttosto che non come una pila di mattoni. Se dedicherete un po' di tempo a sviluppare una protezione di questo tipo, vi accorgerete che le vostre difese saranno più flessibili ma anche più tenaci
Conclusioni
Partite sempre da un gateway e integratelo con altri mezzi
di difesa. Usate la precedente lista di criteri di selezione per valutare la
tecnologia migliore per la vostra impresa. Siate severi durante i test, chi
scrive il malware non si pone problemi nel tentare di compromettere la vostra
impresa. Infine, non dimenticate mai che il reparto Edp è un supporto
all'organizzazione. Il nostro lavoro non deve mai ostacolare un obiettivo di
business. Al contrario, deve facilitare e rendere sicuro il perseguimento di
tali obiettivi.
