A cura di Laurence Pitt, senior security specialist EMEA, Juniper Networks
Stealth, ossia l’arte di rimanere invisibili: questa è stata la reale forza della natura anche prima che l’uomo facesse la sua comparsa sulla Terra. E successivamente, già molto prima che l’uomo imparasse a stare in posizione eretta, il suo istinto aveva capito che un ottimo sistema per restare vivo era rimanere in silenzio, nascosto alla vista e in favore del vento mentre osservava la propria preda. Così come in natura, l’arte di nascondersi continua a evolvere, anche e soprattutto quando si entra nel terreno del cyber crimine.
Il pubblico tecnico conoscerà senz’altro la legge di Moore e il suo ruolo nell’evoluzione della tecnologia. Ma forse, nel mondo della sicurezza, sarebbe meglio tracciare un parallelismo con l’Origine della Specie di Darwin, in particolare nelle pagine dedicate alla sopravvivenza delle forme di vita che più si sono adattate all’ambiente.
I cacciatori sanno da sempre che se ci si mostra alla preda probabilmente si resterà a mani vuote. Le cose non vanno molto diversamente nel mondo dei dati e della sicurezza di rete. Sono, infatti, ormai passati i tempi (almeno in termini di sviluppo) delle minacce come i worm Lovebug, Melissa, CodeRed e SQL/Slammer degli anni compresi tra il 1999 e il 2003, quando il malware era così evidentemente dannoso per la rete attaccata da essere facilmente individuato, identificato e rimosso. Una volta approntate le difese era poi relativamente semplice rimuovere un attacco dietro l’altro.
I professionisti della sicurezza hanno appreso la lezione e la protezione ha visto una straordinaria evoluzione nel corso degli ultimi anni. Ma, come succede in natura, la sfida tra cacciatore e preda non termina mai e, infatti, anche i cyber criminali hanno imparato velocemente a passare inosservati.
Inizialmente, ciò significava evitare di sferrare attacchi a tutti gli indirizzi IP di Internet o a tutti i server e gli indirizzi email. Ben presto, il malware ha imparato a nascondersi fino a diventare davvero invisibile, grazie all’adozione di tecniche di offuscamento e pezzetti di codice in movimento tali da inibire i normali sistemi di difesa (scansione dei file, nella maggior parte dei casi) nel riconoscimento del codice d’attacco. Poi è stata la volta della crittografia, per cui il mondo si è concentrato sull’identificazione dei packer più utilizzati. Nuovi intriganti termini come “steganografia” sono venuti alla luce, scomparendo e ricomparendo ciclicamente.
Oltre all’evoluzione delle minacce, anche la continua evoluzione dei modelli di computing ha avuto un ruolo cruciale nell’affinamento delle tecniche per rendersi invisibili. Tool di sistema ampiamente usati, comuni framework di sviluppo, librerie e applicazioni e servizi di amministrazione o anche semplicemente il modo in cui i sistemi operativi funzionano rappresentano nuove opportunità che i cyber criminali possono sfruttare per raggiungere i loro fini.
Usando questi tool, richiamandoli, chiedendo loro di eseguire una data operazione, creando uno script per far girare un modulo, lanciando altre funzioni, servizi o codici, gli amministratori di sistema possono eseguire qualunque operazione desiderino senza dover necessariamente scrivere un eseguibile. Lo stesso possono fare i cyber criminali, che non hanno più bisogno di implementare nulla, né di copiare un codice su un drive locale o sulla rete, garantendosi un anonimato assoluto ed evitando di essere intercettati dalle soluzioni di sicurezza oggi più utilizzate.
Quindi, come fare per impedire ai cyber criminali di usare quegli stessi strumenti che si utilizzano per amministrare, manutenere o addirittura migliorare la sicurezza?
Ad esempio, nel 2014 comparvero minacce che chiaramente utilizzavano tecniche avanzate per rimanere in memoria senza toccare i drive per sfruttare processi legittimi e, talvolta, per nascondersi al loro interno. Minacce come Kovter, la prima a utilizzare nel 2015 tecniche “fileless”, potevano già dare un’idea di cosa sarebbe successo in futuro: in altre parole, minacce praticamente non individuabili con la normale protezione end-point.
Da allora, abbiamo assistito a ulteriori sviluppi con la comparsa di minacce all’interno del BIOS o addirittura nascoste in un rootkit, progettate per girare come vere root su un dispositivo rimanendo sempre nascoste. Abbiamo visto diffondersi malware che sfruttano strumenti utili come Powershell e Microsoft MSHTA (tramite una variante di Kovter) e anche strumenti per l’amministrazione della sicurezza, come Metasploit, usati per creare e utilizzare indisturbati malware nascosti.
Chiaramente anche i giorni dell’attuale modello di sicurezza sono contati: la tecnologia end-point è passata dall’essere la prima linea di difesa all’estrema risorsa (volendo essere ottimisti!). Le aziende saranno costrette ad adattarsi alle nuove tecniche per identificare le minacce. Ma se non possiamo cercare il codice malevolo, cosa cercheremo?
Ovviamente non è possibile affermare che tutti sono o diventeranno dei criminali, ma sappiamo che qualcuno, in base al suo comportamento, è in effetti un criminale. Esattamente come avviene nel mondo reale, dobbiamo iniziare a cercare indizi del crimine nei dati, decidere cosa sia un crimine, capire quali azioni sono state compiute durante quel determinato crimine e, quindi, individuarne l’autore.
Osservare il ransomware, per esempio, è fondamentale: è normale per un umano contare centinaia di condivisioni su una rete? È un comportamento tipicamente umano sovrascrivere migliaia di file locali o addirittura remoti? Naturalmente no. È abbastanza ovvio che chi lo fa non è un essere umano e lo stesso si può dire per molte violazioni dei dati. Allo stesso modo, è accettabile per un database avere un tale volume di traffico verso un indirizzo IP interno o addirittura esterno alla rete? No di certo.
Se il malware vive all’interno dell’hardware o della rete, è solo attraverso una combinazione di analisi comportamentali – realizzate con l’ausilio di diverse tecnologie – che le organizzazioni potranno usare il machine learning e tool di advanced threat detection predittivi per individuare i rischi e agire prima che il danno si concretizzi.
È proprio questa la direzione in cui si sta muovendo l’industria della sicurezza. In Juniper Networks, ad esempio, vengono raccolte informazioni da migliaia di datapoint, correlando le attività monitorate sia da Juniper stessa sia da soluzioni di terze parti, aggiungendo contesto (sulla base delle esperienze precedenti), intelligenza e conoscenze provenienti da altre organizzazioni e fornendo alle aziende il sapere necessario per proteggersi da minacce in continua evoluzione.
Ancora una volta, chi riesce ad adattarsi è destinato a sopravvivere e in Juniper Networks la base per la sopravvivenza ha un nome: è la SDSN – Software-Defined Secure Networks che sfrutta analytics e intelligenza di rete cloud-based per identificare e rendere inoffensive le minacce, sia interne sia esterne, con metodi basati su policy implementate dinamicamente per attuare una protezione in tempo reale.
