Strategie per Mitigare le Minacce Persistenti Avanzate (APT) P.2

• Parte 1. Come mitigare le APT. Teoria applicata
• Parte 2. Top-4: le quattro strategie di base in grado di mitigare l’85% delle minacce
• Parte 3. Le ulteriori strategie di mitigazione. Per una vera protezione di tipo “bullet-proof”
• Parte 4. Uomo avvisato, mezzo salvato: la Strategia da adottare per il Rilevamento delle Minacce Persistenti Avanzate (APT)

Parte 2. Top-4: le quattro strategie di base in grado di mitigare l’85% delle minacce

Nella Parte 1 di questa speciale serie, abbiamo discusso in merito all’importanza che riveste la mitigazione delle minacce APT, evidenziando alcuni degli approcci e delle teorie che permettono di far fronte con successo a tale problematica; è stato da noi condotto, in particolar modo, un primo esame della Top-35 stilata dall’Australian Signals Directorate, documento in cui vengono elencate le possibili strategie di mitigazione, volte a contrastare le cyber-intrusioni mirate. In questa seconda sezione esamineremo in dettaglio l’approccio descritto nell’ambito della Top-4 relativa alle quattro Strategie di Mitigazione principali, grazie alle quali risulta possibile prevenire e contenere con successo almeno l’85 percento di tutti gli attacchi informatici di natura mirata.

Nella Parte 1, Kaspersky Lab ha suddiviso in quattro diverse aree logiche i 35 punti compresi nell’elenco delle Strategie di Mitigazione stilato dall’ASD; ognuna di tali aree chiave dovrebbe essere considerata parte integrante di qualsiasi efficace strategia di mitigazione delle minacce:

Dovrebbero essere tenute in debita considerazione tutte e quattro le diverse tipologie di Strategia ¹. I ricercatori di Kaspersky Lab hanno dimostrato che i cybercriminali ricorrono all’utilizzo di un’ampia varietà di tecniche, per accedere ai dati critici custoditi dalle imprese e dalle organizzazioni. Le società dovrebbero, pertanto, rispondere a tono, utilizzando una vasta gamma di strategie di mitigazione, che vanno dalla semplice formazione del personale all’implementazione di euristici altamente sofisticati e di avanzate tecnologie “in-the-cloud”, non lasciando nulla, proprio nulla, di intentato. È questa l’unica strada percorribile per riuscire a mitigare le attuali minacce APT.

Kaspersky Lab non si limita a proteggere dalle APT solo determinati componenti dell’infrastruttura IT. In qualità di organizzazione profondamente incentrata sulle attività tecnologiche, abbiamo provveduto ad associare le strategie di mitigazione, facenti parte del suddetto elenco, alla nostra visione di una strategia difensiva a più livelli, di elevata efficacia, che riteniamo possa allinearsi perfettamente alle misure di sicurezza e alle linee di azione suggerite dall’ASD. Per risultare davvero efficace una soluzione di sicurezza deve necessariamente prevedere vari livelli: il nucleo della stessa, costituito da una Protezione Anti-Malware di tipo avanzato, deve essere in effetti integrato da ulteriori livelli, nei quali operano appositi meccanismi di Mitigazione delle APT, quali Application Control (Controllo Applicazioni), Vulnerability Management (Gestione Vulnerabilità), ed altri ancora.

In aggiunta alla suddivisione delle possibili strategie in varie aree logiche, possono essere ugualmente effettuate specifiche classificazioni riguardo alle minacce informatiche, le quali si rivelano particolarmente utili nel processo di mitigazione di queste ultime. Sulla base dei dati statistici da noi raccolti ed elaborati nell’arco di un lungo periodo di tempo, possiamo stimare che circa il 67% dei tentativi di attacco venga eseguito attraverso il dispiegamento di virus conosciuti, per i quali già esistono le apposite firme di rilevamento, identificate e catalogate. Così, quando il file viene lanciato attraverso una blacklist, l’esecuzione dello stesso sarà immediatamente negata, in caso di matching. Kaspersky Lab si avvale, inoltre, di ulteriori tecnologie, appositamente progettate e sviluppate per rilevare i programmi malware ancora sconosciuti; tali soluzioni di sicurezza sono di fatto in grado di identificare, all’incirca, un ulteriore 32% dei tentativi di assalto informatico. Il rimanente 1% delle minacce, infine, risulta davvero cruciale; esso è in effetti costituito da malware di tipo avanzato, vera e propria linfa vitale per le APT. Le soluzioni di sicurezza IT adottate in seno alle aziende e alle organizzazioni in genere, dovrebbero essere in grado di mitigare tutte le possibili tipologie di minacce qui sopra descritte.

Per disporre di una protezione particolarmente solida ed efficace, occorre procedere all’implementazione di tutte le Strategie di Mitigazione contenute nella Top-35 stilata dall’ASD

Le soluzioni Kaspersky Lab coprono tre delle quattro strategie principali

Ben diciannove delle trentacinque strategie elencate nella tabella qui sopra inserita possono essere implementate ricorrendo all’utilizzo di software di sicurezza IT specializzati. I prodotti Kaspersky Lab sono in grado di coprire la maggior parte di esse e comprendono efficaci soluzioni tecnologiche per l’implementazione di tre delle quattro strategie chiave di mitigazione: Application Control/Dynamic Whitelisting (Controllo Applicazioni/Whitelisting Dinamico) e Vulnerability Assessment/Patch Management (Valutazione delle vulnerabilità/Gestione delle patch). Esamineremo in dettaglio, qui di seguito, tali tecnologie.

Si rivela di fondamentale importanza fornire agli amministratori di sistema la possibilità di gestire tutte le funzionalità a sostegno delle strategie di mitigazione attraverso un unico punto di controllo, particolarmente comodo e conveniente. Per quel che riguarda i prodotti Kaspersky Lab, in qualità di console centralizzata offriamo Kaspersky Security Center (KSC).

Il Whitelisting delle Applicazioni in Kaspersky Endpoint Security for Business & Kaspersky Security for Virtualization.

Il Whitelisting delle Applicazioni rappresenta la strategia in assoluto più “pregiata” che qualsiasi organizzazione possa adottare per contrastare efficacemente le minacce APT. Esso forma un potente livello di protezione nei confronti dei componenti eseguibili delle APT, incluso quelli ancora sconosciuti. Nel corso degli ultimi 5 anni, l’interesse riguardo al controllo delle applicazioni installate sui computer desktop e sui server del network aziendale è costantemente cresciuto.

Nella circostanza, la soluzione Kaspersky Lab implementa la tecnologia denominata Whitelisting Dinamico. Secondo Gartner², le migliori implementazioni in materia di controllo delle applicazioni includono whitelist di software “sicuro” supportate dai relativi vendor, in grado di tenere traccia di tutte le modifiche via via approvate – e continuamente aggiornate attraverso un sofisticato database in-the-cloud; di fatto, tali elementi rendono particolarmente “dinamiche” ed efficaci le whitelist in questione. Le tecnologie Application Control e Dynamic Whitelisting possono aiutare a proteggere i sistemi, fornendo agli amministratori il controllo totale sulle applicazioni di cui è consentita l’esecuzione a livello di endpoint, a prescindere dal comportamento dell’utente finale. A questo, ovviamente, si unisce la capacità di bloccare, o consentire, l’utilizzo di determinate applicazioni, specificate in precedenza. Lo scenario Default Deny (Nega Predefinito), il più sicuro in assoluto, comporta il blocco dell’esecuzione di qualsiasi applicazione che non sia stata espressamente autorizzata dall’amministratore. Questo significa, di conseguenza, che non sarà permessa in alcun modo l’esecuzione dei componenti di un eventuale attacco mirato, rappresentati essenzialmente da applicazioni; in tal modo, viene efficacemente inibito lo svilupparsi dell’attacco informatico. L’implementazione di un simile scenario, da parte di Kaspersky Lab, garantisce, inoltre, che tutti i componenti del sistema operativo che non hanno subito modifiche continueranno a funzionare senza la benché minima interruzione.

Figura 1. Architettura generica delle tecnologie Application Control e Whitelisting

Quando si tratta di implementare la funzionalità relativa al Controllo delle Applicazioni, unitamente alla tecnologia Whitelisting Dinamico, Gartner raccomanda la creazione di un inventario del software, così come di apposite “Golden Image”. La realizzazione dell’inventario consente agli amministratori di sistema di ottenere un quadro completo di tutto il software installato su ogni sistema informatico presente nella rete aziendale. Tale conoscenza si rivela di importanza vitale. In effetti, non è possibile monitorare ciò che non si sa di avere; la migliore implementazione Whitelisting, pertanto, inizia proprio con la creazione del suddetto inventario. Una volta che lo stesso è completato, tutti i record relativi al software effettivamente installato sul network aziendale vengono memorizzati in un unico database, in un formato particolarmente comodo e conveniente, allo scopo di facilitare le eventuali analisi.

Una “Golden Image” è, in sostanza, un modello predefinito, attraverso il quale vengono determinati i componenti dell’OS ed i driver di importanza critica che costituiscono l’installazione “perfetta” nell’ambito della rete informatica di cui è provvista la società o l’organizzazione: a tale specifica categoria vengono inoltre associate ed aggiunte tutte le applicazioni e le impostazioni che rivestono un’importanza fondamentale per il business dell’impresa, implementate sulla base delle migliori pratiche condotte; tutto questo allo scopo di ottenere prestazioni ottimali, ed un perfetto “fine tuning”. Gartner ha ugualmente identificato la tecnologia Application Control come una delle funzionalità di sicurezza tradizionali maggiormente utili nell’ambito della protezione dei sistemi industriali ³. Kaspersky ritiene, da parte sua, che simili misure di sicurezza, a livello di difesa delle infrastrutture critiche, dovrebbe divenire obbligatorie.

Kaspersky Lab ha sviluppato le proprie tecnologie Application Control e Whitelisting, integrandole perfettamente, in maniera omogenea, con gli altri componenti di sicurezza presenti nella soluzione Kaspersky Endpoint Security for Business. Anche Kaspersky Security for Virtualization | Light Agent e Kaspersky Security for Mobile includono tali tecnologie. Application Control per piattaforme mobile non comprende ancora il Whitelisting Dinamico; sui dispositivi mobili degli utenti corporate, tuttavia, può essere configurato uno scenario Default Deny.

Guidato da una divisione dedicata di esperti, il servizio di whitelisting di Kaspersky Lab fornisce di continuo database aggiornati, riguardo alle applicazioni di cui sono state verificate la legittimità, l’attendibilità e la sicurezza. Al momento attuale, il database di whitelisting allestito da Kaspersky comprende informazioni relative a circa 1,4 miliardi di file eseguibili unici, elaborate da un team dedicato di analisti. Nel 2013, dopo la conduzione di estesi test indipendenti da parte del laboratorio di ricerca di AV-Test Institute, la tecnologia Dynamic Whitelist ha ricevuto la certificazione di “Approved Whitelisting Service”. Allo stesso tempo, è opportuno ricordare come la funzionalità Application Control di Kaspersky, unitamente al Dynamic Whitelisting e al Default Deny, abbia sempre ottenuto punteggi molto elevati in tutti i test indipendenti ai quali è stata sottoposta.⁴

Per agevolare il processo di implementazione delle tecnologie Application Control & Whitelisting (incluso numerose funzionalità automatiche), Kaspersky Systems Management (disponibile come componente di Kaspersky Endpoint Security for Business o come toolset di tipo standalone) fornisce gli strumenti adibiti alle procedure di Inventario e Imaging, esattamente in conformità a quanto consigliato da Gartner.

Le tecnologie Vulnerability Assessment e Patch Management in Kaspersky Endpoint Security for Business.

La seconda e la terza posizione dell’elenco comprendente le misure di sicurezza da adottare per contrastare le temibili APT vedono la presenza delle strategie relative alla correzione (tramite apposite patch) delle vulnerabilità individuate nelle applicazioni e nel sistema operativo; si tratta, di fatto, di componenti davvero essenziali per qualsiasi strategia di successo in materia di mitigazione delle minacce. Le vulnerabilità “ad estremo rischio”, rilevate nelle applicazioni impiegate per le attività aziendali, negli OS e in altri software utilizzati da società ed organizzazioni, possono consentire l’esecuzione non autorizzata di insidiosi codici maligni da parte di cybercriminali senza scrupoli, con notevoli conseguenze negative per il business condotto dall’impresa.

I componenti Patch Management (Gestione delle patch) e Vulnerability Assessment (Valutazione delle vulnerabilità) di Kaspersky Lab vengono implementati come parte della nostra tecnologia Systems Management (Gestione dei sistemi); tali importanti componenti vengono quindi integrati, per la facilità d’uso, nell’ancor più estesa soluzione di sicurezza relativa alla quotidiana gestione dei sistemi. Esamineremo, qui di seguito, le funzioni svolte dai due componenti in questione.

La tecnologia Vulnerability Assessment rappresenta un elemento di fondamentale importanza, per ciò che riguarda la protezione dei network aziendali nei confronti degli attacchi in cui si ricorre all’utilizzo degli exploit destinati a sfruttare le vulnerabilità del software, incluso gli assalti informatici mirati. Una divisione IT che fa uso di Vulnerability Assessment può prontamente rilevare le vulnerabilità presenti nel software aziendale, le quali potrebbero essere potenzialmente sfruttate dai cybercriminali; in tal modo, utilizzando gli appositi strumenti di gestione delle patch, possono essere rapidamente intraprese le necessarie azioni, volte a chiudere le falle di sicurezza individuate.

Nella circostanza, per rilevare le vulnerabilità, viene utilizzato uno speciale agente software, a livello di endpoint. Esso analizza le versioni del sistema operativo Windows e gli altri software installati, confrontando gli elementi raccolti con i dati presenti nel database delle vulnerabilità, continuamente aggiornato, allestito da Kaspersky Lab. Il nostro database contiene tutte le informazioni necessarie riguardo alle vulnerabilità individuate in applicazioni di terze parti particolarmente diffuse. Il componente Vulnerability Assessment è stato progettato per essere utilizzato in abbinamento con la tecnologia Patch Management, allo scopo di far fronte in maniera rapida ed efficace alle vulnerabilità del software.

Patch Management aiuta a mantenere gli endpoint completamente aggiornati, riducendo in maniera significativa il rischio legato alla riuscita di eventuali attacchi basati sul dispiegamento degli exploit da parte dei malintenzionati. I sistemi di gestione delle patch sviluppati da Kaspersky Lab offrono agli amministratori di sistema un alto livello di automatizzazione, e possono essere utilizzati in sostituzione dei servizi WSUS di Microsoft (Windows Server Update Services), o in combinazione con tale soluzione.

Le tecnologie Vulnerability Assessment e Patch Management di Kaspersky Lab risultano disponibili nei livelli Advanced e Total di Kaspersky Endpoint Security for Business.

Quando si parla di cifre riguardanti le “patch gestite”, emerge immediatamente come la soluzione di sicurezza di Kaspersky Lab sia, di fatto, un vero e proprio leader nell’ambito di tale mercato, visto che essa si colloca al 1° posto per numero di prodotti e vendor “patchati”. L’efficacia della soluzione Patch Management di Kaspersky Lab è stata ampiamente dimostrata in una serie di test indipendenti, incluso l’ultimo test condotto da AV-TEST GmbH.

È di sicuro interesse dare un’ulteriore occhiata alle tecnologie Kaspersky Lab in relazione alla specifica classificazione delle minacce da noi menzionata nella parte iniziale del presente documento. La funzionalità Application Control, unita alla tecnologia Whitelisting, ed i componenti Vulnerability Assessment e Patch Management hanno il preciso scopo di mitigare le minacce ancora sconosciute, dispiegate in qualità di “ingrediente” di qualsiasi APT. Relativamente alle minacce in assoluto più avanzate Kaspersky Lab offre ugualmente la Prevenzione Automatica degli Exploit (Automated Exploit Prevention), la funzionalità System Watcher e lo scenario di sicurezza Default Deny.

Le tecnologie Kaspersky Lab relative ai Controlli delle Applicazioni, assieme a quelle denominate Dynamic Whitelisting, Vulnerability Scanning e Patch Management, implementano con particolare efficacia ben 3 aspetti delle Strategie di Mitigazione che compongono la Top-4 stilata dall’ASD. Uno degli aspetti di maggior rilievo nell’ambito degli attacchi informatici di natura mirata, ovvero gli exploit preposti a sfruttare le vulnerabilità individuate nei vari software, può essere mitigato con successo ricorrendo all’utilizzo delle suddette misure di sicurezza. Una protezione di tipo “bullet-proof”, tuttavia, necessita di ulteriori elementi, rispetto alla Top-4. Nella terza parte del presente documento esamineremo in maniera più approfondita le rimanenti strategie che si rivelano particolarmente utili nella lotta contro le APT.

1. Descrizione presente nella Parte 1 del documento “Strategie per Mitigare le APT”
2. How to Successfully Deploy Application Control (Come implementare con successo il controllo delle applicazioni), Gartner ID G00246912
3. Competitive Landscape: Critical Infrastructure Protection (Un panorama concorrenziale: la protezione delle infrastrutture critiche), Gartner ID G00250700
4. Per esaminare in dettaglio i risultati dei test condotti, si prega di consultare le seguenti pagine: 1, 2 e 3.