Related Topics

Watchguard Technologies
IBM
AVG
Kaspersky Labs.
WageSOLUTION
IBM Watson

Condizioni per la riproduzione

I contenuti del presente sito possono essere liberamente riprodotti a condizione di riportare il testo integro in tutte le sue parti, il rimando al contenuto originale e i riferimenti dell'autore. Le opinioni riportate sul presente blog, salvo diversa indicazione, sono personali dell'autore e non riflettono il pensiero di terze parti menzionate o eventualmente coinvolte nel testo.

APT Blocker & Ransomware: ma non è la panacea di tutti i mali

Il titolo potrebbe sembrare come un mio improvviso cambio di rotta su uno dei produttori di sicurezza perimetrale che considero essere tra i migliori sul mercato. Ebbene, malgrado il titolo, continuo a crederlo.


Scritto da , pubblicato il


APT Blocker & Ransomware: ma non è la panacea di tutti i mali

Quello che invece mi inquieta, in nome delle Aziende che acquistano una soluzione APT blocker, non è tanto il fatto che sia inefficace, ma che venga proposto da molte aziende come LA soluzione al problema Crypto-ransomware, la panacea di tutti i mali che difenderà vita natural durante la vostra Azienda dal pericolo Cryptowall, Cryptolocker, Cryptoquelchevuoi.

Partiamo dall'origine.

APT Blocker di Watchguard è una soluzione di protezione delle reti in grado di analizzare in modo molto più avanzato un file scaricato da Internet o un allegato di posta. Questo metodo aggiuntivo al sistema Antivirus controlla il "comportamento" del file attraverso una intricata e complessa serie di sistemi ed ha un grado di affidabilità tra i più elevati possibile.

E' efficace? Si. A volte no.

(Mi rendo conto di sembrare un malato di mente).

Gran parte delle macchine su cui ho avuto occasione di mettere le mani operano unicamente (quando ben configurate) sui protocolli in "chiaro". Per intenderci tutte quelle connessioni prive di crittografia. Parliamo del traffico in navigazione, posta elettronica in ingresso o caselle di posta "tradizionali" in POP3 fornite dai più disparati fornitori di servizi.

Ma che succede se il traffico è cifrato? APT blocker può intervenire in modo efficiente ed efficace anche sulle connessioni cifrate, tuttavia è necessario effettuare un lavoro importante e puntuale sulla rete dell'Azienda perché funzioni tutto correttamente. E' necessario predisporre la rete perché gli utenti non si trovino in seria difficoltà nello svolgere il proprio lavoro. Se questa funzionalità non venisse attivata, APT Blocker diventa completamente inefficace sui protocolli cifrati. E dal momento che alcuni casi di infezione da Cryptolocker hanno avuto origine da caselle di posta elettronica certificata (PEC), l'esigenza è piuttosto seria.

Il prodotto non fa quello che dice?

Decisamente no.

Ma quando questo accade e il virus si trova già a bordo macchina e potenzialmente può iniziare a fare danni. Sono molti gli antivirus che non intercettano i virus che si impossessano dei vostri dati. Supponendo che il virus si possa attivare ed iniziare a prendere possesso dei file, una soluzione professionale può essere di supporto. Nei test che abbiamo fatto recentemente la soluzione Bit Defender è riuscita ad intercettare il virus sulla base della sua fame di cannibalizzare i dati del computer. Scaricato (intenzionalmente) un virus da una PEC ed avviato su un computer con Bit Defender attivo questi ha bloccato il virus chiedendo all'utente se procedere (o meno) al suo continuare ad essere eseguito. Di fatto siamo riusciti ad evitare che i dati venissero compromessi sulla postazione ed in rete. (Per il brivido del pericolo, ho fatto la prova direttamente sulla mia macchina di produzione – nda).

Allora è questa la soluzione definitiva?

No. Le soluzioni Antivirus nella storia hanno periodi di alti e bassi. Le migliori soluzioni vengono sorpassate da soluzioni ancora più efficaci, ma quel che è più importante, chi genera virus cerca sempre di trovare modi per eludere anche i sistemi antivirus, per cui è più che possibile che arrivi una variante che possa infettare la macchina protetta dall'antivirus migliore. Inoltre è anche possibile che il virus arrivi comodamente a bordo di una penna USB e/o venga inserita in un PC "alieno" all'azienda, il che rende tutto quanto sopra riportato superfluo.

Il Backup. Lo dico con una punta di ironia, ma trovare un backup strutturato correttamente nelle aziende è come andare a cerca di tartufi senza un cane a supporto.

I backup che vedo in continuazione sono copie di dati fatte a mano su dischi USB collegati ai PC. Backup fatti con programmi gratuiti come Cobian Backup lasciati andare all'infinito e che diventano irripristinabili o riempiono i NAS senza che nessuno se ne accorga per mesi (finchè non è troppo tardi). Copie di dati fatte con programmi appositi che vengono cifrati (assieme a tutto il resto) perché privi di validi controlli di accesso ai dati.

Il backup è l'ultima spiaggia quando tutto il resto fallisce.

Quando APT blocker ha "fallito" (non per colpa sua), quando l'antivirus non ha intercettato il Crypto-qualcosa di turno che ha iniziato a fare strage in rete, l'unica cosa che salva la vita delle vostre aziende è un sistema di backup efficace e funzionante.

E' la soluzione definitiva?

No. Il backup è un componente fondamentale se non indispensabile di una politica di sicurezza e di protezione dei dati, ma non è una soluzione necessariamente efficiente. Perché nel caso dei virus la minaccia va bloccata appena possibile, ricorrere al backup significa che ci sia già una consistente parte dell'azienda ferma.

Facciamo un esempio

Pensiamo per esempio ad un'industria che perché priva di protezione firewall, perché a risparmio ha usato solo soluzioni antivirus gratuite, perché aveva un sistema di backup che ha smesso di fare dei backup 12 mesi prima per spazio esaurito, senza che nessuno se ne accorgesse. Amministrazione, ufficio commerciale praticamente fermi, l'attività produttiva avanzava a spizzichi e bocconi unicamente perché era disponibile un solo terminale AS/400 a cui tutti andavano per estrapolare delle stampe. Sembrava il ritorno agli anni '80. Durata complessiva del danno: 3 giorni e la costrizione a pagare il riscatto per riavere i dati dal file server.

Se pensate che quanto sopra riportato sembri uno scenario apocalittico, si tratta – purtroppo – di una sciagurata condizione di un'azienda, realmente accaduto. Non è nemmeno il primo: tra i mesi di novembre e dicembre 2015 abbiamo già gestito ed analizzato almeno 30 casi di infezione da Cryptolocker. Qualche settimana fa, solo un lunedì mattina, abbiamo avuto 6 nuove segnalazioni di infezione, di cui due via PEC.

La sicurezza non è un prodotto.

Il prodotto sicurezza non esiste. Esistono tuttavia una serie di soluzioni efficaci che permettono di ottenere ottimi livelli di protezione dei propri dati, e rappresentano un investimento importante a tutela della proprietà intellettuale delle Aziende. Non è nemmeno necessario immaginare di effettuare investimenti enormi. La tecnologia si è così evoluta e resa accessibile da offrire soluzioni ad elevatissimo rapporto qualità prezzo, consentendo di ottenere ottimi risultati con i prodotti e le soluzioni giuste, ma soprattutto correttamente integrate tra di loro.