Il selvaggio mondo del malware: come proteggere la vostra azienda dall'interno



Documenti analoghi
SICUREZZA INFORMATICA MINACCE

LA SICUREZZA INFORMATICA SU INTERNET NOZIONI DI BASE SU INTERNET

Introduzione a Internet e cenni di sicurezza. Dott. Paolo Righetto 1

Che cosa è un VIRUS?

Sophos Computer Security Scan Guida di avvio

Domande e risposte su Avira ProActiv Community

Sicurezza informatica. malware. Facoltà di Lettere e Filosofia anno accademico 2008/2009 secondo semestre

Virus informatici Approfondimenti tecnici per giuristi

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

Identità e autenticazione

COMUNICAZIONE E CONDIVISIONE PROTETTE. Protezione per server, e collaborazione

Modulo Antivirus per Petra 3.3. Guida Utente

Sicurezza in rete. Virus-antivirus Attacchi dalla rete-firewall spyware-antispy spam-antispam

Console di Monitoraggio Centralizzata

Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it

Il tuo manuale d'uso. F-SECURE MOBILE SECURITY 6 FOR ANDROID

Procedura per la configurazione in rete di DMS.

Come proteggere la vostra rete corporate in modo progressivo ed integrato

Symantec AntiVirus : supplemento per Windows Vista

Domande frequenti su Phoenix FailSafe

2 Dipendenza da Internet Tipi di dipendenza Fasi di approccio al Web Fine del corso... 7

Tipologie e metodi di attacco

F-Secure Mobile Security per Nokia E51, E71 ed E75. 1 Installazione ed attivazione Client 5.1 F-Secure

Symantec Insight e SONAR

LA FORZA DELLA SEMPLICITÀ. Business Suite

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

F-Secure Anti-Virus for Mac 2015

La sicurezza: le minacce ai dati

Internet Banking per le imprese. Guida all utilizzo sicuro

Lo scenario: la definizione di Internet

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

10 funzioni utili che il vostro firewall dovrebbe avere

Tecnologie Informatiche. security. Rete Aziendale Sicura

Client - Server. Client Web: il BROWSER

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

INFORMATION TECNOLOGY. a cura di Alessandro Padovani padoale@libero.it

Protezione integrale per la vostra azienda PROTECTION SERVICE FOR BUSINESS

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS)

WIFI negli ospedali dei Bressanone e Vipiteno

Capitolo 1: Operazioni preliminari...3

Sophos. Premessa. Con l evoluzione delle minacce, il controllo è fondamentale. Un offerta completa e sicura. Un servizio esclusivo

MService La soluzione per ottimizzare le prestazioni dell impianto

Sommario Prefazione... xiii Diventa esperto in sicurezza... xiii Capitolo Codici nocivi... 1

Servizi. Web Solution

ESERCITAZIONE Semplice creazione di un sito Internet

Cookie Policy per

Posta elettronica sicura, Calendario, Contatti, Attività, condivisione di file e Note tra i dispositivi

ROBERTOBIAGIOTTI.COM - COOKIE POLICY

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

F-Secure Mobile Security per Windows Mobile 5.0 Installazione e attivazione dell F-Secure Client 5.1

Consiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Symantec Protection Suite Small Business Edition Una soluzione semplice, efficace e conveniente progettata per le piccole aziende

Proteggiamo il PC con il Firewall di Windows Vista

IT Cloud Service. Semplice - accessibile - sicuro - economico

Sicurezza e Rischi. Mi è arrivata una mail con oggetto: ATTENZIONE!!! chiusura sistematica del tuo conto VIRGILIO. Come proteggersi dallo Spam

Come rimuovere un Malware dal vostro sito web o blog Che cos è un Malware

Colloquio di informatica (5 crediti)

LA SICUREZZA INFORMATICA: LE DIFESE. Dott. Paolo Righetto Privacy e Sicurezza Informatica

Internet Explorer 7. Gestione cookie

Si applica a: Windows Server 2008

Alcuni consigli per adeguarsi alle regole privacy sull uso dei cookie

per la sicurezza della vostra azienda Be ready for what s next! Kaspersky Open Space Security

Guida all'installazione (Italiano) Primi passi

ANALISI FORENSE. irecovery_analisi_forence.indd 1 21/01/14 17:48

Modulo 12 Sicurezza informatica

I cookie sono classificati in base alla durata e al sito che li ha impostati.

Rischi d impresa: data protection, spam e social networking. La rivoluzione della Sicurezza. Baldovino Tortoni Pre sale Engineer

Software Servizi Web UOGA

NOTE OPERATIVE. Prodotto Inaz Download Manager. Release 1.3.0

La sicurezza informatica. Luca Filippi

La posta elettronica in cloud

NOME 0 PROVIDER DOMINIO istruzione.it

Impostare il browser per navigare in sicurezza Opzioni di protezione

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

La CASSAFORTE DIGITALE per

Informativa Privacy Privacy Policy di

Copyright 2009 Trend Micro Inc. Classification 10/8/2009 1

Soluzioni tecnologiche

Guida alla registrazione on-line di un DataLogger

Software MarkVision per la gestione della stampante

Guida di Pro Spam Remove

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

Antivirus. Lezione 07. A cosa serve un antivirus

LA SOLUZIONE. EVOLUTION, con la E LA TECNOLOGIA TRASPARENTE IL SOFTWARE INVISIBILE INVISIBILE ANCHE NEL PREZZO R.O.I. IMMEDIATO OFFERTA IN PROVA

POLICY COOKIE Gentile visitatore,

Andreani Tributi Srl. Titolare del Trattamento dei Dati. P.Iva Sede: Via Cluentina 33/D Macerata

MailEssentials. La miglior soluzione antispam per Exchange, SMTP e Lotus

ISTRUZIONI PER L UTILIZZO DELLA SCHEDA INFORMATIZZATA E MODALITA DI INVIO DEI DATI - L. R. 162/98 PROGRAMMA

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.

Dropbox di classe. É un servizio internet fornito gratuitamente (funzioni base).

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Network Monitoring. Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale

Come Installare l'antivirus AVG

CREA IL CATALOGO DEI TUOI PRODOTTI SU IPAD E IPHONE CON UN APP. ANZI, CON UPP!

Regolamento INTERNET POINT pag.1

Transcript:

Il selvaggio mondo del malware: come proteggere la vostra azienda dall'interno Le minacce sono in continua evoluzione, ma la vostra protezione firewall potrebbe non essere più all'altezza. È giunta l'ora di guardare oltre le soluzioni tradizionali di sicurezza di rete e integrare la protezione contro il malware e gli exploit che attraversano PC e dispositivi mobili quando gli utenti navigano in Internet, inviano o ricevono e-mail e scaricano applicazioni.

Poiché il numero e la gravità dei crimini informatici continua ad aumentare, è importante conoscere i vari tipi di malware e capire come funzionano. Ciò riguarda in particolare le piccole e medie imprese, che in genere non dispongono di personale IT dedicato esclusivamente alla sicurezza della rete. Questo documento esamina i fattori alla base dello sviluppo del malware attuale, ne analizza le caratteristiche, illustra il modo in cui si manifestano in rete e spiega come rimediare ad ogni tipologia di malware. Benché i nomi di molte forme di malware potrebbero suonare familiari, essi continuano a evolversi mentre le contromisure volte ad eliminarli obbligano all'adattamento. Oggi l'adattamento è condotto da criminali professionisti. Pur essendovi ancora dei dilettanti che cercano di impressionare i loro amici o che semplicemente si divertono a codificare e rilasciare malware di vario genere. Di gran lunga più pericolose sono tuttavia le bande criminali organizzate e transnazionali che distribuiscono il malware a scopo di lucro. Questi schemi comprendono: Estorsione, con il blocco o l'interruzione dell'uso dei computer e la successiva richiesta di denaro per rimuovere l'interruzione. Spesso questi attacchi assumono la forma di una falsa scansione del computer e la vendita di un altrettanto inutile software "antivirus". Questa tecnica può essere utilizzata per raccogliere informazioni relative alla carta di credito. Talvolta il software acquistato è uno "scareware ", che spinge a effettuare ulteriori acquisti o continua a esigere pagamenti per "abbonamenti". Furto, con la sottrazione di beni elettronici. Questo schema può includere: dati personali (furto di identità) dalla documentazione di dipendenti o clienti; informazioni di natura economica e password; commercio di informazioni riservate e beni aziendali che possono essere venduti alla concorrenza; account di posta elettronica, comprese le rubriche, da utilizzare per gli invii di spam (da fonti apparentemente attendibili); sfruttamento delle risorse dei computer stessi (zombie), che vengono quindi controllati dai criminali a qualunque scopo, dal mailing di spam fino ad ospitare materiali pornografici. Il software che permette questi crimini è classificato come malware. Per quanto il malware sia sempre più preoccupante, esistono modi semplici ed estremamente efficaci per affrontarlo. Ma prima, occorre conoscere il proprio nemico. Il tipico malware è costituito da sei tipologie principali: virus, worm, Trojan, spyware, adware e rootkit. Virus Probabilmente il tipo di malware più noto sono i virus. I virus informatici esistono da decenni, ma la premessa di base è rimasta costante. Pensati in genere per infliggere danni nei confronti dell'utente finale, i virus informatici sono in grado di cancellare un intero disco fisso, rendendo inutilizzabili i dati in pochi attimi. Proprio come i virus biologici si riproducono quando infettano una cellula ospite, i virus informatici spesso si riproducono e diffondono attraverso un sistema infetto. Altri tipi di virus vengono utilizzati per 'cercare e distruggere' tipi di file specifici o porzioni di disco fisso. I criminali che effettuano furti informatici spesso rilasciano un virus sui sistemi violati dopo aver estratto le informazioni desiderati al fine di distruggere prove di valore legale. I virus informatici sono stati inizialmente diffusi attraverso la condivisione di floppy disk infetti. L'evoluzione della tecnologia ha avuto effetto anche sul metodo di distribuzione. Oggi i virus vengono comunemente diffusi attraverso la condivisione di file, download da Internet e allegati di posta elettronica. Per infettare un sistema, il virus deve essere eseguito sul sistema di destinazione; i virus dormienti che non sono stati eseguiti non costituiscono una minaccia immediata. Di solito i virus non presentano scopi legittimi e in alcuni paesi è illegale possederne. Worm 2

I worm informatici esistono sin dalla fine degli anni '80, ma non hanno avuto particolare importanza finché le infrastrutture di rete all'interno delle aziende non sono divenute comuni. A differenza dei virus informatici, i worm hanno la capacità di diffondersi attraverso le reti senza alcuna interazione umana. Una volta infettato da un worm, il sistema compromesso inizia la scansione della rete locale nel tentativo di individuare ulteriori vittime. Dopo aver individuato un bersaglio, il worm sfrutta le vulnerabilità del software nel sistema remoto, iniettando del codice dannoso al fine di completare il danno. Per via del metodo di attacco impiegato, i worm riescono a infettare solo i sistemi della rete che hanno in esecuzione sistemi operativi specifici. I worm sono spesso visti più come un fastidio che come una minaccia reale. Tuttavia, essi possono essere utilizzati per diffondere malware di altro genere o infliggere danni ai sistemi di destinazione. Trojan Come i virus, i Trojan richiedono in genere un certo tipo di interazione da parte dell'utente al fine di infettare un sistema. Tuttavia a differenza di molti worm e virus, i Trojan cercano spesso di rimanere inosservati sul sistema ospite compromesso. I Trojan sono piccoli pezzi di codice eseguibile incorporati in un'altra applicazione. In genere il file infetto è un'applicazione utilizzata regolarmente dalla vittima (come Microsoft Word o la calcolatrice di Windows). L'obiettivo è far sì che la vittima esegua inconsapevolmente il codice dannoso lanciando un programma altrimenti innocuo. In pratica, spesso i Trojan infettano un sistema senza provocare alcun tipo di notifica. Esistono diversi tipi di Trojan, ognuno in grado di rispondere a uno scopo diverso. Alcuni Trojan sono progettati appositamente per estrarre i dati sensibili dal sistema infetto: questi tipi di Trojan, in genere, installano dei keylogger o scattano degli screenshot del computer della vittima e trasmettono automaticamente le informazioni a chi ha lanciato l'attacco. Altri tipi di Trojan, più pericolosi, sono i "Trojan di accesso remoto" (RAT, "remote access Trojan"), che prendono il controllo del sistema infetto, aprendo una backdoor attraverso la quale un utente malintenzionato potrà accedere successivamente. I RAT sono utilizzati tipicamente per la creazione di botnet. Spyware/adware Come alcuni tipi di Trojan, lo spyware è utilizzato per raccogliere e trasmettere informazioni sensibili al suo distributore. Di norma, lo spyware non è dannoso di per sé. Tuttavia, spesso è la causa di situazioni fastidiose, poiché tipicamente infettano i browser Web rendendoli pressoché inutilizzabili. Lo spyware è spesso usato per scopi di marketing ingannevoli, come ad esempio attività di monitoraggio degli utenti a loro insaputa. Talvolta lo spyware può essere mascherato da applicazione legittima, fornendo all'utente un qualche beneficio, ma registrandone segretamente i modelli di comportamento e di utilizzo. Come lo spyware, anche l'adware è un fastidio notevole per gli utenti. Di solito, però, non è dannoso per natura. L'adware, come suggerisce il nome, viene in genere utilizzato per diffondere messaggi pubblicitari che forniscono un certo tipo di benefici finanziari al responsabile dell'attacco. Dopo essere stata infettata dall'adware, la vittima viene bombardata di pop-up, barre degli strumenti e altri tipi di pubblicità quando tenta di accedere a Internet. Di solito l'adware non causa danni permanenti a un computer. Tuttavia può rendere il sistema inutilizzabile se non viene rimosso correttamente. Rootkit Probabilmente il tipo più pericoloso di malware sono i rootkit. Come i Trojan di accesso remoto, anche i rootkit forniscono all'aggressore il controllo su un sistema infetto. Tuttavia, a differenza dei Trojan, i rootkit sono estremamente difficili da rilevare o rimuovere. I rootkit vengono tipicamente installati nelle risorse di sistema a basso livello (al di sotto del sistema operativo). Per questo motivo, i rootkit spesso passano inosservati ai tradizionali software antivirus. Una volta infettato da un rootkit, il sistema bersaglio può essere accessibile da un utente malintenzionato che avrà libero accesso al resto della rete. 3

Come riconoscere un'infezione Il malware nel traffico di rete o su un computer rende nota la sua presenza in uno dei tre modi seguenti: Una "signature" è una sorta di impronta digitale o modello nel file che può essere riconosciuta da un sistema di sicurezza di rete, come un firewall, anche prima che la minaccia giunga a un computer. Se tale file raggiunge effettivamente un computer, il software antivirus/antimalware sulla macchina dovrebbe individuarlo. Un tipo di file sospetto che si presenta fuori contesto, come un file eseguibile (.exe) o un valore di registro nascosto in un file compresso come un file.zip. Comportamento: anche un rootkit può rivelarsi quando "telefona a casa", ossia quando contatta l'operatore che lo controlla. Se questo comportamento è anomalo, ad esempio in termini di volume di traffico o momento della giornata, può essere indizio di un sistema compromesso. Le misure di sicurezza standard legate ad avere un software antivirus installato e costantemente aggiornato su tutte le macchine permettono di fronteggiare i colpevoli più comuni. Le loro "signature", infatti, ne tradiscono la presenza. Le aziende specializzate nella sicurezza di rete hanno degli "zuccherini" in tutto il mondo, come la rete Collaborative Cross-vector GRID di SonicWALL, che attraggono deliberatamente ogni nuova versione di malware per identificarne la signature e distribuirla con gli aggiornamenti antimalware regolari. Una volta rilevata la signature, il software di sicurezza è in grado di identificare il malware e porvi rimedio non appena si presenta. Le aziende specializzate in sicurezza più sofisticate compiono un passo ulteriore. Ad esempio, la rete GRID di SonicWALL compila un database cloud con tutte le signature delle nuove minacce immediatamente dopo la loro identificazione in ogni parte del mondo. Le appliance di sicurezza SonicWALL, oltre alle decine di migliaia di signature memorizzate in locale, si appoggiano anche a questo database cloud. I file scansionati vengono confrontati con questo database completo di eseguibili dannosi in tempo reale per una protezione ancora più completa. Riconoscere un tipo di file nascosto è leggermente più difficile. Alcune aziende hanno regole globali per quanto riguarda i tipi di file che possono transitare sulla rete. Ad esempio, alcune aziende non permettono la trasmissione di file compressi all'interno del loro firewall. Tuttavia, questo metodo può pregiudicare i normali flussi di traffico. Un approccio più sofisticato e meno invasivo è l'esecuzione di una RFDPI (Reassembly- Free Deep-Packet Inspection) su ogni pacchetto di dati che transita in rete. Questa operazione viene eseguita dalle soluzioni firewall di livello superiore, come SonicWALL, che letteralmente guardano all'interno del carico di dati per verificarne il contenuto. Questo processo individua le minacce nascoste e le rimuove dal flusso. Il comportamento è l'indicatore più difficile da riconoscere. Se qualche forma di malware riesce a passare i controlli, la maggior parte delle persone non ne è consapevole finché le prestazioni della macchina infetta diventano troppo lente o irregolari. I firewall di nuova generazione (NGFW) sono in grado di identificare i comportamenti sospetti prima ancora che giungano a tal punto. Riconoscendo le attività di rete insolite, quali le comunicazioni con un altro paese, un NGFW può aiutare gli amministratori a isolare il malware per la consentirne la rimozione. L'intelligenza di questi sistemi di sicurezza può essere regolata per applicare delle policy relative alle attività di rete, proprio come un'azienda applicherebbe dei regolamenti sul comportamento dei propri dipendenti. Ad esempio, una policy potrebbe consentire l'uso dell'instant messaging, vietare la trasmissione di file con messaggi istantanei. Se non vi è alcuna necessità per una tale attività, il fatto che un computer stia tentando tale comportamento suggerisce che la macchina è controllata da qualcuno che non è un dipendente: un bollino rosso che indica la possibile presenza di malware. Altrettanto importante è il fatto che l'attività pericolosa verrebbe bloccata automaticamente. 4

Evitare l'infezione, prima di tutto Come nel caso delle infezioni biologiche, la medicina migliore è la prevenzione. A tal fine, è opportuno ricorrere a idonee misure di sicurezza. I firewall di nuova generazione dotati della funzionalità sopra descritta sono in grado di identificare la stragrande maggioranza dei malware che tentano di entrare nella rete di un'azienda. Essi comprendono gli attacchi che coinvolgono lo spam via e-mail, il phishing tramite siti Web falsi e i "drive-by download", che iniettano il malware durante una visita ad un sito apparentemente sicuro. Ciascuno di questi metodi di infezione utilizza un diverso approccio che richiede diversi metodi di identificazione. I NGFW possono applicare tutti questi metodi contemporaneamente da un'unica appliance di sicurezza. Un dispositivo NGFW di alto livello, ad esempio di SonicWALL, offre funzionalità opzionali per identificare le minacce nello spam via e-mail, in file nascosti e nei drive-by download in base alle relative signature o al loro comportamento. Quest'ultima categoria, i drive-by download, è particolarmente degna di nota, dal momento che un gran numero di transazioni avviene oggi online, come l'accesso alle informazioni in remoto o gli acquisti. Ciò che si presenta come una transazione legittima sul Web 2.0 può mascherare il passaggio del malware. Una soluzione NGFW affidabile analizza il traffico Internet per individuare esattamente questi tipi di comportamento delle applicazioni. Quando la soluzione di sicurezza utilizza la RFDPI, è sufficiente eseguire una volta la scansione dei file che tentano di entrare nella rete per poter fronteggiare tutte le potenziali minacce. In pratica, il traffico di rete può scorrere più agevolmente, fornendo una migliore esperienza d'uso e una maggiore produttività. Ne consegue un ulteriore vantaggio che permette di sfruttare al meglio una connessione ad alta velocità e, eventualmente, ridurre la necessità di costosa larghezza di banda. Le tecnologie consolidate nei NGFW eliminano inoltre il bisogno di più dispositivi, come firewall, filtri antispam e filtri dei contenuti. Considerati nel loro insieme, si tratta di argomenti economici di grande impatto a favore di un firewall di nuova generazione. Riepilogo Il malware continua ad affliggere il mondo delle reti aziendali. Ma anche se i criminali che creano il malware sono diventati più importanti e più sofisticati, la tecnologia per contrastarli è cresciuta altrettanto. Ora anche le imprese di minori dimensioni possono godere di livelli di protezione che, in sostanza, li vaccina contro molte forme di malware. E queste aziende possono farlo con bassi costi d'implementazione. Riconoscendo la minaccia rappresentata dal malware moderno e implementando una moderna soluzione di sicurezza, il selvaggio mondo del malware può rimanere isolato. E le imprese possono procedere in maniera sicura, efficiente e redditizia. 5

Profilo di SonicWALL SonicWALL, Inc. fornisce soluzioni intelligenti per la sicurezza di rete e la protezione dei dati che permettono a clienti e partner, in tutto il mondo, di proteggere, controllare e scalare in modo dinamico le loro reti globali. Basata su una rete condivisa di milioni di punti di contatto globali, SonicWALL Dynamic Security si affida alla rete SonicWALL Global Response Intelligent Defense (GRID) e al Threat Center SonicWALL per garantire un livello costante di comunicazione, feedback e analisi sulla natura e sul comportamento mutevole delle minacce in tutto il mondo I laboratori di ricerca SonicWALL elaborano ininterrottamente queste informazioni, fornendo in modo proattivo strumenti di difesa e aggiornamenti dinamici in grado di contrastare le minacce anche più recenti. Sfruttando la tecnologia proprietaria brevettata Reassembly-Free Deep Packet Inspection in combinazione con un'architettura hardware multicore parallela ad alta velocità, SonicWALL può scansionare e analizzare simultaneamente svariate minacce a velocità wire speed e fornire inoltre l infrastruttura necessaria a supportare la scalabilità dell intera soluzione in implementazioni ad elevata larghezza di banda. Le soluzioni sono disponibili per piccole e medie imprese e per le grandi aziende e vengono implementate con successo in grandi ambienti aziendali, in aziende distribuite e organizzazioni di vario tipo: dagli enti statali alla sanità, dal settore retail/pos fino ai service provider. Per maggiori informazioni: Soluzioni per piccole e medie imprese www.sonicwall.com/us/solutions/solutions_for_small_medium_business.html Soluzioni per grandi aziende www.sonicwall.com/us/solutions/solutions_for_the_enterprise.html Soluzioni per settore www.sonicwall.com/us/solutions/solutions_for_verticals.html Responsabile vendite SonicWALL www.sonicwall.com/us/contact_sales.html +39.333.2735518. 2012 SonicWALL, Inc. è un marchio registrato di SonicWALL, Inc. I nomi di altri prodotti qui menzionati possono essere marche e/o marchi registrati delle rispettive società. Dati tecnici e descrizioni sono soggetti a modifiche senza preavviso. XXXX_US 6

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back