giovedì 6 maggio 2010

Advanced Persistent Threats secondo Tenable Security

GovInfoSecurity ha pubblicato una intervista a Ron Gula* CEO di Tenable Network Security sulle possibili strategie di difesa dalla minaccia rappresentata dalle Advanced Persistent Threats (APT), eccone un estratto...

Le organizzazioni sono sempre state vulnerabili agli attacchi di hacker che sfruttano software e tecnologie per ottenere l'accesso alle informazioni, ai dati e alle risorse di sistema. Ora, con l'ascesa del fenomeno delle botnet, in cui gli hacker possono gestire l'accesso a centinaia se non a migliaia di host contemporaneamente, la novità è che gli hacker vogliono mantenere nel tempo il controllo di queste macchine. Così, in alcuni casi, anche se un sistema è patchato, gli hacker sono ancora in in grado di mantenere l'accesso alle risorse in modo automatico e nascosto all'organizzazione, garantendosi la permanenza su quella rete.

Inoltre ciò che rende "Avanzate" queste minacce è che sono in grado di eludere il rilevamento da parte degli antivirus e dei sistemi di Intrusion Detection e Prevention. Proprio grazie alla sofisticazione di questi attacchi, ben pochi comparti industriali sono preparati per individuarli e fronteggiarli, tra questi, negli Stati Uniti, si distingue il settore finanziario che è certamente più maturo rispetto agli altri. Quindi, al di fuori del settore finanziario, la consapevolezza per questo tipo di minacce non è ancora molto alta.

Dal punto di vista della capacità di rilevazione è importante che le organizzazioni cerchino di attivare delle modalità di rilevamento che non siano sempre e solo reattive perché, altrimenti, non avranno modo di notare tutto ciò che è stato specificamente prodotto per colpirli o sta attivamente eludendo i sistemi di sorveglianza. Ad esempio, se i sistemi prevedono che gli utenti passino attraverso un proxy per accedere a internet,  mettendo in campo le opportune modalità di sorveglianza, ci si potrà accorgere delle macchine che effettuano chiamate in uscita verso Internet senza passare attraverso il proxy e questo sarà un buon campanello d'allarme.

Quindi una volta dotati di tutte le contromisure di base per la sicurezza (Firewall, IDS, IPS, Proxy, antivirus e sistemi per l'aggiornamento del software installato sulle macchine), la cosa migliore che si può fare è mettere in piedi un adeguato processo di auditing. Auditing delle attività degli utenti, delle configurazione dei sistemi, dei processi e del software che sono installati sui sistemi, ecc. E poi, infine, se le organizzazioni riescono a realizzare sistemi di  analisi comportamentale basati su ciò che accade direttamente sulle loro reti saranno in grado di trovare che molti sistemi sono infetti. A questo proposito ci sono anche molti sistemi "free", come ad esempio ShadowServer.org gestito da SANS Internet Storm Center.
Se poi c'è il dubbio di essere vittima di questo tipo di attacchi allora bisogna rivedere tutto ciò che c'è sulla rete. Come è arrivato il malware? Chi gestisce i server? Si connettono a Internet? Sono stati gestiti? Diverse cose del genere.
In organizzazioni non particolarmente strutturate e tecnologicamente evolute, la migliore possibilità di individuare qualcosa è utilizzare mezzi tradizionali: il software antivirus, i sistemi di Intrusion Detection e Prevention, ecc. Mentre, avendo una rete gestita, si possono fare controlli molto evoluti, come ad esempio guardare tutti i file system di tutti i server, facendo una verifica di quali file e quali versioni ci sono, facendo controllare l'integrità dei file su alcuni file system. Si possono così trovare piccole differenze tra i sistemi che potrebbero indicare che c'è qualcosa in esecuzione che sta tentando di nascondersi e che potenzialmente fa "cose cattive".

*Ron Gula ha iniziato la sua carriera presso la National Security Agency, eseguendo penetration test delle reti  governative e effettuando ricerche avanzate sulle vulnerabilità di sistema. In seguito è diventato celebre come creatore del famoso Nessus Vulnerability Scanner e Unified Security Monitoring.

Nessun commento:

Posta un commento

http://www.wikio.it