Per decenni i sistemi di difesa cibernetica delle imprese hanno funzionato all’occorrenza. Ad azione reazione, questo era il principio. Se arriva un attacco, scatta la risposta. Viceversa, davanti a minacce dormienti, il centro delle operazioni di sicurezza (il cosiddetto SOC, come si chiama in gergo tecnico) non agiva. Oggi, però, questo modello di cybersicurezza è un castello di carte di fronte alle tecnologie sviluppati dai criminali della rete.
Per questo Kaspersky Lab ha sviluppato una piattaforma che, grazie ai sistemi di machine learning, lavora per prevenire gli attacchi. Specie quelli mirati, che secondo dati dell’azienda di difesa informatica sono meno del 9% ma provocano il 90% dei danni. Kaspersky Anti-Targeted Attack (KATA) è stata appena rinnovata e opera per rilevare le minacce avanzate contro le aziende. “Monitora tutti i vettori degli attacchi, come il traffico internet, la posta elettronica o gli endpoint come le chiavette USB – spiega Gianfranco Vinucci, Head of Presales di Kaspersky Lab -. Il machine learning fa apprendimento sui comportamenti abituale e crea un modello che li riconosce”. Di conseguenza, identifica le azioni che si discostano dagli standard e perciò possono rappresentare un pericolo.
Indice degli argomenti
Il concetto di prevenzione
L’obiettivo è prevedere i cyberattacchi e impedirli prima che facciano danni. Prima la campana suonava quando scoppiava l’incendio. Ora Kaspersky vuole suonare tante campanelline preventive. “Un SOC avanzato deve fare una continua analisi dei dati – prosegue Vinucci -. Servono threat intelligence e threat hunting, ossia scoprire in anticipo minacce nuove per fare fare prevenzione e predizione”. Un file sospetto può essere spedito alla Sandbox, una sorta di quarantena dove viene eseguito in automatico per scoprire quali siano le sue funzioni. “Prevenzione e predizione non sono operazioni legate alla sola tecnologia, ma anche alla conoscenza dei processi di security da parte dei dipendenti”, aggiunge il manager.
La versione aggiornata di KATA si integra meglio con gli endpoint e ha in più un processo di scansione continua degli oggetti sospetti. Analizza anche le URL e permette di archiviare e analizzare i payload per migliorare le capacità del software di riconoscere potenziali minacce. Inoltre la plancia di comando archivia dati forensi, che possono essere utilizzati in caso di attacco per procedere alla tutela legale dell’azienda. “Stiamo già sviluppando una nuova versione che sarà disponibile a fine 2018”, anticipa Vinnucci.
Italia nel mirino
Secondo i dati raccolti dal Global research and analysis team di Kaspersky, l’Italia è uno dei Paesi più a rischio per infezioni di malware. Nel primo trimestre dell’anno l’azienda di cybersecurity stima che “il rischio di infezione online è al 22,44%, uno su cinque rischia la minaccia, mentre nel caso delle infezioni locali il tasso di rischio è al 43,21%”, come precisa Giampaolo Dedola, primo italiano tra i 40 ricercatori di sicurezza di Kaspersky. Per minacce ransomware “l’Italia è il secondo Paese più attaccato nel 2016, dopo il Giappone – prosegue Dedola – mentre nel primo trimestre del 2017 l’Italia è diventata la più attaccata”. E anche se le aziende pagano, una su cinque non ottiene indietro i propri file mentre una su quattro torna nel mirino dei cybecriminali.
Dal suo osservatorio Dedola osserva che i cybercriminali tentano di infiltrarsi nei sistemi aziendali tramite mail di phishing, 0-day (ossia minacce mai scoperte), social network, chiavette USB, watering holes (ossia siti che l’hacker suppone che la vittima visiterà e perciò compromette preventivamente). Cresce l’uso di wiper, ossia malware che cancellano dati o li sovrascrivono, e di infenzioni effimere, ossia che contagiano la RAM, lasciando meno tracce al momento dell’analisi forense.
Informazioni condivise
Per questo Morten Lehn, direttore generale di Kaspersky Lab Italia, spiega che l’azienda sta formalizzando anche in Italia “accordi con le autorità di sicurezza per dare loro accesso ai nostri database, come facciamo con Europol. Loro possono verificare se abbiamo già un’informazione da condividere e, se non l’abbiamo, iniziamo a lavorare insieme”.
