Da alcuni anni è emerso un nuovo tipo di minaccia, denominata ATP (acronimo di Advanced Persistent Threat, ossia “minaccia avanzata persistente”) che, è in grado di stazionare per un lungo periodo di tempo all’interno di un network senza essere individuata, mettendo così a disposizione dell’hacker una finestra temporale molto maggiore per condurre il proprio attacco nei confronti del target. Nascono fortunatamente sistemi sempre più performanti per contrastare queste situazioni, che creano barriere importanti sia a livello centrale che sugli end point. Uno dei metodi più efficaci per difendersi da questi nuovi sistemi di attacco, è certamente la threat detection, una procedura finalizzata ad individuare le potenziali minacce che incombono su di un sistema di rete e qualsiasi tipo di attività sospetta che potrebbe compromettere la sicurezza o l’integrità del network, prima che possano essere sfruttate per attaccare un sistema di rete. Sono stati introdotti sistemi di rilevamento con TDR – Threat Detection and Response – studiati per integrarsi perfettamente con qualsiasi antivirus, che sfrutta varie forme di rilevamento per individuare minacce malware avanzate.
E’ un notevole strumento di difesa che mette in correlazione gli indicatori delle minacce dalle appliance Firebox e i sensori Host per arrestare le minacce di malware note, sconosciute ed elusive. Questo strumento entra in gioco quando l’antivirus, qualsiasi esso sia, non rileva un ransomware o un malware avanzato, andando a bloccare la connessione che viene instaurata verso i server “malevoli”. Anche in questo caso è possibile isolare il client dalla rete.
- Il TDR sfrutta varie forme di rilevamento per individuare minacce malware avanzate.
- Firme: sono una linea di difesa critica nella lotta contro il malware. È importante avere un ricco arsenale di minacce note riconosciute. Il TDR utilizza i feed di intelligence sulle minacce di livello enterprise per confermare se un evento sospetto a livello dell’endpoint è in realtà una minaccia nota.
- Euristica: vengono utilizzate regole o algoritmi per cercare comandi che potrebbero indicare un’intenzione dannosa. Questo metodo di rilevamento è in grado di segnalare rapidamente una minaccia prima che questa venga eseguita.
- Analisi dei comportamenti: poiché le minacce malware tendono a rispettare determinati comportamenti, tenere traccia dei vari passaggi consente un rilevamento affidabile delle varianti malware nascoste. Il modulo Host Ransomware Prevention registra comportamenti solitamente associati agli attacchi ransomware per prevenire attacchi prima che la crittografia del file abbia luogo.
- Rilevamento di rete: la rete è un’importante fonte di informazioni per gli attacchi e l’uso delle prestazioni. Raggiungere un adeguato livello di visibilità su schemi di traffico insoliti o bloccati e visite a siti web dannosi o rischiosi ed essere in grado di rilevare botnet e altre minacce è fondamentale per la protezione dell’organizzazione.