Il malware sta diventando sempre più complesso e sofisticato. Ecco perché gli esperti consigliano alle aziende di collaborare e condividere i dati sulle nuove minacce nel momento stesso in cui ne escono di nuove.
“Una caratteristica tipica delle pandemie è rappresentata dalla loro rapida diffusione in tutte le parti del mondo… Tutti ne siamo coinvolti e solo insieme ne usciremo”.
Così parlava nel 2009 Margaret Chan, Direttore Generale dell’Organizzazione Mondiale della Sanità, in riferimento alla diffusione della cosiddetta influenza suina H1N1.
Secondo Rodolfo Falcone, Country Manager di Check Point Software Technologies Italia, Chan avrebbe potuto usare lo stesso tenore se avesse parlato di un’epidemia di malware.
Una delle ragioni principali della rapida diffusione delle bot e di altre advanced threat, infatti, è data dal fatto che i cybercriminali le usano spesso per colpire diverse aziende e aumentare, così, le probabilità di successo dei loro attacchi.
Come i virus presenti in natura, anche il malware sta diventando sempre più complesso e sofisticato.
Le botnet hanno molteplici forme che simulano applicazioni e percorsi di traffico normale, rendendo gravoso per le tradizionali soluzioni basate su firma il compito di combatterle. Inoltre, le bot sono progettate per agire in modo furtivo, motivo per cui molte aziende non si rendono conto del fatto che le proprie reti siano state infettate, e spesso i team di sicurezza non hanno la giusta visibilità sulle violazioni poste in essere dalle botnet.
Per Falcone esiste un altro fattore fondamentale che contribuisce a questa rapida diffusione: nonostante siano migliaia le aziende prese di mira dalle bot, ogni organizzazione tende tipicamente a combattere la minaccia individualmente, e soprattutto a infezione avvenuta.
In molti casi le difese anti-malware delle aziende potrebbero non disporre dell’aggiornamento che consenta loro di rilevare l’infezione, o i livelli di difesa in grado di bloccarne l’azione.
Ciò equivale a provare a combattere una malattia solo offrendo il trattamento a chi l’ha già contratta in seguito all’infezione. Non sarebbe un approccio migliore quello di vaccinare contro l’infezione?
Le aziende possono, dunque, collaborare allo stesso modo e condividere i dati sulle nuove minacce nel momento stesso in cui ne escono di nuove.
In effetti, ciò consentirebbe alle aziende di diventare parte di un network globale di sensori di minacce, chiudendo la finestra temporale che esiste tra la scoperta di un nuovo attacco e la capacità di difendersi contro di esso.
In un recente sondaggio, sì è notato come l’85% delle violazioni dovute a cyber attacchi fosse scoperto dopo settimane o più.
Se le aziende potessero condividere le informazioni sulle nuove bot o minacce malware nel momento in cui vengono individuate nelle loro reti, gli elementi chiave della minaccia (quali indirizzo IP, URL o DNS) potrebbero essere condivisi nel cloud, e gli aggiornamenti sulle specifiche della nuova minaccia verrebbero fatte circolare a livello mondiale in pochi minuti.
Per esempio, ciò permetterebbe di condividere rapidamente tra le organizzazioni di tutto il mondo i dettagli chiave relativi a una minaccia o a un attacco scoperti in Giappone, garantendo una threat intelligence potenziata in modo tale che le difese possano essere aggiornate per bloccare l’attacco.
Ciò potrebbe implicare la chiusura di una porta firewall, l’aggiornamento dei sistemi di Intrusion Prevention, o l’applicazione di patch software o del sistema operativo, ma grazie a quella intelligenza, le aziende possono attuare una protezione preventiva.
Ciò non comporta benefici solo per le singole aziende ma anche per l’intera comunità di business e di internet. Riducendo il numero di reti e macchine infettate da un determinato agente, ne viene rallentata la diffusione, diminuendo di conseguenza le possibilità che essa raggiunga picchi elevati per divenire poi una vera e propria epidemia.
Quindi per tenere a bada queste minacce, le aziende dovrebbero cominciare a collaborare e condividere le informazioni, per rallentare la diffusione del malware, ridurne l’impatto e migliorare i livelli di sicurezza complessivi.