La sicurezza informatica si realizza attraverso una serie di funzionalità implementate in ambito aziendale atte a bloccare e neutralizzare attacchi informatici che possono avvenire via email, durante la navigazione web dell’utente oppure tramite l’inserimento di chiavette usb.
Nella suite di queste funzionalità troviamo sia l’Antivirus che l’EDR (Endpoint Detection & Response). Sebbene possano sembrare la stessa cosa, ci sono notevoli differenze tra i due. Ed è fondamentale per gli MSP comprendere queste differenze al fine di proporre la soluzione più adatta alle esigenze dei propri clienti.
MANAGED ANTIVIRUS
L’antivirus (per l’MSP, il Managed Antivirus) è una soluzione progettata da sempre per proteggere i device dai virus e che viene gestita da un provider IT, dal momento che viene installata, aggiornata e monitorata.
Il problema principale di un Antivirus è la modalità di rilevamento del malware solo attraverso le firme, tipicamente un hash del file ma, in seguito, attraverso l’identificazione di stringhe di descrizione contenute nel binario secondo metodologie di ricerca come le regole YARA.
Gli Antivirus richiedono un aggiornamento frequente e costante delle definizioni, o meglio “firme dei virus”. Ciò significa che il fornitore dell’Antivirus deve aver già scoperto il virus e notificato i vari client della necessità di nuovi aggiornamenti. Tale protezione è adeguata solo se l’MSP esegue in modo rapido gli opportuni aggiornamenti ai vari device. Ogni giorno vengono diffuse nuove minacce e la garanzia che gli aggiornamenti vengano sempre messi a disposizione tempestivamente ai vari device risulta una questione molto complicata da gestire per un MSP, poiché spesso le minacce vengono individuate quando il danno è già stato fatto.
Si tratta di una prima linea di difesa, non molto costosa, semplice e intuitiva per i gli MSP ed utenti poiché non richiedono competenze tecniche per poterlo gestire e riesce a tenere alla larga le minacce.
NEW MALWARE
I cybercriminali, però, hanno iniziato ad eludere il rilevamento basato sulle firme adottando una serie di tipologie di minacce, quali:
Documenti utilizzati per sferrare un attacco
Per compromettere i sistemi, i criminali informatici spesso sfruttano le falle presenti in diversi formati di documenti, che generalmente hanno script incorporati. Questi criminali offuscano il codice o lo script all’interno di tali documenti e risultano essere invisibili all’occhio dell’esperto e ai controlli dell’Antivirus. Questo perché l’Antivirus scansiona solo il documento iniziale e non il codice o lo script dopo l’esecuzione. L’attacco, una volta sferrato, viene eseguito in background senza che l’utente se ne accorga. I criminali informatici utilizzano spesso file PDF, o excel, o xml. Una soluzione antivirus basata su firme non rileverà mai questi documenti poiché analizzerà solo il documento iniziale e non il codice dannoso avviato dal documento stesso.
File-less malware
La maggior parte degli Antivirus analizza i file non appena essi vengono scritti sul disco. Tuttavia se non vi è alcun file, l’Antivirus non è in grado di rilevare il comportamento dannoso. Gli attacchi senza file si verificano senza l’installazione di un payload sul sistema, il che rende molto difficile il rilevamento da parte di un antivirus. Vengono generalmente eseguiti nella memoria del device e impiegano PowerShell, rundll32.exe o altre risorse integrate nel sistema per infettare le macchine. Possono essere documenti o script dannosi su un sito web, oppure quando su un device si abilita il protocollo RDP lasciando aperta una porta che permette a chiunque di connettersi tramite essa e di iniziare a eseguire processi dannosi sul device (ad esempio il download di malware, o la modifica dei registri, o la sottrazione di dati sensibili).
Malware polimorfo
I programmi Antivirus tradizionali si affidano al rilevamento basato su firme, un meccanismo che prevede il confronto di un file rispetto a una voce nota, ovvero una firma, di un database di minacce conosciute. Questo porta a disporre dell’elenco più recente di firme, pertanto è necessario effettuare aggiornamenti frequenti dell’Antivirus. Se le definizioni non vengono aggiornate, il device risulta privo di difese. Inoltre, questo metodo di protezione è puramente reattivo: il fornitore deve essere a conoscenza della firma prima di poterla segnalare ai vari client ed il difetto principale di questo metodo è rappresentato da un mancato allineamento delle conoscenze o delle tempistiche di copertura. Il malware polimorfo è stato creato per sfruttare questa lacuna. Se, ad esempio, il malware viene rilevato da un programma antivirus, esso si rigenera utilizzando nuove caratteristiche che non corrispondono alle firme note. Per questo motivo, è molto difficile che un antivirus basato su firme riesca a bloccare l’infezione.
Malware offuscato
Una delle procedure più comuni per individuare malware è l’esecuzione di tali file in ambienti sandbox ed osservarne il comportamento. Un altro metodo per individuarli è quello di scansionare il codice per cercare segnali che ne indicano un intento criminoso. I cybercriminali hanno studiato come proteggere i payload dannosi all’interno dei malware, cosicché in ambiente sandbox, questi “malware” non risultano dannosi e rende impossibile per l’antivirus rilevarli. Un’ulteriore modalità per aggirare i controlli dell’antivirus prevede l’uso dei cosiddetti “packer”, impiegando metodi come la crittografia o la compressione per impedire agli utenti di notarli. Inoltre, i criminali informatici che creano malware potrebbero integrare il codice dannoso con quello innocuo all’interno di un file, con lo scopo di celarlo.
Attacchi tramite download drive-by
I download drive-by sono file scaricati sull’endpoint che sfruttano le vulnerabilità o un componente aggiuntivo del browser. Il file viene scaricato senza che l’utente o il programma antivirus se ne accorga. Il download può provenire da un sito web legittimo con uno script compromesso, da un servizio pubblicitario o da un sito web dannoso specificamente configurato per avviare il download. Tali attacchi iniziano con phishing tramite e-mail o social media, allegati e-mail e collegamenti pop-up opportunamente celati per convincere gli utenti a visitare un sito web. I criminali informatici sfruttano quindi gli exploit in browser o plug-in per scaricare malware e sferrare l’attacco. Completati questi passaggi, il criminale inizia a danneggiare i sistemi, ad esempio installando cryptominer, un trojan con accesso remoto o un ransomware.
ENDPOINT DETECTION & RESPONSE
Le soluzioni EDR sono strumenti progettati per aiutare a prevenire e rilevare minacce e attività sospette sui device e di rispondere alle stesse qualora dovessero “scardinare” il sistema di sicurezza informatico implementato a livello aziendale. Si tratta di una tipologia sempre più popolare, presente da diversi anni, soprattutto nelle grandi aziende. Non ancora, però, nelle piccole e medie aziende, le quali non hanno ancora incorporato l’EDR nel loro piano di sicurezza informatica a 360°.
L’EDR raccoglie dati del device, dei file e processi in un database centrale per la loro analisi, il quale lavora per identificare eventuali anomalie. Se rileva un comportamento sospetto, l’EDR può inviare avvisi in modo che l’MSP possa indagare o intraprendere ulteriori azioni dalla dashboard di gestione.
Si ritiene generalmente che le soluzioni EDR forniscano una sicurezza più completa rispetto alle tradizionali soluzioni antivirus gestite. Uno dei motivi principali è che l’EDR non utilizza le firme tradizionali, ma utilizza l’apprendimento automatico e l’intelligenza artificiale grazie ad una serie di motori per tracciare potenziali minacce e agire di conseguenza, per riparare o persino ripristinare i device (rollback) allo stato precedente all’attacco, sfruttando le copie shadow, con precisione e velocità.
Molte soluzioni EDR, come N-able EDR, offrono anche funzioni di “Disconnessione dalla rete” del device per evitare la propagazione del malware all’interno della rete aziendale. Offre, inoltre, funzioni di gestione dei dispositivi USB, di esecuzione della shell remota e gestione Firewall dispositivo.
Uno dei grandi vantaggi dell’EDR, è che può sfruttare l’intelligenza artificiale per agire in modo autonomo, fornendo una risposta rapida e ragionevole alle attività dannose prima che l’infezione si diffonda sul device e nella rete.
QUALE SCEGLIERE?
Si può immaginare dall’articolo, come la soluzione consigliata da me sia l’EDR. Tuttavia, non è del tutto vero. Il futuro ci dice che ci stiamo spostando sempre di più da un modo di operare di tipo reattivo a un modo di operare di tipo proattivo. L’Antivirus risulta ancora una buona soluzione per alcune tipologie di utenti, purché “protetti” con un adeguato sistema di backup (meglio se in cloud), un buon sistema di crittografia dati ed un efficace sistema di protezione della posta elettronica.
Gli MSP devono stare al passo dei cybercriminali fornendo servizi di sicurezza più solidi e proattivi ai propri clienti e con l’antivirus, sempre meno efficace contro la varietà di minacce odierne, è difficile garantire un’adeguata protezione e proattività. Grazie all’EDR si può isolare il comportamento dannoso e ripristinare rapidamente il device. Si tratta di una soluzione più costosa (“è vero!”) di un antivirus, ma questo è giustificato dal fatto che sono ridotti di molto i tempi di inattività dei device, evitando la perdita di produttività degli utenti, mantenendo felici i propri clienti.
N-able RMM e N-able N-Central, entrambe soluzioni complete di monitoraggio remoto, gestione delle patch, automazione e scripting, funzionalità di backup e molto altro, includono funzionalità di antivirus gestite e EDR, il che significa che l’MSP può scegliere quale soluzione è adatta per ogni cliente.
| N-able EDR | Soluzioni Antivirus |
|---|---|
| Rollback all’istante immediatamente prima dell’infezione | Non fa rollback (necessita di un sistema di backup) |
| Intelligenza artificiale per rilevare e prevenire le minacce attualmente note ed emergenti | Impiegano le firme per identificare le minacce, il che significa che le funzionalità non riescono a stare al passo con le più moderne strategie dei cybercriminali |
| Monitoraggio dei processi prima, durante e dopo l’esecuzione per impedire alle nuove minacce di diffondersi. | Procedono alla cieca durante l’esecuzione, creando così un appiglio per le nuove minacce sferrate dai cybercriminali |
| Monitora sistemi in tempo reale | Si basano su scansioni giornaliere o settimanali, aumentando i rischi dovuti allo scarto temporale |
| Garantisce prestazioni elevate grazie al monitoraggio continuo | Riduzione prestazioni causa scansioni |
| Gestione dispositivi USB, controllo del firewall degli endpoint e esecuzione shell remota | Controllo del firewall del dispositivo |
Rollback
La funzionalità principale dell’EDR è il Rollbak con la quale si ripristina lo stato della macchina all’istante immediatamente prima dell’infezione, sfruttando le Shadow Copy.
In una breve dimostrazione nel video qui sotto, si può vedere come l’EDR previene e rileva una minaccia una volta che essa è stata scritta sul disco. Cambiando la policy da Protect a Detect, tale minaccia verrebbe solo rilevata. Una volta aperta dall’utente, scatena a sua insaputa tutto il processo di cifratura dei file fino ad arrivare alla classica schermata di blocco che ne chiede il riscatto.
Dalla dashboard EDR è possibile, quindi, avviare il processo di Rollback neutralizzando l’attacco e ripristinare così la macchina.
Se vuoi saperne di più, leggi anche “Piano di reazione con EDR”.