Nel 2014 otto mail su dieci contenevano malware, e tra queste il 28% dei messaggi portava con sé minacce per le quali non era ancora stata creata una signature anti-virus. È questo uno dei dati più eclatanti del Websense Threat Report 2015, l’indagine annuale che la società specializzata in soluzioni di security B2B realizza attingendo ai dati raccolti ed elaborati dal ThreatSeeker Intelligence Cloud, in grado di ricevere 5 miliardi di input al giorno pescando nei bacini delle informazioni generate da imprese, servizi on line e social network.
Il rapporto mette in evidenza un trend che di fatto rispecchia l’andamento del mercato dell’ICT: le tecnologie sono più semplici da abilitare e utilizzare e, soprattutto, costano meno. In altre parole, anche il mercato undeground dei malware e dei malcode si sta quasi consumerizzando, i kit per creare attacchi ad hoc sono sempre più economici (si parla di prezzi che vanno dagli 800 ai 1500 dollari al mese, con tassi di ritorno sugli – chiamiamoli così – investimenti, del 750%) e fioriscono in rete chat e forum dove hacker e attacker possono scambiare consigli e strumenti per pianificare azioni su misura. Per di più, i malware stanno diventando veri e propri framework dove ciascun cyber criminale può implementare strumenti specifici.
“Uno dei problemi principali per le imprese è che generalmente sono carenti non solo di soluzioni ma anche di professionalità specifiche per la security”, spiega Emiliano Massa (nella foto) Senior Director Regional Sales South Emea di Websense. “A livello mondiale siamo a corto di 2,2 milioni di risorse (il dato è del 2013, ndr) e anche i clienti più evoluti dispongono di poche persone capaci di gestire la sicurezza. Del resto per formare un professionista occorrono in media 11 anni e all’esterno sono, proprio per la penuria di profili adeguati, difficili da trovare. Ma questo aspetto rappresenta un’opportunità per il canale, che può costruire un ecosistema di servizi anche attraverso la consulenza specializzata”.
Una consulenza che si rende necessaria, visto che i sistemi tradizionali risultano sempre più inefficaci nella gestione dei svariati tipi di minacce che arrivano soprattutto via mail. Anche la logica del sandboxing, su cui le ultime soluzioni hanno fatto ampio affidamento, sembra essere superata. “Esistono malcode che sono già in grado di verificare ed escludere le analisi dei sistemi virtuali, e quindi gli ambienti dove i file sospetti vengono fatti esplodere per verificarne il contenuto”, dice Luca Mairani, Senior Sales Engineer. “Ma esistono pure le cosiddette bombe logiche a tempo. A seconda delle abitudini dell’utente, si attivano in determinate condizioni d’uso o al secondo o terzo avvio dell’applicazione, o addirittura quando vengono a contatto con patch specifici, tutte situazioni che rendono inefficace il sandbox, che continua a essere un valido presidio solo se inserito in un sistema di protezione a 360 gradi”.
Dal punto di vista di Websense, oggi un tale sistema funziona se si sceglie di adottare un approccio DTP (Data Threat Protection), un’evoluzione del DLP (Data Loss Prevention) che permette alle aziende un controllo sui flussi di dati, individuando anomalie in base a determinate regole e logiche dettate dall’analisi dei pattern delle attività interne. Il vero vantaggio del DTP rispetto al DLP sta nella possibilità di attivare strumenti di sicurezza data-centric senza dover preliminarmente avviare un processo di data classification. “Nell’era dei Big data e delle informazioni destrutturate, non ci dobbiamo stupire se i clienti, all’idea di catalogare tutte le informazioni in proprio possesso, voltano le spalle: persino nelle grandi banche, dove la data classification dovrebbe essere una prassi, ci sono grosse resistenze ad adottare applicazioni DLP”, dice Massa.
“Al di là delle soluzioni di data protection, il nostro compito è innanzitutto sensibilizzare le persone a un uso consapevole degli strumenti aziendali”, chiosa Mairani. “Come dico spesso, il problema sta tra la sedia e la tastiera, e chi si occupa di security deve anche eliminare gli effetti psicologici di tranquillità legati alla crescente familiarità con gli strumenti informatici che Pc e smartphone hanno instillato nell’utente medio. Nel momento in cui arriva una mail con un link sospetto, per esempio, quel link viene sovrascritto dalle nostre soluzioni, che reindirizzano l’utente a una pagina di cortesia che chiede conferma per l’apertura del documento. Se poi si rivela portatore di malware, entra in azione l’antivirus. Ma il nostro scopo non è analizzare i contenuti del sito, quanto focalizzare l’attenzione dell’utente su ciò che sta facendo. Le policy di sicurezza non basta scriverle, bisogna far sì che tutti le rispettino”.
