Il cyber crimine evolve e così anche gli strumenti di protezione, in una continua competizione fra guardie e ladri per il possesso dei dati dei navigatori. Emerge una nuova tipologia di attacco che, secondo i dati presentati da Trend Micro a Milano, colpiscono ormai il 70 % delle reti aziendali a livello mondiale. La società di sicurezza informatica le ha battezzate Advanced Persistent Threat o (Apt), e ne ha codificato lo schema d’attacco, un mix di strumenti di social engineering e abilità tecniche particolarmente insidioso e difficile da combattere con i metodi tradizionali.
“L’attacco di tipo Apt è un’intrusione mirata che si svolge in 5 fasi – racconta al Corriere delle Comunicazioni Gastone Nencini, senior Technical Manager di Trend Micro Italia – La prima è lo studio del bersaglio, alla ricerca dei suoi punti deboli, che spesso vengono trovati per vie traverse, sfruttando la vulnerabilità di soggetti che hanno a che fare l’azienda o l’ente sotto attacco: per esempio fornitori, consulenti e simili”. Attraverso Google e altri strumenti gratuiti disponibili sul Web si cerca di scovare quante più informazioni possibili sulla persona da colpire in modo da poter attuare un approccio personalizzato. Per esempio una e-mail che ha a che fare con un hobby o un interesse del destinatario, che in questo modo è maggiormente indotto ad aprirla ed a cliccare su eventuali allegati o link.
Poi c’è la fase dell’intrusione vera e propria del virus all’interno del sistema, a cui segue l’espansione del malware all’interno del sistema stesso. Entrato per così dire, dalla porta di servizio, il criminale cibernetico comincia ad avventurarsi nell’infrastruttura aziendale o governativa, approfittando del fatto che molti sistemi di sicurezza monitorano in maniera capillare il traffico proveniente dall’esterno, ma sono più elastiche nei confronti di quello della rete interna. La fase di analisi è la quarta fase individuata da Trend Micro e corrisponde alla ricerca di dati sensibili e soprattutto rivendibili o in altro modo monetizzabili, per arrivare infine al passaggio conclusivo, quello del furto. “Il denaro è quasi sempre il movente principale di un attacco di questo genere – prosegue Nencini – anche se, nel caso di istituzioni o enti governativi l’obiettivo può anche quello di bloccare un’infrastruttura critica”. Ricade in questa categoria ad esempio il tentativo, coronato da successo, di bloccare via software le centrifughe di una centrale nucleare iraniana da parte dell’intelligence Usa.
Di fronte agli attacchi di tipo Apt risultano inefficaci le tradizionali misure di protezione informatica che prevedono l’identificazione della minaccia, l’invio via Web della stessa ai laboratori dove viene analizzata e dove viene prodotta una patch da applicare in un momento successivo al sistema. Ora le patch vengono applicate via cloud, a livello di rete, tramite quello che è denominato “virtual patching”: i tempi fra identificazione del virus e blocco dello stesso vengono così drasticamente ridotti.
“Noi puntiamo a un nuovo modello di sicurezza – afferma il manager – con il controllo non solo dei dati in entrata ma anche di quelli in uscita dal sistema”. Il prodotto di punta di Trend Micro destinato ad assolvere questo compito si chiama Smart Protection Network ed è già alla seconda versione. Prevede il confronto in tempo reale del traffico che viaggia sui network protetti con un database di minacce costruito da Trend Micro; vengono analizzati 1,5 miliardi di file al giorno e circa 10 miliardi di Url, per un ammontare complessivo di 6 Terabyte di traffico. Rispetto alla prima edizione, lanciata nel 2008, il programma integra ora il monitoraggio del comportamento delle applicazioni mobili, delle regole di vulnerabilità e di comunicazione di rete impostate nel sistema, e la creazione di “white list” di comportamenti leciti per minimizzare i falsi positivi.