Sommario:
Le minacce informatiche e l'intera natura della sicurezza IT si stanno muovendo a un ritmo vertiginoso. Man mano che gli attacchi diventano più sofisticati e mirati, alcune difese precedentemente efficaci non sono quelle che erano - o sono diventate completamente inefficaci contro gli attacchi. Ecco tre metodi di protezione obsoleti e perché non sono più sufficienti. (Per la lettura di sfondo, controlla The New Face of 21st Century Cyberwarfare.)
Firewall di nuova generazione (NGFW)
Storicamente, i firewall di nuova generazione (NGFW) utilizzano un approccio incentrato sulle applicazioni per classificare il traffico di rete nel tentativo di bloccare malware e altri attacchi. Tuttavia, gli NGFW si sono dimostrati inefficaci contro gli attacchi avanzati. Questo perché il cuore della tecnologia NGFW è una configurazione base di firme IPS, software antivirus, blacklist URL e analisi della reputazione. Ognuno di questi è di natura reattiva e ha dimostrato di non essere in grado di bloccare le minacce avanzate.
I produttori di tecnologia NGFW stanno rafforzando i loro prodotti con aggiunte come binari basati su cloud e analisi DLL, nonché aggiornamenti orari sul set di firme del firewall. Il problema è che queste opzioni lasciano ancora molto tempo perché i malware causino danni.
Programma antivirus
Di fronte agli attacchi zero-day e avanzati di minaccia persistente (APT) che sfruttano vulnerabilità sconosciute, l'antivirus è quasi impotente nel prevenire le moderne minacce informatiche. Alcune ricerche suggeriscono che il 90 percento dei file binari del malware si trasformano in un'ora, consentendogli di sgattaiolare oltre il software antivirus che si basa sul rilevamento basato sulla firma e sugli aggiornamenti in ritardo di ore, giorni o settimane, a seconda della frequenza di aggiornamento.
Questo tempo di ritardo rappresenta un'opportunità d'oro per il malware di propagarsi dai sistemi iniziali che infetta. Questa finestra è anche abbastanza lunga per consentire al malware di installare altre infezioni che possono includere password cracker e keylogger che si integrano profondamente nel suo sistema host compromesso.
A questo punto, la rimozione diventa sempre più difficile. Allora perché i professionisti della sicurezza IT mantengono il software antivirus come parte attendibile della sicurezza globale? Al giorno d'oggi, l'antivirus viene spesso utilizzato come sistema complementare o come "prima linea" di difesa, in combinazione con sistemi più grandi e avanzati. L'antivirus rileva il "frutto basso", che include firme antivirali più vecchie, mentre i sistemi di protezione malware più robusti catturano il malware avanzato che viene perso.
Gateway Web
L'industria della cibersicurezza ci ha fornito un'eredità di pattern-matching che un tempo era destinata ad aumentare il blocco basato sulle porte e rimuovere i limiti dei prodotti di sicurezza basati su elenchi e firme. I gateway Web utilizzano queste stesse tecnologie.
La tecnologia Web gateway utilizza database ed elenchi di URL "non validi" noti, ma non tiene conto delle minacce reali e in evoluzione di oggi. L'applicazione delle politiche e la sicurezza a basso livello sono circa l'unico valore che i gateway Web apportano alla tabella di sicurezza mentre gli attacchi informatici si sono evoluti per rendere i gateway inefficaci. La natura dinamica della consegna e della comunicazione del malware rende obsoleti gli elenchi di siti Web e URL "non validi".
Ironia della sorte, poiché i gateway Web hanno ottenuto l'adozione in tutto il mondo, sono diventati piuttosto obsoleti in termini di sicurezza. La tecnologia del gateway Web ha ancora qualche utilità applicando le regole aziendali che limitano o limitano la navigazione sul Web, ma quando si tratta di proteggere da attacchi sofisticati, i gateway Web hanno un ruolo marginale nella migliore delle ipotesi.
Dal maggiore al minore
Mentre non si può negare che queste tre tecnologie svolgono un ruolo attuale nella protezione delle reti dalle minacce informatiche, gli attacchi evoluti di nuova generazione che vediamo oggi hanno reso loro parti minori di difese più avanzate.
Una tecnologia efficace nella protezione da malware avanzato sono i firewall con stato, che sono in qualche modo un incrocio tra un filtro pacchetti e l'intelligenza a livello di applicazione acquisita tramite un proxy. Questa è solo una delle numerose tecnologie che hanno sostituito o colto il debole di alcune delle tecnologie più vecchie, almeno per ora. Naturalmente, le minacce informatiche continuano a evolversi, il che significa che i tentativi di protezione devono evolversi insieme a loro.