Analisi comportamentale: la nuova frontiera

MILANO – Le tipologie di attacchi alla security aziendale son un “corpo vivo” in continuo cambiamento. Quali sono dunque le criticità che obbligano oggi le aziende e i dipartimenti It a porre sempre maggior attenzione alla sicurezza per evitare “falle”? Lo abbiamo chiesto a Ron Meyran (nella foto), director Product Marketing Security di Radware (http://www.radware.com/), società che propone soluzioni integrate di application delivery e network security.
“I cyber attacks  sono più organizzati e controllati – esordisce Meyran -. Sono state sviluppate nuove metodologie di attacco: per poter bypassare le attuali tecnologie di sicurezza che mirano a proteggere i codici vulnerabili, gli hacker sono passati dagli attacchi vulnerability-based a quelli ‘non vulnerability-based’ (per le loro truffe, gli hacker utilizzano malware mirati che sfruttano transazioni applicative legittime. Poiché l’attività illecita non infrange alcuna regola applicativa, non viene scoperta dai radar dei sistemi di sicurezza). Questi non sfruttano eventuali falle di un codice (quindi il patching non può bloccarli) ma vengono sferrati a servizi che sfruttano il web e colpiscono user non aggiornati sulle tecnologie di protezione correnti”.
“I dipartimenti It devono quindi ricercare tecnologie di sicurezza più veloci e più “smart”  per mantenere la sicurezza e l’affidabilità delle linee di comunicazione e dei servizi online in questo nuovo contesto”, prosegue Meyran. “Deve però essere chiaro che per soddisfare le nuove esigenze tecnologiche non si richiede una soluzione in alternativa a quelle attuali, bensì una soluzione che sia complementare: il controllo di accesso, i sistemi criptati e signature-based  continuano ad essere soluzioni cruciali per la sicurezza della rete”.
Per evitare danni, secondo Radware, è necessaria una tecnologia di analisi comportamentale che integri la tecnologia di signature detection esistente. “L’analisi comportamentale  ha la capacità di identificare e prevenire in tempo reale gli attacchi in rete basati su signature, in modo automatico e senza bisogno di intervento umano. Questa tecnologia  ‘apprende’ il modello comportamentale di un’applicazione e dei suoi user e, quando si verifica un mutamento nel comportamento è in grado di identificare il modello di attacco e creare in tempo reale una firma che blocca solo quel modello, spiega il manager della società. “Le firme in real-time sono in grado di prevenire sia gli attacchi ‘non vulnerability-based’ che usano i servizi in modo illecito, sia gli attacchi zero-minute per i quali non esiste ancora una signature o un patch. La tecnologia di individuazione delle firme rimane il pilastro della protezione di base, in quanto capace di identificare in modo accurato e di prevenire gli attacchi vulnerability-based già noti. Di conseguenza, la soluzione deve consentire accessi multi-livello, dove ogni tecnologia diventa complementare e quindi assicura migliore sicurezza a reti e servizi critici”.
E alla domanda su come vede il futuro della sicurezza informatica Meyran ci risponde così: “Riteniamo che nel prossimo futuro si concretizzeranno diverse tendenze. Prima di tutto, l’aumento del volume degli attacchi. In secondo luogo, gli attacchi tramite botnet e i canali di controllo diventeranno più resistenti e più difficili da identificare. Di conseguenza, verrà limitata la capacità di impedire alla botnet di lanciare gli attacchi. Cresceranno, infine, gli attacchi all’uso illecito dei servizi: questo tipo emergente di attacchi, indotti da botnet, iniziano transazioni legittime per sfruttare le risorse del server. Sono difficili da identificare in quanto si integrano bene con le normali procedure del traffico e il tentativo di bloccarli con una normale signature avrà come conseguenza il blocco immediato degli user legittimi”.