Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Check Point spiega le frontiere della threat prevention a 360°

pittogramma Zerouno

Eventi

Check Point spiega le frontiere della threat prevention a 360°

07 Mag 2015

di Giorgio Fusari da Digital4

Al CPX 2015 di Amsterdam, il vendor di soluzioni di IT security ha fatto il punto sull’evoluzione delle minacce, sui rischi insiti nei dispositivi mobile, e delineato le possibili soluzioni. La chiave è attivare meccanismi di protezione in grado di difendere le organizzazioni soprattutto dalle insidie del malware sconosciuto e normalmente non identificabile

Gil Shwed, CEO e fondatore di Check PointDa una parte la bellezza della tecnologia digitale, dall’altra i rischi e pericoli che porta in sé. «È stupefacente come oggi possiamo comunicare con ogni persona nel mondo, scaricare e condividere con qualche click quasi tutti i principali tipi di conoscenza.

È lo è anche come interagiamo con le informazioni con cui lavoriamo, come riusciamo a comprare e vendere quasi tutto attraverso la rete». Gil Shwed, CEO e fondatore di Check Point Software Technologies, comincia così il proprio keynote, parlando la scorsa settimana ad Amsterdam, all’annuale evento europeo Check Point Experience (CPX) 2015, che ha registrato la partecipazione di oltre 1.500 persone, tra professionisti di IT security, esponenti della stampa e analisti.

La stessa sorprendente facilità con cui usiamo la tecnologia digitale si trasforma in facilità di sferrare cyberattacchi. «Con un semplice click possiamo generare azioni di hacking molto sofisticate: oggi un attacco può spegnere intere ’power grid’, interrompere un sistema di trasporto, rubare le informazioni non semplicemente di una persona, ma di milioni di utenti» sottolinea Shwed. Si tratta di azioni malevole non arginabili con i tradizionali metodi di cyberwarfare, dove i nemici sono conosciuti da chi si prepara a riceverli.

«Questi attacchi si stanno evolvendo ogni giorno, ogni secondo» aggiunge. «Nel 2014, abbiamo visto una crescita del 42% negli attacchi mirati, o “targeted attack”, contro tutte le organizzazioni, dalle piccole e medie imprese, alle grandi e sofisticate corporation, alle istituzioni governative. Nessuno è immune, la realtà è che le vittime siamo tutti noi». Il 74% delle aziende ha sperimentato almeno un incidente di malware e il 47% una violazione della sicurezza derivante da un dispositivo mobile compromesso. «E questi sono solo gli attacchi che conosciamo».

I mobile device stanno diventando la chiave nei nuovi attacchi, perché essendo quasi sempre accesi e online consentono di spiare l’utente ovunque si trova, e aumentano le possibilità di sottrarre dati di business, trasformandosi nella porta di servizio da cui accedere alla rete aziendale. La prossima generazione di malware ha tre caratteristiche fondamentali: agisce in maniera nascosta, ha una natura polimorfica ed è sofisticato e programmabile. «Focalizzandoci sulla prevenzione della diffusione delle nuove ed emergenti minacce, e collaborando per condividere la ’threat intelligence’, possiamo fornire la miglior protezione contro gli attachi evoluti» sottolinea Shwed.

Pochi investimenti in tecnologia di protezione evoluta

La realtà è però che solo lo 0,1% delle imprese sta usando servizi di threat intelligence, e solo l’1% di esse sta utilizzando tecnologie per prevenire gli attacchi cosiddetti “zero day”.

Oggi, mostra il manager, 12 miliardi di dollari sono investiti in soluzioni di difesa tradizionali (firewall, IPS, antivirus, antispam, DDoS, URL filtering, VPN) e solo 0,6 miliardi di dollari sono spesi in sistemi evoluti di prevenzione delle minacce (sandboxing, threat intelligence, mobile security, forensics, APT/anti-bot). E le ragioni di ciò sono diverse: mancanza di consapevolezza e attenzione da parte degli executive, carenza di integrazione nei sistemi esistenti, qualità non sufficientemente elevata, pesantezza e lentezza di gestione.

Check Point punta quindi ad aumentare la “awareness” e a rafforzare le offerte di security, consolidandole e semplificandole.

Due sono le aree di focalizzazione per il 2015: la prima è la protezione dei dispositivi mobile, attuata tramite Capsule, una singola soluzione in grado di cifrare i documenti di business, mettere in sicurezza lo spazio di lavoro dell’utente, proteggere il traffico di rete e prevenire le minacce evolute. Quest’ultima funzionalità è stata potenziata attraverso l’acquisizione, quest’anno, di Lacoon, un’azienda israeliana che, secondo Check Point, detiene la più completa soluzione per iOS e Android, con il miglior tasso di cattura delle minacce evolute tra le piattaforme di mobile security enterprise-grade. Una soluzione in grado di fornire in real-time sicurezza e intelligence in mobilità sulle infrastrutture aziendali esistenti, dove le strategie MDM (mobile device management) spesso trascurano la protezione dei dispositivi mobile.

Sempre quest’anno, la seconda area di focalizzazione di Check Point è la threat prevention, settore in cui le attuali soluzioni lasciano aperto un notevole gap, individuando e catturando solo in parte il malware conosciuto o di vecchio tipo.

Qui, dopo l’introduzione nel 2014 di ThreatCloud Intellistore, il 2015 vede il lancio di una tecnologia in grado di prevenire le minacce del malware, operando direttamente a livello del processore. Si tratta di una threat prevention di tipo ’CPU-level’, integrata con la tecnologia di threat emulation di Check Point, e resa possibile da un’altra acquisizione societaria avvenuta quest’anno: quella di Hyperwise. L’azienda di Tel Aviv ha infatti sviluppato un motore capace di eliminare le minacce quando ancora si trovano allo stadio di pre-infezione.

E ciò, sottolinea Check Point, a differenza degli attuali approcci, che si concentrano tradizionalmente sull’individuazione e il blocco del malware solo dopo che esso è già diventato attivo, lasciando quindi lacune di riconoscimento del codice malevolo. La threat prevention CPU-level, sottolinea Shwed, è una tecnologia rivoluzionaria, diversa da ogni altra tecnologia di sandboxing.

Per finire, Check Point complementa la propria duplice strategia nel mondo mobile e nella prevenzione degli attacchi con R80, una soluzione  di gestione della security di nuova generazione, che, attraverso una efficiente interfaccia grafica, permette il consolidamento delle policy.

Stare un passo avanti, missione possibile

Il keynote di Amnon Bar-Lev, Presidente di Check Point, si concentra sul dimostrare come la società possa fornire la miglior protezione contro ciò che non si conosce o non si controlla.

Lo scenario da fronteggiare è molto complesso: ci sono attacchi zero-day, non individuabili con le tradizionali tecnologie di sicurezza, capaci di registrare tutto ciò che si digita sulla tastiera mentre si naviga nei siti finanziari; le nuove minacce crescono al ritmo di 200 mila al giorno, con un 40% delle organizzazioni che scarica incosapevolmente malware sconosciuto; esistono e-mail di phishing con codice malevolo allegato; documenti corrotti contenenti plugin in grado di sottrarre dati sensibili; malware capace di eludere i sistemi di sandboxing; exploit ROP (return oriented programming) capaci di alterare piccole porzioni di codice sano partendo dalla memoria, e di manipolare la CPU per caricare ed eseguire il malware; difficoltà di controllo dei dispositivi mobile che, a livello mondiale, sono ormai arrivati a 16 milioni di device mobili infettati.

Come quindi, domanda Bar-Lev, riuscire a stare un passo avanti rispetto ai cybercriminali? Occorre saper pensare e agire in modo diverso da come si è fatto finora. La risposta a questo tipo di minacce è individuare gli attacchi prima dell’infezione; incrementare il tasso di cattura del malware; usare tecnologie che operano in modo indipedente dal sistema operativo e tecniche che impediscono di eludere i sistemi di sandboxing.

Nel caso dei mobile device, occorrono tecniche di analisi dinamica dell’applicazione ed evoluta analisi statica del codice; sistemi di valutazione, certificazione, con punteggi e graduatorie della reputazione di ogni singola applicazione; meccanismi di intervento in grado di risolvere direttamente il problema sul dispositivo in questione, bloccando le comunicazioni e disconnettendo il device infetto dalla rete dell’organizzazione; algoritmi di cifratura che criptano i documenti subito, nella fase della loro creazione, per mantenerne l’integrità ovunque vengano trasmessi; sistemi di threat intelligence come ThreatCloud.

La threat intelligence, e la messa in campo di strumenti come la ThreatCloud World Cyber Threat Map – annunciata nel corso del CPX 2015 e in grado di visualizzare in tempo reale come e dove i cyberattacchi stanno avendo luogo nel mondo – è un componente critico, commenta il presidente di Check Point, ma alla fine esso può soltanto dire a un’organizzazione cosa sta succedendo.

Il passo successivo, invece, e quello che Check Point può fare, è convertire questa intelligence in protezione. Come? Applicando un approccio di tipo SDP (software-defined protection) che punta a ottenere la miglior difesa possibile, attraverso un’architettura di security modulare e agile, capace di aggiornare in maniera costante i sistemi di protezione e la threat prevention a tutti i livelli: dalla endpoint security, ai network security gateway, alla mobile security, ai sistemi virtuali, fino alla cloud security. La strada verso una difesa multi-livello non si profila semplice.

Giorgio Fusari da Digital4
Giornalista

Nel settore giornalistico dal 1989, Giorgio Fusari negli anni ha collaborato per numerose pubblicazioni nel panorama tecnologico e ICT italiano, tra cui la rivista NetworkWorld Italia (gruppo IDG); il settimanale di tecnologia @alfa, del quotidiano Il Sole 24 Ore, la testata Linea EDP. Dal 2012 collabora con il gruppo Digital360 e in particolare con ZeroUno. Tra le aree di maggior specializzazione di Giorgio, il crescente universo dei servizi cloud, il networking, le tecnologie di cybersecurity.

Articolo 1 di 5