Proteggere le workstation senza minare l’operatività

15 Mar 2019

In che modo i cybercriminali attaccano le workstation? Di solito sfruttano le vulnerabilità dei programmi più utilizzati o le funzionalità potenzialmente pericolose dei software legittimi. Naturalmente ci sono altri modi ma i più comuni sono quelli appena menzionati, per questo la cosa più logica da fare sarebbe restringere l’uso di questi software. Come farlo senza subire conseguenze nei processi aziendali? Bloccare i software senza un criterio può provocare danni importanti al business, meglio tenere in considerazione le differenze tra le posizioni e i ruoli dei vari dipendenti. Il nostro approccio è stato quello di ridurre la superficie d’attacco mediante il controllo adattivo delle anomalie e grazie alle tecniche di apprendimento automatico.

Da vari anni ormai, MS Office ha la sfortunata fama di possedere il maggior numero di vulnerabilità sfruttate; tuttavia, non vuol dire che non sia un buon software, perché ci sono vulnerabilità ovunque. I cybercriminali si concentrano maggiormente su Office rispetto agli altri concorrenti soprattutto perché si tratta del software più diffuso e utilizzato e, anche se la vostra azienda è disposta a spendere nella formazione dei dipendenti per l’uso di software alternativi, nel momento in cui un altro prodotto raggiunge la popolarità, prenderà il posto di Office tra i software con maggiori vulnerabilità sfruttate.

Alcuni prodotti offrono funzionalità chiaramente pericolose; ad esempio, le macro dello stesso Office possono essere utilizzate per eseguire un codice dannoso. Tuttavia, un divieto totale non è pratico: gli analisti finanziari e i contabili hanno bisogno di questi tool per le loro operazioni quotidiane.

A questo punto, bisogna solo vigilare attentamente questi programmi e intervenire solo quando viene individuata un’attività anomala. Ma c’è un problema.

Cosa rientra nella categoria anomalo?

L’essenza dell’attività cybercriminale è di sembrare attività legittima agli occhi dei sistemi di sicurezza.  In che modo un sistema di cybersecurity determina se un messaggio inviato a un dipendente contiene un documento importante con una macro o un Trojan? Il mittente ha inviato un file .js per lavoro o si tratta di un virus?

Almeno in teoria, sarebbe possibile analizzare manualmente il lavoro di ogni dipendente, capire quali sono i tool che usa e quelli di cui non ha bisogno e, in base a queste informazioni, creare un modello di possibili minacce per poi bloccare “chirurgicamente” le funzionalità di alcuni programmi.

Ma ci sono molti fattori a complicare questo piano. Innanzitutto, più è grande l’azienda, più risulta difficile costruire un modello specifico per ogni dipendente. In secondo luogo, anche quando si tratta di aziende più piccole, la configurazione manuale richiede che gli amministratori dedichino molto tempo e sforzi. Infine, questo processo andrebbe ripetuto ogni qual volta vengano apportati dei cambiamenti ai tool o all’infrastruttura. Per preservare la salute mentale degli amministratori di sistema e dei tecnici di sicurezza IT, l’unica opzione fattibile è quella di automatizzare il processo di configurazione delle restrizioni.

Controllo adattivo

Abbiamo implementato il processo di automatizzazione in questo modo: innanzitutto, i sistemi costruiti basandosi sui principi di apprendimento automatico hanno rastrellato i nostri database di minacce e hanno generato modelli standard di attività potenzialmente dannosa. Abbiamo poi implementato punti di blocco di questi modelli su ogni workstation.

In secondo luogo, abbiamo creato una modalità di adattamento automatico (Smart) per analizzare l’attività dell’utente e determinare quali regole possono essere applicate e quali invece interferirebbero nelle normali operazioni. E funziona così: il sistema innanzitutto raccoglie dati statistici durante un determinato periodo di tempo in modalità di apprendimento (questi dati riguardano le regole di controllo), per poi creare un modello delle normali operazioni dell’utente o del gruppo di utenti (scenario legittimo). Successivamente, la modalità di apprendimento viene disattivata e restano attive solo le regole di controllo che bloccano le azioni dannose.

Nel caso in cui ci sono modifiche nel lavoro dell’utente, il sistema può essere riportato alla modalità di apprendimento per adattarsi al nuovo scenario. Inoltre, nel caso vadano aggiunte delle esclusioni, si può perfezionare il modello creato.

Non è la panacea di tutti i mali ma riduce considerevolmente la superficie di possibili attacchi.

La modalità di controllo adattivo delle anomalie (AAC – Adaptive Anomaly Control) fa parte della nostra soluzione aggiornata Kaspersky Endpoint Security for Business Advanced, presentata di recente al grande pubblico. Cliccando sul banner qui sotto potrete scaricare una versione di prova di questa soluzione di sicurezza in cui è stata implementata questa nuova tecnologia.