Quando si pensa ad attacchi di tipo zero-day ci si concentra molto spesso sulle vulnerabilità del sistema operativo, che rappresentano certamente un fenomeno non trascurabile, ma inferiore a quello derivante dal web: recenti studi, infatti, evidenziano come una quota almeno pari al 60% dei data breach arrivi da attacchi zero-day durante la navigazione.
È importante comprendere questi aspetti per potersi proteggere al meglio senza ridurre o interrompere l’operatività aziendale.
Indice degli argomenti
Attacchi zero-day: ciclo di vita delle URL malevole
Il Ponemon Institute afferma che l’80% degli attacchi di successo è di tipologia zero-day e da uno studio di Cyber Risk Analysis emerge come una quota quasi identica dei data breach arrivi dal web.
Quindi, anche supponendo che tutti i data breach non derivanti dal web siano dovuti ad attacchi di tipo zero-day, almeno il 59% delle fuoriuscite di dati deriva da attacchi di tipo zero-day che avvengono sul web.
Questa recente evoluzione ha messo in crisi i sistemi di protezione della navigazione tradizionali. Per molti anni i siti malevoli avevano cicli di vita molto lunghi e questo perché le prime soluzioni di cyber security dedicate alla protezione della navigazione non erano in grado di individuare i domini malevoli, non esistendo ancora la tecnologia che permetteva loro di proteggere su base reputazione, ovvero un software di analisi del traffico di rete con l’applicazione di blacklist.
Non c’era così possibilità di lavorare in detection individuandoli e, comunque, la diffusione di software che proteggessero reputazionalmente è stata molto lenta, permettendo così agli attaccanti di utilizzare lo stesso sito per lunghi lassi di tempo.
Le soluzioni di sicurezza si sono evolute e così oggi il ciclo di vita delle URL malevole si è drasticamente ridotto.
Oggi le URL vengono create e possono rimanere attive anche mesi prima che la campagna di phishing abbia inizio: da quando parte però il ciclo di vita è al massimo di qualche giorno.
Questo perché il paradigma della protezione su base reputazionale è diventato efficace sebbene, essendo una sicurezza reattiva, l’efficacia la raggiunga solo dopo l’identificazione e l’inserimento in blacklist della URL malevola, che per forza di cosa potrà avvenire solo dopo che la campagna di attacco è iniziata.
FIGURA 1
Approccio Zero Trust: soluzioni e impatto sull’operatività
Proteggersi da questa tipologia di attacchi basandosi solamente su sistemi di protezione della navigazione reputazionali è pressoché impossibile, a meno di non decidere di danneggiare in modo sensibile l’operatività.
Alcune delle soluzioni esistenti, infatti, hanno deciso di affrontare questa problematica introducendo il concetto di Zero Trust, che prevede il blocco automatico di tutti i siti ai quali non è associata una reputazione, come illustrato nella tabella sottostante.
Reputazione del sito contattato | Esito sistema reputazionale standard | Esito sistema reputazionale Zero Trust |
Buona | Connessione permessa | Connessione permessa |
Non Presente | Connessione permessa | Connessione bloccata |
Cattiva | Connessione bloccata | Connessione bloccata |
Il blocco dei siti per i quali la reputazione non è presente può portare delle problematiche all’operatività. Tali host si suddividono in due macrocategorie:
- siti i cui volumi di traffico sono trascurabili, e che sono pertanto sfuggiti ai controlli;
- siti “giovani”, che non sono stati ancora analizzati per ragioni di tempo.
Il blocco dei siti con volume di traffico trascurabile può portare problemi soprattutto alle aziende che annoverano tra i loro clienti piccole realtà, i cui siti web hanno una bassa numerica di visite; per ovviare a questa problematica alcuni vendor hanno deciso di applicare un concetto diverso di zero trust, applicandolo solamente ai siti nati negli ultimi 30 giorni, come evidenziato dalla tabella sottostante.
Reputazione del sito contattato | Esito sistema reputazionale standard | Esito sistema reputazionale Zero Trust | Esito sistema reputazionale Zero Trust 30 days |
Buona | Connessione permessa | Connessione permessa | Connessione permessa |
Non Presente, nato più di 30 giorni fa | Connessione permessa | Connessione bloccata | Connessione permessa |
Non Presente, nato meno di 30 giorni fa | Connessione permessa | Connessione bloccata | Connessione bloccata |
Cattiva | Connessione bloccata | Connessione bloccata | Connessione bloccata |
Questo approccio riesce a mitigare il problema relativo alle aziende con clienti di piccole dimensioni, ma apre la porta a problematiche di sicurezza (è sufficiente “comportarsi bene” per i primi 30 giorni per avere una buona reputazione e non venir bloccati) e non risolve i problemi di operatività legati ai siti recenti.
A causa della pandemia, negli ultimi 18 mesi abbiamo assistito a un’accelerata della migrazione in cloud dei servizi, e si stima che ogni giorno nascano circa seicentomila nuovi siti, in maggioranza legittimi e sovente necessari per svolgere attività lavorative (pensiamo, ad esempio, a tutti i siti per vaccini/scarico green pass e riscossione dei vari bonus come “ilpiemontetivaccina.it”, “buonomobilita.it” o “dgc.gov.it”).
In un ambiente al quale è applicato il principio “Zero trust 30 days” è possibile risolvere questa problematica solamente sbloccando i domini uno ad uno: essendo tale attività manuale, però, molto spesso le tempistiche sono lunghe (anche a causa del progressivo allungarsi della coda di sblocco), e l’operatività può essere danneggiata per giorni.
In queste condizioni l’utente è quindi incentivato a “fuggire” dal sistema di protezione, utilizzando strumenti personali e non protetti per portare a termine le attività lavorative o altre attività urgenti, mettendo quindi a repentaglio la sicurezza in un chiaro esempio di eterogenesi dei fini.
Soluzioni per salvaguardare sicurezza ed operatività
Per riuscire a proteggere la navigazione contro gli zero day del web senza inficiare l’operatività bisogna ragionare su un nuovo tipo di paradigma, che non si basi solamente sulla reputazione, ma piuttosto sul comportamento in tempo reale grazie all’applicazione della threat intelligence.
In particolare, è possibile ridurre sensibilmente questo fenomeno agendo sia in prevention che detection:
- prevention, per evitare di dare una massa tale di informazioni durante la navigazione utili per costruire un attacco di spear phishing dalle elevate probabilità di successo, che portano gli utenti ad atterrare su domini non appena le campagne malevole hanno inizio (i webtracker raccolgono interessi, abitudini, software ed estensioni installate con relative vulnerabilità). A tal proposito, è possibile utilizzare una soluzione di protezione della navigazione che rende l’utente “invisibile”;
- detection, identificando i siti malevoli dal momento in cui nascono fino a quando inizia la campagna malevola. L’individuazione di queste URL è fattibile solo reagendo su base comportamentale grazie all’intelligenza artificiale ed al deep learning. Al riguardo, è già disponibile un algoritmo che, tenendo in considerazione centinaia di features, è in grado di identificare fino a 48 ore di anticipo rispetto a qualsiasi software esistente le minacce zero-day del web; ogni minuto che passa dalla nascita di una campagna malevola alla sua detection aumenta significativamente la superficie di attacco.
