Uno dei pillar fondamentali da valutare a fondo per il corretto approccio aziendale alla cyber security e che concorre a garantire un livello di sicurezza sufficientemente elevato, sono le soluzioni di Endpoint e Threat Protection.
L’endpoint protection costituisce la prima linea difensiva interna che un attaccante deve superare al fine di poter compromettere una macchina e successivamente poter effettuare movimenti laterali all’interno della rete aziendale.
Come troppo spesso accade, invece, molte aziende utilizzano un approccio alla security basato meramente su checklist, con il solo scopo di essere compliant a standard di terze parti che definiscono i criteri minimi necessari affinché ci si possa ritenere al sicuro dalle minacce sempre più in crescente evoluzione.
Quasi sempre questi standard si concentrano sulla presenza di soluzioni di difesa perimetrale (firewall, IPS ecc.) – che sicuramente sono di notevole importanza – trascurando che la minaccia possa presentarsi dall’interno o possa giungere dall’esterno, avvalendosi di tecniche di social engineering, andando a colpire l’anello debole della catena: le persone.
Per tale ragione, siamo sempre più convinti che ciascuna realtà aziendale, che sia piccola o di grandi dimensioni, debba soprattutto investire su risorse che abbiano un mindset sia offensivo che difensivo e sfruttare queste competenze al fine di proteggere in maniera proattiva ed efficace i propri asset, le proprie informazioni e di conseguenza il proprio business.
È ovvio che affidare la propria sicurezza ad un solo strumento possa essere estremamente riduttivo se non addirittura pericoloso. Come infatti qualsiasi esperto del settore della cyber security sa, la sicurezza si ottiene come prodotto di diversi fattori tra cui l’attuazione di procedure, lo sfruttamento di competenze, l’utilizzo di strumenti di sicurezza, una visione d’insieme del perimetro e dei punti di accesso di cui un’azienda dispone.
Limitarsi all’implementazione di uno stack di prodotti commerciali, avendo come fine ultimo il completamento di una checklist, può dare un falso senso di sicurezza che un attaccante attento e dotato di skills tecniche può facilmente superare.
Indice degli argomenti
Soluzioni di Endpoint e Threat Protection: la soluzione giusta
I metodi per arrivare a compromettere un obiettivo sono molteplici e vanno, ad esempio, dall’utilizzo di una vulnerabilità nota sfruttata su una web application pubblicamente esposta, a scenari di social engineering che fanno leva sulla poca istruzione e consapevolezza delle persone su tematiche di security, sino ad arrivare, in caso di Threat Actor dotati di skills avanzate, allo sfruttamento di vulnerabilità 0-day. Nel corso della nostra esperienza lavorativa, abbiamo investito una buona quantità di tempo nella scelta di una soluzione di Endpoint e Threat Protection sofisticata.
Abbiamo accuratamente valutato le diverse opzioni disponibili sul mercato, incrociando i dati forniti dai vendor con valutazioni di terze parti. In particolare, abbiamo utilizzato il quadrante Gartner, ritenuto dagli esperti del settore una fonte di valutazione assolutamente affidabile da prendere in considerazione durante la scelta di un prodotto IT/Security.
Pur basandoci su framework e standard noti nel settore, abbiamo impostato un approccio Red – Blue Team, cercando di verificare la resilienza della soluzione implementata mediante l’utilizzo di tecniche sufficientemente avanzate, come nel caso di un Threat Actor reale. Il risultato è stato sorprendente.
In passato l’approccio principale utilizzato dai software antimalware era di tipo signature-based, ovvero i campioni dei file malevoli venivano identificati mediante unasignature, tipicamente un hash.
Tuttavia, modificando opportunamente l’eseguibile malevolo adoperando tecniche di offuscamento si riusciva agevolmente ad effettuare il bypass della soluzione di protezione.
Col passare del tempo l’industria antimalware ha concepito ed introdotto diversi altri approcci tra cui:
- l’analisi euristica, che analizza i vari frammenti di codice e li confronta con codici di malware noti presenti all’interno di un database euristico. Se una certa porzione del sorgente analizzato corrisponde a uno o più frammenti presenti nel database, questo viene riconosciuto come malevolo;
- l’utilizzo di sandbox, che prevede di eseguire il software malevolo all’interno di un ambiente isolato ed osservarne il comportamento prima di stabilire se si tratti o meno di software legittimo.
Negli ultimi anni gli antimalware stanno sempre di più spostandosi su approcci innovativi come:
- Application Whitelisting, che prevede di confrontare il software eseguito con una lista di software conosciuti come legittimi e bloccare tutto ciò che non è noto. Sebbene questa tecnica sia efficace ha lo svantaggio di essere molto restrittiva;
- IA (Intelligenza Artificiale/Machine Learning), che prevede l’uso di intelligenza artificiale per scremare i software legittimi costruendo prima di tutto una baseline di funzionamento del sistema operativo e di componenti legittimi (fase iniziale di training) per poi identificare ciò che si discosta da questa base.
Sebbene moltissimi vendor si promuovano come utilizzatori di approcci innovativi come l’uso di IA/Machine Learning, in realtà effettuando test approfonditi, risulta ancora possibile eseguire il bypass di queste soluzioni adoperando dei custom payload.
Dalla nostra esperienza nella scelta di una soluzione di Endpoint e Threat Protection abbiamo notato che l’utilizzo degli shellcode, opportunamente offuscati, codificati, iniettati ed eseguiti direttamente dalla memoria, siano ancora tutt’oggi un ottimo metodo per il bypass di queste tipologie di soluzioni di endpoint protection.
La caratteristica di questi pezzi di codice eseguibile, dalle dimensioni particolarmente ridotte, che sfruttano direttamente le chiamate indirizzate al sistema operativo, ne fanno un ottimo metodo per bypassare anche le più evolute soluzioni disponibili sul mercato.
Alcune di queste, infatti, agendo probabilmente solo sul Ring-3 (User-Mode) non sono particolarmente indicate per proteggere da minacce di questo tipo. Ciò che è possibile riscontrare è che è sufficiente modificare le tecniche di codifica di shellcode anche noti per ottenere un bypass completo.
L’aspetto più inquietante risiede nel fatto che il bypass permetta di eseguire tutta una serie di azioni tipiche degli scenari di post exploitation, come ad esempio: prendere possesso della webcam e del microfono della vittima, catturare in real time qualsiasi tasto digitato sulla tastiera e via dicendo senza essere rilevati dagli engine in grado di eseguire behavioral analysis per mezzo di tecnologie avanzate come la IA o Machine Learning.
Conclusioni
Quello che stupisce ancora è come nel 2020 alcune di queste tecniche passino under-the-radar, a riprova che fare sicurezza efficacemente sia molto lontano dall’implementare una semplice checklist.
Alla luce di quanto descritto finora, è chiaro che oltre a persone particolarmente abili nell’identificare e sfruttare vulnerabilità di questo tipo e porvi rimedio, sia assolutamente necessaria una formazione dei propri dipendenti, affinché possano essere preparati a identificare i possibili e sempre più sofisticati vettori d’attacco utilizzati dai Threat Actors.
