Post on 27-Jul-2020
transcript
BUYERS GUIDE
Introduzione
Il panorama della sicurezza oggi
Negli ultimi due decenni di alti e bassi tecnologici, due cose non sono cambiate. In primo luogo, i criminali
continuano a trovare modi per annientare le misure di sicurezza poste in essere. In secondo, gli endpointi
continuano ad essere il loro obiettivo principale. Ed ora, con il cloud ed il mobile computing, i dispositivi
endpoint sono diventati il nuovo perimetro aziendale e quindi la necessità di proteggerli risulta ancora
maggiore.
Le compagnie stanno implementando tonnellate di software sugli endpoint per proteggerli - antivirus, anti-
malware, desktop firewalls, intrusion detection, vulnerability management, web filtering, antispam, e la lista
continua. Ma nonostante questa pletora di soluzioni adottate, le compagnie continuano ad registrare data breach.
Perché la sicurezza tradizionale non funziona
C’è un problema fondamentale nella sicurezza che ci lascia sostanzialmente nello stesso punto: essa cerca
qualcosa di già noto – un hash, un indirizzo IP, una vulnerabilità, un comportamento. Fondamentalmente, i
criminali sono in grado di utilizzare tecniche di mascheramento sufficienti a bypassare i software di
sicurezza, rendendo il server o il laptop nuovamente vittima di un attacco. È davvero semplice alterare
questo codice malevolo con strumenti create o scaricati da Internet per evitare le misure di sicurezza.
Chiunque abbia un minimo di capacità di programmazione può farlo. La figura mostra alcune tecniche di
mascheramento spesso usate unitamente per prendere un file binario noto e farlo sembrare qualcosa di
completamente nuovo, sconosciuto e all’apparenza inoffensivo.
Assieme alle tecniche di mascheramento, i criminali stanno impiegando vettori diversi o strade diverse
per consegnare codice malevolo e portare avanti i loro attacchi. I principali vettori di attacco sono
elencati sulla destra. Gli attacchi possono essere a singolo vettore o, in modo più sofisticato, a vettore
multiplo.
Next Generation Endpoint Protection
Attack Masking Techniques
Packers
Designed to ensure code runs
only on a real machine (anti-
virtual machines, sleepers,
interactions, anti-debug)
Variations/Obfuscators
Alters known malicious code to
make it appear new/different
Malware
The code that runs on the
victirm's machine
Targeting
Allows code to run only on a
specific targeted machine or
device with specific configuration
Wrappers
Designed to turn code into
a new binary
L’antivirus è morto?
Sono passata ormai venticinque anni da quando è stato introdotto il primo antivirus, tuttavia non è stato
innovato per proteggere contro gli attacchi che traggono vantaggio da minacce non note. L’antivirus continua
a cercare un hash conosciuto e piccole modifiche a questo hash possono bypassare il sistema. L’antivirus
inoltre non rileva il fatto che gli attacchi possono essere file-less, attacchi che infettano la memoria e
scrivono direttamente nella RAM piuttosto che nel file system.
Inoltre, l’antivirus è noto per non essere user-friendly, monopolizzare la banda durante gli aggiornamenti e
consumare risorse con intensive scansioni, rallentando la produttività. Ciò non soltanto porta a downtime, ma spesso
frustra gli utenti che potrebbero essere indotti a disabilitare il software o ignorarne le notifiche.
La sandbox come difesa?
Circa 5 anni fa, sono entrate in scena le sandbox. Queste, essenzialmente, ‘simulano’ l’esecuzione di file
sconosciuti all’interno di una macchina virtuale residente sulla rete e monitorano il comportamento del file
durante la sua esecuzione all’interno di questo ambiente protetto. Se da un lato queste soluzioni sono state
in grado di aumentare il tasso di rilevazione di nuove minacce, dall’altro sono ben lontane dall’essere efficaci
al 100%.
Gli attaccanti si sono rapidamente resi contro che, dal momento che le loro tecniche di mascheramento non
potevano essere utilizzate per bypassare la sandbox, era per loro sufficiente comprendere l’ambiente, cosa
facilmente fattibile notando il tempo limitato di simulazione, la mancanza di interazione utente, e una sola
specifica immagine del sistema operativo. Una volta identificato l’ambiente, si assicurano che il codice non
entrerà in esecuzione nell’ambiente simulato, sarà contrassegnato come benigno, e continuerà la sua strada
fino al dispositivo finale e verrà eseguito solo là (dove l’antivirus può fare ben poco per bloccarlo).
Modelli matematici per AV di nuova generazione
Si fa un gran parlare sugli ‘Antivirus di nuova generazione’ che affermano di essere stati sviluppati con
‘matematica predittiva’, ‘machine learning’, e ‘artificial intelligence’. Trascurando il fatto se la sottostante
tecnologia costituisca reale Intelligenza Artificiale o no, l’approccio complessivo (dal punto di vista della
sicurezza) è sbagliato. Il più celebrato prodotto di prevenzione su modello matematico non riuscirà a risolvere
le sfide sulla sicurezza globale dei tuoi endpoint.
Con questo nuovo panorama di minacce, è necessario un modello che utilizzi un approccio nuovo.
Attack vectors
Malware Exploits Live/Insider Threats
Executables
Malware, Trojans,
Worms, Backdoors,
Payload-based
Documents
Exploits rooted in Office
documents, Adobe, Macros.
Spearphishing emails
Scripts
Powershell, WMI,
PowerSploit, VBS
Fileless
Memory-only malware
No discbased indicators
Browser
Drive by downloads, Flash, Java,
Javascript, vbs,
iframe/html5,plug-ins
Credentials
Credentials scraping,
Mimikatz, Tokens
Cinque motivi per guardare oltre agli AV math-based
1. Malware basato su file – solo metà della battaglia
Gli attacchi PE e DLL rappresentano SOLTANTO il 50/60 del nuovo malware osservato ogni settimana. I
prodotti di pura prevenzione saranno totalmente inefficaci contro le minacce che usano vettori multipli,
soprattutto quando neppure utilizzano file, come:
• Malware memory-based
• Exploits
• Attacchi script-based dall’interno
2. Alcune cose non possono venire predette
Che la vera natura, benevola o malevola, di un file possa essere predetta tramite l’analisi statistica di
attributi è FALSO. Il malware è guidato dal comportamento umano che rende quasi impossibile predire
quali nuove tattiche e tecniche gli attaccanti svilupperanno.
3. 99% non è abbastanza
Quando 99% si riferisce soltanto al malware file-based, non è abbastanza. Persino se il 99% del malware file-
based viene bloccato, che faremo del restante 1%?
Se vieni minacciato da 100 varianti di malware, allora la prevenzione al 99.9% sembra abbastanza buona, ma
che succede se ce ne sono letteralmente milioni?
Un nuovo attacco zero-day viene scoperto quasi ogni settimana, e OGNI settimana vengono rilasciate quasi 1
milioni di nuove varianti di malware.
Soltanto UNO di questi attacchi potrebbe causare un tremendo danno finanziario e reputazionale ad
un’organizzazione.
4. Insegnare all’Intelligenza Artificiale richiede tempo
Al momento dell’installazione, c’è un sostanziale sovraccarico di lavoro, quando i team IT e Security devono
spendere del tempo per dire al sistema che cosa è sano e cosa no, dal momento che il prodotto non usa file
di definizione.
Inoltre, sta agli amministratori indagare sui file basati su hash MD5 e sui report di threat intelligence.
A seconda dell’ambiente e del numero di risorse IT dedicate al progetto sicurezza, questo processo potrebbe
richiedere un tempo estremamente lungo.
5. Nessuna opzione on-prem
Se la tua organizzazione ha policy di protezione dati molto stringenti che richiedono di non utilizzare il cloud,
il più celebrato antivirus math-based di nuova generazione non è un’opzione possibile dal momento che è
strettamente cloud-based, con nessuna possibilità di installarlo sui propri server.
Endpoint protection di nuova generazione
Negli ultimi anni, è emersa una nuova tecnologia progettata per rilevare ed evitare le minacce agli
endpoint utilizzando un approccio unico, basato sul comportamento. Invece di cercare qualcosa di
noto o qualche variante della rilevazione basata sulle signature, l’endpoint security di nuova
generazione analizza le caratteristiche dei file (per scoprire malware file-based noto e non noto) così
come l’intero comportamento del sistema endpoint per individuare attività sospette in esecuzione.
L’Endpoint detection and response (EDR) monitora le attività e rende gli amministratori in grado di agire
contro gli incidenti per evitare che si diffondano all’interno dell’organizzazione. La Next-Generation
Endpoint Protection (NGEP) fa un passo ulteriore: effettua azioni automatiche per evitare e rimediare agli
attacchi.
Fino a poco tempo fa, gli amministratori sono stati restii ad utilizzare le funzionalità di protezione a
causa dei falsi positivi associati al contrassegnare comportamenti non abituali che non erano
malevoli. Skype, per esempio, contravviene a molte regole di una ‘normale’ applicazione, saltando
porte e protocolli, e tuttavia è un’applicazione legittima spesso impiegata nel business. La NGEP deve
avere la capacità di apprendere quelli che sono l’ambiente e i sistemi locali in modo da non bannare
comportamenti benevoli.
Next generation endpoint protection come sostituto dell’antivirus
Se stai valutando soluzioni di next-generation endpoint security, potresti stare pensando che è ancora
un altro strumento che deve essere installato e che potrebbe sovraccaricare il tuo endpoint (così come il
tuo budget). Se sei in un settore regolamentato, forse potresti essere costretto a mantenere il tuo
antivirus ed installare l’endpoint protection come layer aggiuntivo contro attacchi nuovi e sconosciuti.
Molti vendor di next-generation endpoint security di fatto non possono sostenere che possono sostituire
l’AV. Ma se il vendor di nuova generazione è stato testato e la sua capacità di soddisfare i requisiti AV
sono stati certificati, allora puoi pensare di sostituire il tuo antivirus con la sua soluzione di next-
generation endpoint security.
Per sostituire completamente le capacità di protezione delle esistenti tecnologie statiche di
protezione degli endpoint, la NGEP deve essere in grado di proteggere gli endpoint da sola contro le
minacce note e avanzate nei vari stadi del loro ciclo di vita: pre-esecuzione, esecuzione, post-
esecuzione. La tua soluzione di Next Generation Endpoint Protection (NGEP) deve soddisfare quattro
pilastri fondamentali che, presi assieme, possono rilevare ed evitare i più avanzati metodi di attacco
ad ogni stadio del loro ciclo di vita:
Un approccio nuovo all’endpoint security
Rilevazione di malware avanzato
La tua NGEP deve essere in grado di rilevare e bloccare malware sconosciuto e attacchi targhetizzati, anche
quelli che non mostrano alcuni indicatore static di compromissione. Questo richiede l’analisi dinamica del
comportamento, ossia il monitoraggio e l’analisi in tempo reale del comportamento di applicazioni e processi
basato sulla strumentazione di basso livello delle attività ed operazioni del sistema operativo, compresi
memoria, disco, registro, rete ed altro. Dal momento che molti attacchi si rifanno a processi di sistema e
applicazioni legittime per mascherare la propria attività, la possibilità di ispezionare l’esecuzione e di
ricavarne l’intero contesto di esecuzione è fondamentale. Ciò è ancora più efficace quando effettuato sul
dispositivo, indipendentemente dal fatto che sia online o offline (per esempio, per proteggerlo anche dagli
attacchi USB).
Mitigazione
Rilevare le minacce è necessario ma con la mera rilevazione molti attacchi continuano irrisolti per giorni,
settimane o mesi. La mitigazione automatica e puntuale deve essere parte integrante di una soluzione
NGEP. Le opzioni di mitigazione dovrebbero essere basate su policy e sufficientemente flessibili da
coprire una vasta gamma di casi d’uso, come mettere in quarantena un file, uccidere un processo
specifico, disconnettere una macchina infetta dalla rete o persino spegnerla. La rapida mitigazione
durante gli stadi iniziali di un attacco potrà minimizzare il danno e velocizzare la remediation.
Remediation
Durante l’esecuzione, il malware spesso crea, modifica o cancella file di sistema e impostazioni di
registro, e cambia le impostazioni di configurazione. Queste modifiche, o le trace che esse lasciano,
possono causare malfunzionamenti o instabilità del sistema. La NGEP deve essere in grado di riportare
un endpoint al suo stato sano di pre-infezione, effettuando il log delle modifiche e della remediation.
Forensics
Dal momento che nessuna tecnologia di sicurezza può sostenere di essere efficace al 100%, la
capacità di fornire analisi forense e visibilità in tempo reale è fondamentale. La visibilità chiara e
puntuale sulle attività malevole ti permette di valutare rapidamente la vastità di un attacco e opporvi
contromisure appropriate. Ciò richiede un chiaro trail di audit in tempo reale di quello che è
successo in un endpoint durante un attacco e la capacità di ricercare indicatori di compromissione.
Domande da porre
Ora che sai che cosa ricercare in una soluzione di endpoint protection di nuova generazione, devi
cominciare a valutare i vendor sulla tua shortlist. Chiedi una valutazione al vendor, ed accertati che sia un
software in full production in modo da vedere come lavorerà di fatto nel tuo ambiente e rispetto ai test di
sicurezza che hai in mente di fare. Per la tua valutazione, prendi in considerazione le seguenti domande:
1. La soluzione EPP e EDR è combinata in un singolo agent che può venire installato sugli endpoint
tramite i tradizionali strumenti di software deployment e gestito via una singola console centralizzata?
2. Il software offre la possibilità di essere utilizzato sia in cloud che on-prem? Per esempio, se una
compagnia ha due differenti team IT che hanno la necessità di gestire diverse entità o filiali in
paesi diversi, il software può supportare questa cosa e gestire gli endpoint?
3. Per quanto riguarda gli endpoint (compresi i dispositivi mobile, se supportati), quali sistemi
operativi e quali versione principali sono supportate? Per ciascuno, quali sono i requisiti di
prestazione (CPU, memoria, storage)?
4. In che modo, tecnicamente parlando, il software rileva e impedisce gli attacchi per ciascun
vettore – compresi malware, exploits, e live/insider threats?
5. Con quale frequenza viene aggiornato? E in che modo vengono effettuati gli aggiornamenti
sull’endpoint?
6. L’aggiornamento richiede qualche intervento da parte dell’utente (es. reboot?)
7. Il software può agire efficacemente contro le minacce anche se l’endpoint è offline?
8. Il prodotto è scalabile? Quanti client possono essere supportati dalla console di gestione?
9. Il server di gestione è cloud-based o on-premise?
10. Come si evitano i falsi positive ed in che modo si apprendono i comportamenti benevoli del
sistema?
11. Qual è il tasso di falsi positivi?
12. Il software si integra con i sistemi SIEM per la gestione degli incidenti?
13. Ci sono policy di prevenzione per proteggere contro le minacce in tempo reale?
14. Quale livello di supporto viene fornito dal vendor?
15. Gli aggiornamenti e gli upgrade sono compresi nella licenza?
Valutare le soluzioni di next generation endpoint protection
Una breve storia
SentinelOne è stata fondata da un Gruppo di esperti della difesa e dell’intelligence che videro il bisogno
di un approccio radicalmente nuovo alla protezione degli endpoint. Attualmente, il team di SentinelOne
rimane completamente dedito ad una costante innovazione.
SentinelOne endpoint protection platform
La piattaforma di Endpoint Protection (EPP) di SentinelOne offre alle organizzazione la protezione in
tempo reale degli endpoint che unisce prevenzione, rilevazione e risposta in un’unica piattaforma
tramite una singola console. SentinelOne EPP fa uso di machine learning avanzato ed automazione
intelligente per proteggere dispositivi endpoint Windows, OS X, e Linux da qualsiasi vettore di
minaccia: malware avanzato (file- e memory-based), exploits e attacchi script-based. Monitora
attentamente tutti i processi e i thread sul sistema fino a livello kernel. Una visione completa delle
operazioni del sistema – chiamate di sistema, funzioni di rete, I/O, registro, ed altro – così come
informazioni cronologiche, forniscono una visione contestuale completa che permette di distinguere i comportamenti
benevoli da quelli malevoli. Una volta identificato e classificato un pattern malevolo, viene immediatamente innescata
una serie di risposte che mettono fine all’attacco ancor prima che inizi.
Perché SentinelOne?
Le risposte comprendono:
Mitigazione
Policy semplici da configurare che uccidono i processi, quarantenano o eliminano i file binari malevoli e le
loro trace, e isolano gli endpoint dalla rete.
Immunizzazione
Appena sventato un attacco, i suoi dettagli sono immediatamente condivisi con gli altri endpoint della
rete, immunizzando questi sistemi che potrebbero essere parte di un attacco combinato.
Remediation
Ripristino automatico dei file cancellati o modificati al loro stato prima dell’attacco (anche ransomware)
Forensics
Una visione a 360 gradi dell’attacco comprese informazioni su file, path, nome del computer, IP, dominio e
altro, disponibili nella tua console SentinelOne o nel tuo SIEM.
Inoltre, SentinelOne EPP è una soluzione unica e leggera che utilizza in media l’1 – 2% della CPU, in
modo che l’endpoint è in grado di operare senza rallentamenti – che sia un laptop, un computer
desktop, un dispositivo mobile o un server. Dal momento che si focalizza su ciò che è giusto per
ciascun sistema, non è necessaria alcuna scansione attiva o aggiornamento delle signature, e gli
endpoint sono sempre protetti, sia online che offline. SentinelOne EPP è supportato sui principali
sistemi operative mobile, desktop, laptop e server.
AV-TEST, leader tra gli istituti di ricerca antivirus indipendenti, ha riconosciuto a SentinelOne EPP la
certificazione di Approved Corporate Endpoint Protection sia per Windows che per OS X, il che avvalla la sua
efficacia nel rilevare malware avanzato e nel bloccare minacce conosciute. SentinelOne EPP è l’unica
soluzione di protezione degli endpoint di nuova generazione che ha ottenuto questa certificazione per
entrambe le piattaforme.
SentinelOne EPP è stato inoltre validato rispetto alla compliance con gli standard PCI-DSS e HIPAA da Tevora,
valutatore terzo indipendente. Questa validazione permette ora alle imprese di sostituire le proprie suite
antivirus con SentinelOne EPP e rimanere conformi ai requisiti PCI e HIPAA.
Per maggiori informazioni sulla piattaforma SentinelOne Next-
Generation Endpoint Protection Platform ed il future della protezione
degli endpoint,
visita: digitree.it/sentinelone
© 2018 SentinelOne, Inc. All rights reserved.
Certified antivirus replacement