APTLA NUOVA FRONTIERA DELLAMINACCIA INFORMATICA.PUBBLICAZIONE: NOVEMBRE 2014

2

APT (Advanced Persistent Threat) rappresenta una metodologia totalmente nuova nello sviluppo, nel comportamento e nella diffusione delle minacce informatiche

Il loro livello avanzato di struttura consente di mutare il loro comportamento evadendo le tecniche standard utilizzate dai comuni motori Anti-Virus.

Una delle tipologie di criticita' piu' comuni, appartenenti a questa macro categoria, e' la minaccia di tipo Zero-Day, che identi�ca un tempo pressoche' esiguo fra l'individuazione della "falla" informatica e la "distribuzione" in rete della relativa minaccia.

E' quindi evidente che con questa tipologia di attacco, il normale funzionamento di un motore Anti-Virus non risulta piu' essere efficace, a causa proprio della latenza nel produrre la signature "difensiva".

LA SICUREZZA INFORMATICA SI TROVA A DOVER FRONTEGGIAREUN ALTRO TERRIBILE OSTACOLO: LE MINACCE APT.

3

Quando si parla di Advanced Persistent Threat la piu' grande difficolta' e' proprio quella di non conoscere a fondo il comportamento, le tempistiche e le conseguenze proprie di questa tipologia di attacchi. Nell'ambito di un normale controllo Anti-Virus, l'efficacia risiede nella presenza o meno della signature all'interno del DataBase in uso dal motore AV che sta eseguendo la scansione del dato. Il completamento della minaccia virale all'interno del dato analizzato, scaturisce la “decisione” sul dafarsi.

In questa casistica la staticita' del comportamento di un Virus di vecchia generazione, rende questo intervento piu' semplice.

Le minaccie Avanzate e Persistenti mutano il loro comportamento rendendo inefficace l'analisi fatta da un motore AV standard, dove nei casi di minaccia Zero-Day, la mancanza di tempestivita' nel rilasciare la signature crea una elevatissima possibilita' di infezione.

APT: CONOSCI IL TUO NEMICOCosa puo' essere fatto a difesa di questo nuovo modello di attacco?

Watchguard Technologies ha implementato sulla serie XTM, un nuovo motore perimetrale, che va a rafforzare ulteriormente la sua soluzione UTM.

Si tratta della soluzione APT Blocker.

Anche in questo caso si e' mantenuta salda la �loso�a Best-of-Breed affidando il servizio ad un Leader di settore come Lastline.

4

APT Blocker lavora in simbiosi con il motore GAV (Gateway Anti-Virus, fornito da AVG) gia' consolidato nelle soluzioni Security Bundle. E' quindi necessario avere entrambe le sottoscrizioni attive per poterlo utilizzare.

COSA SERVE PER UTILIZZARE APT BLOCKER:

5

Il motore APT agisce dopo la scansione AV eseguita ad opera della soluzione XTM. In caso tale scansione dia esito negativo, il motore APT blocker comincia la sua fase di analisi con l'ausilio del servizio Cloud di Lastline.

In prima fase viene confrontato un HASH-MD5 del �le con un DataBase di altri HASH acquisiti e riconosciuti da Lastline a frutto delle varie analisi fatte.

Ma se anche in questo caso il risultato dovesse essere negativo, il �le (o meglio la sua parte de�nita nella con�gurazione del motore AV)

COME FUNZIONA IL MOTORE APT (I)

6

Viene elaborato all'interno di una “Sand-Box” nel cloud lastline, ovvero una area totalmente virtuale in termini di Sistemi Operativi, component Hardware (CPU, RAM..) al �ne di eseguire una vera e propria simulazione valutando l'effetto che il �le da analizzare produce sulle componenti citate in precedenza e giudicandolo quindi con un grado di criticita' al quale corrispondera' una azione decisa dalla con�gurazione su XTM.

COME FUNZIONA IL MOTORE APT (II)

7

Il motore APT Blocker trova applicazione nella con�gurazione delle Proxy Action inerenti ai protocolli dove un “�le” puo' transitare come dato:

DOVE SI APPLICA IL MOTORE APT BLOCKER? (I)

Proxy HTTP

DOVE SI APPLICA IL MOTORE APT BLOCKER? (II)

Proxy SMTP

Proxy FTP

8

COME POSSO AVERE VISIBILITA' E TRACCIA DEI RISULTATI?

9

Una analisi completa non prevede solo la fase di intercettazione ed azione operativa, ma richiede imprescindibilmente uno strumento di Logging e Reportistica dettagliato e di facile interpretazione, che possa essere utilizzato come vero e proprio strumento per “Mostrare” l'efficacia dell'investimento eseguito.

WatchGuard Dimension si adopera anche in questa veste, mostrando la sua ormai nota validita' anche sull'operato del nuovo motore APT Blocker.