BUYERS GUIDE

Introduzione

Il panorama della sicurezza oggi

Negli ultimi due decenni di alti e bassi tecnologici, due cose non sono cambiate. In primo luogo, i criminali

continuano a trovare modi per annientare le misure di sicurezza poste in essere. In secondo, gli endpointi

continuano ad essere il loro obiettivo principale. Ed ora, con il cloud ed il mobile computing, i dispositivi

endpoint sono diventati il nuovo perimetro aziendale e quindi la necessità di proteggerli risulta ancora

maggiore.

Le compagnie stanno implementando tonnellate di software sugli endpoint per proteggerli - antivirus, anti-

malware, desktop firewalls, intrusion detection, vulnerability management, web filtering, antispam, e la lista

continua. Ma nonostante questa pletora di soluzioni adottate, le compagnie continuano ad registrare data breach.

Perché la sicurezza tradizionale non funziona

C’è un problema fondamentale nella sicurezza che ci lascia sostanzialmente nello stesso punto: essa cerca

qualcosa di già noto – un hash, un indirizzo IP, una vulnerabilità, un comportamento. Fondamentalmente, i

criminali sono in grado di utilizzare tecniche di mascheramento sufficienti a bypassare i software di

sicurezza, rendendo il server o il laptop nuovamente vittima di un attacco. È davvero semplice alterare

questo codice malevolo con strumenti create o scaricati da Internet per evitare le misure di sicurezza.

Chiunque abbia un minimo di capacità di programmazione può farlo. La figura mostra alcune tecniche di

mascheramento spesso usate unitamente per prendere un file binario noto e farlo sembrare qualcosa di

completamente nuovo, sconosciuto e all’apparenza inoffensivo.

Assieme alle tecniche di mascheramento, i criminali stanno impiegando vettori diversi o strade diverse

per consegnare codice malevolo e portare avanti i loro attacchi. I principali vettori di attacco sono

elencati sulla destra. Gli attacchi possono essere a singolo vettore o, in modo più sofisticato, a vettore

multiplo.

Next Generation Endpoint Protection

Attack Masking Techniques

Packers

Designed to ensure code runs

only on a real machine (anti-

virtual machines, sleepers,

interactions, anti-debug)

Variations/Obfuscators

Alters known malicious code to

make it appear new/different

Malware

The code that runs on the

victirm's machine

Targeting

Allows code to run only on a

specific targeted machine or

device with specific configuration

Wrappers

Designed to turn code into

a new binary

L’antivirus è morto?

Sono passata ormai venticinque anni da quando è stato introdotto il primo antivirus, tuttavia non è stato

innovato per proteggere contro gli attacchi che traggono vantaggio da minacce non note. L’antivirus continua

a cercare un hash conosciuto e piccole modifiche a questo hash possono bypassare il sistema. L’antivirus

inoltre non rileva il fatto che gli attacchi possono essere file-less, attacchi che infettano la memoria e

scrivono direttamente nella RAM piuttosto che nel file system.

Inoltre, l’antivirus è noto per non essere user-friendly, monopolizzare la banda durante gli aggiornamenti e

consumare risorse con intensive scansioni, rallentando la produttività. Ciò non soltanto porta a downtime, ma spesso

frustra gli utenti che potrebbero essere indotti a disabilitare il software o ignorarne le notifiche.

La sandbox come difesa?

Circa 5 anni fa, sono entrate in scena le sandbox. Queste, essenzialmente, ‘simulano’ l’esecuzione di file

sconosciuti all’interno di una macchina virtuale residente sulla rete e monitorano il comportamento del file

durante la sua esecuzione all’interno di questo ambiente protetto. Se da un lato queste soluzioni sono state

in grado di aumentare il tasso di rilevazione di nuove minacce, dall’altro sono ben lontane dall’essere efficaci

al 100%.

Gli attaccanti si sono rapidamente resi contro che, dal momento che le loro tecniche di mascheramento non

potevano essere utilizzate per bypassare la sandbox, era per loro sufficiente comprendere l’ambiente, cosa

facilmente fattibile notando il tempo limitato di simulazione, la mancanza di interazione utente, e una sola

specifica immagine del sistema operativo. Una volta identificato l’ambiente, si assicurano che il codice non

entrerà in esecuzione nell’ambiente simulato, sarà contrassegnato come benigno, e continuerà la sua strada

fino al dispositivo finale e verrà eseguito solo là (dove l’antivirus può fare ben poco per bloccarlo).

Modelli matematici per AV di nuova generazione

Si fa un gran parlare sugli ‘Antivirus di nuova generazione’ che affermano di essere stati sviluppati con

‘matematica predittiva’, ‘machine learning’, e ‘artificial intelligence’. Trascurando il fatto se la sottostante

tecnologia costituisca reale Intelligenza Artificiale o no, l’approccio complessivo (dal punto di vista della

sicurezza) è sbagliato. Il più celebrato prodotto di prevenzione su modello matematico non riuscirà a risolvere

le sfide sulla sicurezza globale dei tuoi endpoint.

Con questo nuovo panorama di minacce, è necessario un modello che utilizzi un approccio nuovo.

Attack vectors

Malware Exploits Live/Insider Threats

Executables

Malware, Trojans,

Worms, Backdoors,

Payload-based

Documents

Exploits rooted in Office

documents, Adobe, Macros.

Spearphishing emails

Scripts

Powershell, WMI,

PowerSploit, VBS

Fileless

Memory-only malware

No discbased indicators

Browser

Drive by downloads, Flash, Java,

Javascript, vbs,

iframe/html5,plug-ins

Credentials

Credentials scraping,

Mimikatz, Tokens

Cinque motivi per guardare oltre agli AV math-based

1. Malware basato su file – solo metà della battaglia

Gli attacchi PE e DLL rappresentano SOLTANTO il 50/60 del nuovo malware osservato ogni settimana. I

prodotti di pura prevenzione saranno totalmente inefficaci contro le minacce che usano vettori multipli,

soprattutto quando neppure utilizzano file, come:

• Malware memory-based

• Exploits

• Attacchi script-based dall’interno

2. Alcune cose non possono venire predette

Che la vera natura, benevola o malevola, di un file possa essere predetta tramite l’analisi statistica di

attributi è FALSO. Il malware è guidato dal comportamento umano che rende quasi impossibile predire

quali nuove tattiche e tecniche gli attaccanti svilupperanno.

3. 99% non è abbastanza

Quando 99% si riferisce soltanto al malware file-based, non è abbastanza. Persino se il 99% del malware file-

based viene bloccato, che faremo del restante 1%?

Se vieni minacciato da 100 varianti di malware, allora la prevenzione al 99.9% sembra abbastanza buona, ma

che succede se ce ne sono letteralmente milioni?

Un nuovo attacco zero-day viene scoperto quasi ogni settimana, e OGNI settimana vengono rilasciate quasi 1

milioni di nuove varianti di malware.

Soltanto UNO di questi attacchi potrebbe causare un tremendo danno finanziario e reputazionale ad

un’organizzazione.

4. Insegnare all’Intelligenza Artificiale richiede tempo

Al momento dell’installazione, c’è un sostanziale sovraccarico di lavoro, quando i team IT e Security devono

spendere del tempo per dire al sistema che cosa è sano e cosa no, dal momento che il prodotto non usa file

di definizione.

Inoltre, sta agli amministratori indagare sui file basati su hash MD5 e sui report di threat intelligence.

A seconda dell’ambiente e del numero di risorse IT dedicate al progetto sicurezza, questo processo potrebbe

richiedere un tempo estremamente lungo.

5. Nessuna opzione on-prem

Se la tua organizzazione ha policy di protezione dati molto stringenti che richiedono di non utilizzare il cloud,

il più celebrato antivirus math-based di nuova generazione non è un’opzione possibile dal momento che è

strettamente cloud-based, con nessuna possibilità di installarlo sui propri server.

Endpoint protection di nuova generazione

Negli ultimi anni, è emersa una nuova tecnologia progettata per rilevare ed evitare le minacce agli

endpoint utilizzando un approccio unico, basato sul comportamento. Invece di cercare qualcosa di

noto o qualche variante della rilevazione basata sulle signature, l’endpoint security di nuova

generazione analizza le caratteristiche dei file (per scoprire malware file-based noto e non noto) così

come l’intero comportamento del sistema endpoint per individuare attività sospette in esecuzione.

L’Endpoint detection and response (EDR) monitora le attività e rende gli amministratori in grado di agire

contro gli incidenti per evitare che si diffondano all’interno dell’organizzazione. La Next-Generation

Endpoint Protection (NGEP) fa un passo ulteriore: effettua azioni automatiche per evitare e rimediare agli

attacchi.

Fino a poco tempo fa, gli amministratori sono stati restii ad utilizzare le funzionalità di protezione a

causa dei falsi positivi associati al contrassegnare comportamenti non abituali che non erano

malevoli. Skype, per esempio, contravviene a molte regole di una ‘normale’ applicazione, saltando

porte e protocolli, e tuttavia è un’applicazione legittima spesso impiegata nel business. La NGEP deve

avere la capacità di apprendere quelli che sono l’ambiente e i sistemi locali in modo da non bannare

comportamenti benevoli.

Next generation endpoint protection come sostituto dell’antivirus

Se stai valutando soluzioni di next-generation endpoint security, potresti stare pensando che è ancora

un altro strumento che deve essere installato e che potrebbe sovraccaricare il tuo endpoint (così come il

tuo budget). Se sei in un settore regolamentato, forse potresti essere costretto a mantenere il tuo

antivirus ed installare l’endpoint protection come layer aggiuntivo contro attacchi nuovi e sconosciuti.

Molti vendor di next-generation endpoint security di fatto non possono sostenere che possono sostituire

l’AV. Ma se il vendor di nuova generazione è stato testato e la sua capacità di soddisfare i requisiti AV

sono stati certificati, allora puoi pensare di sostituire il tuo antivirus con la sua soluzione di next-

generation endpoint security.

Per sostituire completamente le capacità di protezione delle esistenti tecnologie statiche di

protezione degli endpoint, la NGEP deve essere in grado di proteggere gli endpoint da sola contro le

minacce note e avanzate nei vari stadi del loro ciclo di vita: pre-esecuzione, esecuzione, post-

esecuzione. La tua soluzione di Next Generation Endpoint Protection (NGEP) deve soddisfare quattro

pilastri fondamentali che, presi assieme, possono rilevare ed evitare i più avanzati metodi di attacco

ad ogni stadio del loro ciclo di vita:

Un approccio nuovo all’endpoint security

Rilevazione di malware avanzato

La tua NGEP deve essere in grado di rilevare e bloccare malware sconosciuto e attacchi targhetizzati, anche

quelli che non mostrano alcuni indicatore static di compromissione. Questo richiede l’analisi dinamica del

comportamento, ossia il monitoraggio e l’analisi in tempo reale del comportamento di applicazioni e processi

basato sulla strumentazione di basso livello delle attività ed operazioni del sistema operativo, compresi

memoria, disco, registro, rete ed altro. Dal momento che molti attacchi si rifanno a processi di sistema e

applicazioni legittime per mascherare la propria attività, la possibilità di ispezionare l’esecuzione e di

ricavarne l’intero contesto di esecuzione è fondamentale. Ciò è ancora più efficace quando effettuato sul

dispositivo, indipendentemente dal fatto che sia online o offline (per esempio, per proteggerlo anche dagli

attacchi USB).

Mitigazione

Rilevare le minacce è necessario ma con la mera rilevazione molti attacchi continuano irrisolti per giorni,

settimane o mesi. La mitigazione automatica e puntuale deve essere parte integrante di una soluzione

NGEP. Le opzioni di mitigazione dovrebbero essere basate su policy e sufficientemente flessibili da

coprire una vasta gamma di casi d’uso, come mettere in quarantena un file, uccidere un processo

specifico, disconnettere una macchina infetta dalla rete o persino spegnerla. La rapida mitigazione

durante gli stadi iniziali di un attacco potrà minimizzare il danno e velocizzare la remediation.

Remediation

Durante l’esecuzione, il malware spesso crea, modifica o cancella file di sistema e impostazioni di

registro, e cambia le impostazioni di configurazione. Queste modifiche, o le trace che esse lasciano,

possono causare malfunzionamenti o instabilità del sistema. La NGEP deve essere in grado di riportare

un endpoint al suo stato sano di pre-infezione, effettuando il log delle modifiche e della remediation.

Forensics

Dal momento che nessuna tecnologia di sicurezza può sostenere di essere efficace al 100%, la

capacità di fornire analisi forense e visibilità in tempo reale è fondamentale. La visibilità chiara e

puntuale sulle attività malevole ti permette di valutare rapidamente la vastità di un attacco e opporvi

contromisure appropriate. Ciò richiede un chiaro trail di audit in tempo reale di quello che è

successo in un endpoint durante un attacco e la capacità di ricercare indicatori di compromissione.

Domande da porre

Ora che sai che cosa ricercare in una soluzione di endpoint protection di nuova generazione, devi

cominciare a valutare i vendor sulla tua shortlist. Chiedi una valutazione al vendor, ed accertati che sia un

software in full production in modo da vedere come lavorerà di fatto nel tuo ambiente e rispetto ai test di

sicurezza che hai in mente di fare. Per la tua valutazione, prendi in considerazione le seguenti domande:

1. La soluzione EPP e EDR è combinata in un singolo agent che può venire installato sugli endpoint

tramite i tradizionali strumenti di software deployment e gestito via una singola console centralizzata?

2. Il software offre la possibilità di essere utilizzato sia in cloud che on-prem? Per esempio, se una

compagnia ha due differenti team IT che hanno la necessità di gestire diverse entità o filiali in

paesi diversi, il software può supportare questa cosa e gestire gli endpoint?

3. Per quanto riguarda gli endpoint (compresi i dispositivi mobile, se supportati), quali sistemi

operativi e quali versione principali sono supportate? Per ciascuno, quali sono i requisiti di

prestazione (CPU, memoria, storage)?

4. In che modo, tecnicamente parlando, il software rileva e impedisce gli attacchi per ciascun

vettore – compresi malware, exploits, e live/insider threats?

5. Con quale frequenza viene aggiornato? E in che modo vengono effettuati gli aggiornamenti

sull’endpoint?

6. L’aggiornamento richiede qualche intervento da parte dell’utente (es. reboot?)

7. Il software può agire efficacemente contro le minacce anche se l’endpoint è offline?

8. Il prodotto è scalabile? Quanti client possono essere supportati dalla console di gestione?

9. Il server di gestione è cloud-based o on-premise?

10. Come si evitano i falsi positive ed in che modo si apprendono i comportamenti benevoli del

sistema?

11. Qual è il tasso di falsi positivi?

12. Il software si integra con i sistemi SIEM per la gestione degli incidenti?

13. Ci sono policy di prevenzione per proteggere contro le minacce in tempo reale?

14. Quale livello di supporto viene fornito dal vendor?

15. Gli aggiornamenti e gli upgrade sono compresi nella licenza?

Valutare le soluzioni di next generation endpoint protection

Una breve storia

SentinelOne è stata fondata da un Gruppo di esperti della difesa e dell’intelligence che videro il bisogno

di un approccio radicalmente nuovo alla protezione degli endpoint. Attualmente, il team di SentinelOne

rimane completamente dedito ad una costante innovazione.

SentinelOne endpoint protection platform

La piattaforma di Endpoint Protection (EPP) di SentinelOne offre alle organizzazione la protezione in

tempo reale degli endpoint che unisce prevenzione, rilevazione e risposta in un’unica piattaforma

tramite una singola console. SentinelOne EPP fa uso di machine learning avanzato ed automazione

intelligente per proteggere dispositivi endpoint Windows, OS X, e Linux da qualsiasi vettore di

minaccia: malware avanzato (file- e memory-based), exploits e attacchi script-based. Monitora

attentamente tutti i processi e i thread sul sistema fino a livello kernel. Una visione completa delle

operazioni del sistema – chiamate di sistema, funzioni di rete, I/O, registro, ed altro – così come

informazioni cronologiche, forniscono una visione contestuale completa che permette di distinguere i comportamenti

benevoli da quelli malevoli. Una volta identificato e classificato un pattern malevolo, viene immediatamente innescata

una serie di risposte che mettono fine all’attacco ancor prima che inizi.

Perché SentinelOne?

Le risposte comprendono:

Mitigazione

Policy semplici da configurare che uccidono i processi, quarantenano o eliminano i file binari malevoli e le

loro trace, e isolano gli endpoint dalla rete.

Immunizzazione

Appena sventato un attacco, i suoi dettagli sono immediatamente condivisi con gli altri endpoint della

rete, immunizzando questi sistemi che potrebbero essere parte di un attacco combinato.

Remediation

Ripristino automatico dei file cancellati o modificati al loro stato prima dell’attacco (anche ransomware)

Forensics

Una visione a 360 gradi dell’attacco comprese informazioni su file, path, nome del computer, IP, dominio e

altro, disponibili nella tua console SentinelOne o nel tuo SIEM.

Inoltre, SentinelOne EPP è una soluzione unica e leggera che utilizza in media l’1 – 2% della CPU, in

modo che l’endpoint è in grado di operare senza rallentamenti – che sia un laptop, un computer

desktop, un dispositivo mobile o un server. Dal momento che si focalizza su ciò che è giusto per

ciascun sistema, non è necessaria alcuna scansione attiva o aggiornamento delle signature, e gli

endpoint sono sempre protetti, sia online che offline. SentinelOne EPP è supportato sui principali

sistemi operative mobile, desktop, laptop e server.

AV-TEST, leader tra gli istituti di ricerca antivirus indipendenti, ha riconosciuto a SentinelOne EPP la

certificazione di Approved Corporate Endpoint Protection sia per Windows che per OS X, il che avvalla la sua

efficacia nel rilevare malware avanzato e nel bloccare minacce conosciute. SentinelOne EPP è l’unica

soluzione di protezione degli endpoint di nuova generazione che ha ottenuto questa certificazione per

entrambe le piattaforme.

SentinelOne EPP è stato inoltre validato rispetto alla compliance con gli standard PCI-DSS e HIPAA da Tevora,

valutatore terzo indipendente. Questa validazione permette ora alle imprese di sostituire le proprie suite

antivirus con SentinelOne EPP e rimanere conformi ai requisiti PCI e HIPAA.

Per maggiori informazioni sulla piattaforma SentinelOne Next-

Generation Endpoint Protection Platform ed il future della protezione

degli endpoint,

visita: digitree.it/sentinelone

© 2018 SentinelOne, Inc. All rights reserved.

Certified antivirus replacement