La funzionalità di protezione Controllo Avvio Applicazioni: uno strumento chiave per garantire la sicurezza della rete aziendale. Parte 1

Contenuti

Introduzione

La sicurezza della rete aziendale rappresenta indubbiamente, al giorno d’oggi, uno dei problemi di maggiore complessità che ogni impresa moderna si trova a dover affrontare. I programmi malware possono in effetti arrecare danni considerevoli alle attività di business, sino a compromettere la buona reputazione di cui gode un’azienda. A tal proposito, le società specializzate nel settore della sicurezza IT propongono soluzioni di vario genere, le quali tuttavia, a volte, possono rivelarsi piuttosto dispendiose; in molti casi, difatti, l’implementazione di soluzioni di sicurezza all’interno di un network aziendale può generare un significativo aumento dei costi necessari per garantire un’efficace manutenzione e il pieno supporto delle attività di rete. Le soluzioni tradizionali, inoltre, non sono affatto in grado di poter assicurare in ogni circostanza un’efficace protezione nei confronti delle minacce sconosciute, ed in particolar modo nei confronti degli attacchi informatici mirati.

Per tali motivi, il presente articolo intende illustrare in dettaglio un valido approccio alternativo per la protezione delle reti aziendali, da noi denominato “Whitelist Security Approach”.

Tale approccio di sicurezza rappresenta un’ulteriore evoluzione nello sviluppo delle tecnologie utilizzate per garantire il controllo dell’avvio e dell’esecuzione delle applicazioni (Application Control), integrate, nella circostanza, dall’implementazione di un avanzato supporto per lo scenario “Default Deny” (Nega Predefinito), così come di un’innovativa tecnologia inerente all’impiego di specifiche Whitelist, denominata “Dynamic Whitelist”.

Gli esperti di Kaspersky Lab ritengono unanimemente che il Whitelist Security Approach rappresenti, per l’imminente futuro, uno degli elementi chiave nella protezione dei network aziendali. I prodotti nei quali è stato sinora implementato tale approccio di sicurezza, in effetti, sono in grado non solo di assicurare un livello di protezione superiore contro le minacce IT ancora sconosciute, ma anche di offrire agli amministratori di rete, così come ai tecnici che si occupano di sicurezza informatica, validi strumenti per la realizzazione di un inventario completo del software e per l’effettuazione di efficaci controlli su tutte le applicazioni installate nei computer presenti all’interno della rete aziendale, incluso i programmi “estranei” alle attività produttive, i programmi indesiderati e i programmi privi di regolare licenza d’uso.

Validi presupposti per la ricerca di approcci alternativi nei confronti della protezione IT

Il numero dei nuovi software via via rilasciati nei vari paesi risulta ogni anno in costante e rapida crescita. Al fine di poter garantire ai propri utenti una protezione efficace e di elevata qualità, le società produttrici di soluzioni antivirus debbono riuscire ad analizzare velocemente giganteschi flussi di informazioni, ed elaborare quotidianamente vari terabyte di dati, classificando decine di milioni di file. Parlando di criteri di classificazione, rileviamo innanzitutto come i software possano essere suddivisi in tre distinte categorie: i malware noti, i software sicuri e non nocivi già conosciuti, ed i software sconosciuti.

application_control_it_1

Tutto il software che non viene univocamente classificato dalle società antivirus come sicuro o nocivo è da considerarsi sconosciuto.

Una parte del software sconosciuto contiene, inevitabilmente, codice dannoso; sono proprio tali programmi a risultare i più pericolosi in assoluto per gli utenti e, al tempo stesso, i più problematici da rilevare per i prodotti antivirus. Le minacce più insidiose provengono proprio da tale categoria di software, in quanto i virus writer cercano di affinare costantemente le loro capacità e le loro tecniche, producendo di fatto la comparsa, sulla scena del malware, di un numero sempre maggiore di nuovi programmi nocivi.

Nella maggior parte dei casi, le società produttrici di antivirus devono calarsi nello scomodo ruolo degli “inseguitori”; per ogni nuova tecnologia che va ad arricchire il già nutrito arsenale degli autori di malware, occorre in effetti realizzare un’ulteriore evoluzione nello sviluppo degli strumenti di protezione IT. Attualmente, per innalzare il livello di sicurezza, vengono quindi utilizzate non solo le tecnologie di stampo tradizionale, basate sulle firme del malware, ma si ricorre ugualmente ad un’intera serie di tecniche di protezione particolarmente avanzate. Si tratta, nella fattispecie, dei sofisticati metodi euristici proattivi (sia statici che dinamici) e delle cosiddette tecnologie “in-the-cloud”, le quali non solo garantiscono, in sostanza, una reazione istantanea nei confronti delle nuove minacce informatiche, ma estendono altresì in maniera considerevole le potenzialità standard possedute dagli strumenti di protezione IT distribuiti “in scatola”, fornendo una potenza ed una rapidità di azione precedentemente sconosciute a livello di infrastrutture dei servizi online.

L’approccio tradizionale nei confronti delle tematiche di sicurezza IT prevede il rilevamento e la neutralizzazione delle minacce informatiche già note, incluso i modelli di comportamento dannoso già conosciuti. Tuttavia, le recenti “storie” riguardanti i famigerati trojan Stuxnet, Duqu e Flame hanno ampiamente dimostrato come, contro alcune delle più recenti minacce IT, ed in special modo contro certi attacchi mirati, la protezione di stampo tradizionale offerta dalle soluzioni anti-malware presenti sul mercato si riveli, di fatto, del tutto inefficace. Tali circostanze si traducono, ovviamente, in una continua richiesta di innalzamento del livello di sicurezza IT per ciò che riguarda, nello specifico, la protezione delle reti aziendali.

In una situazione del genere, agli sviluppatori di software di sicurezza spetta naturalmente il compito di individuare valide soluzioni alternative, in grado di migliorare significativamente il livello di protezione IT presente nei network aziendali. L’approccio alternativo proposto nel presente articolo, il Whitelist Security Approach, non è solo in grado di garantire un livello di protezione pienamente conforme alle attuali esigenze di sicurezza IT delle reti aziendali, ma permette ugualmente alle società produttrici di antivirus di abbandonare finalmente lo scomodo ruolo di “inseguitori”, e di iniziare quindi ad impostare la “partita” secondo le proprie regole.

Il Whitelist Security Approach si basa non soltanto sulle nostre conoscenze riguardo ai principi ed ai fattori che determinano l’evoluzione e la diffusione delle minacce informatiche specificamente rivolte ai network aziendali, ma anche sulla perfetta comprensione delle specifiche esigenze delle Società Clienti; un altro elemento di primaria importanza è rappresentato dall’individuazione dei migliori strumenti di protezione, atti a realizzare una soluzione di sicurezza efficace, affidabile e al tempo stesso perfettamente bilanciata. La soluzione di sicurezza IT esaminata nei successivi capitoli del presente articolo si distingue per l’estrema semplicità di integrazione e di gestione, nonché – fattore ugualmente importante – per il costo ТСО (Total Cost of Ownership, Costo totale di proprietà) relativamente contenuto, garantendo al tempo stesso un livello di protezione superiore.

L’implementazione di un simile approccio di sicurezza ha richiesto non solo un’accurata revisione di un “paradigma” oramai più che decennale – articolato su un complesso insieme di metodi, teorie e procedimenti – ma ha ugualmente determinato, di fatto, l’inizio di una nuova fase nello sviluppo di sofisticate tecnologie adibite al controllo dell’avvio e dell’esecuzione dei programmi (Application Control).

Panoramica sulla struttura dei componenti degli attuali prodotti per la sicurezza IT

La realizzazione di un sistema di protezione IT efficace ed affidabile richiede indubbiamente un approccio di notevole complessità. Gli strumenti di sicurezza utilizzati al giorno d’oggi sono costituiti da numerosi componenti, ognuno dei quali svolge una funzione ben specifica.

application_control_it_2

Modello relativo ai componenti degli attuali strumenti di protezione informatica

Come evidenzia lo schema qui sopra inserito, all’interno del modello in questione si possono distinguere quattro gruppi principali di componenti: gli intercettori, i motori antivirus, i componenti preposti al controllo avvio ed esecuzione delle applicazioni, i servizi cloud.

Esamineremo adesso, qui di seguito, le specifiche funzionalità di ognuno di tali componenti.

Intercettori ­ — Si tratta di una sorta di “sensori”, i quali permettono ai prodotti antivirus di potersi integrare perfettamente nei processi di funzionamento del sistema operativo, in maniera tale che, al momento opportuno, gli altri componenti della protezione anti-malware abbiano la possibilità di effettuare i necessari controlli su oggetti ed eventi.

Agiscono in qualità di intercettori i seguenti componenti:

  • I driver preposti all’intercettazione dell’accesso ai file da parte delle applicazioni: intercettando tale processo, il prodotto antivirus è in grado sia di verificare la presenza di codice nocivo all’interno del file interessato, sia di controllare l’ammissibilità dell’operazione di accesso, secondo specifiche regole di controllo delle attività svolte dalle applicazioni (HIPS). In caso di presenza di codice dannoso o di non conformità con le regole che determinano l’attività delle applicazioni, i suddetti driver possono impedire sia l’accesso al file in questione, sia l’avvio stesso dell’applicazione.
  • Driver di rete: tali componenti permettono di eseguire il controllo delle attività di rete delle applicazioni (prevenzione della perdita dei dati custoditi all’interno della rete, blocco degli attacchi di rete, etc.).
  • Plugin – librerie (moduli) integrati nelle applicazioni più diffuse (client di posta elettronica, browser web, client di messaggistica istantanea e via dicendo), in grado di assicurare un opportuno controllo dei dati trasmessi.

Motori antivirus — Si tratta di sofisticati moduli implementati nelle soluzioni di sicurezza IT, preposti alla verifica degli oggetti potenzialmente dannosi. Esistono, nella fattispecie, varie metodologie di controllo; a tal riguardo, ogni vendor di prodotti antivirus ha un proprio specifico elenco, con le rispettive denominazioni.

Le principali tipologie di motore antivirus sono le seguenti:

  • Analizzatori statici – Permettono il rilevamento degli oggetti dannosi sulla base di certi elementi di natura statica che caratterizzano tali oggetti (nella maggior parte dei casi il rilevamento è direttamente associato alla struttura stessa di file di formato ben specifico).
  • Analizzatori degli URL – Verificano se l’indirizzo Internet che l’utente ha intenzione di visitare – o che è stato trasmesso attraverso la posta elettronica – risulta presente all’interno dei database relativi agli URL nocivi o agli URL di phishing, oppure se l’URL in questione compare nel database relativo agli indirizzi di siti web inerenti a specifiche categorie tematiche (componente “Parental Control”).
  • Analizzatori euristici – L’impiego di tale avanzata tecnologia permette di rilevare, tramite un’unica firma, un elevato numero di file dannosi, incluso le varianti ancora sconosciute dei software nocivi; gli analizzatori euristici consentono ugualmente di migliorare in maniera considerevole
    la qualità dei processi di rilevamento delle minacce IT, assicurando al tempo stesso una sostanziosa riduzione delle dimensioni dei database antivirus.
  • Emulatori – Si tratta di particolari moduli che consentono l’esecuzione di codice di programma in un ambiente isolato, rendendo in tal modo possibile la successiva analisi dello specifico comportamento del codice eseguito.

Una delle componenti essenziali della maggior parte degli attuali prodotti antivirus, in grado di innalzare considerevolmente il livello di sicurezza IT nell’ambito della rete aziendale, è indubbiamente rappresentata dall’insieme delle sofisticate tecnologie implementate nella funzionalità di protezione Controllo Avvio ed Esecuzione Applicazioni (Application Control), la quale opera sulla base degli eventi determinati dall’attività degli “intercettori”. L’elaborazione di tali eventi viene a sua volta realizzata attraverso vari componenti:

  • PDM (Proactive Defense Module). Ricerca ed individua modelli già noti di comportamento dannoso dei programmi (sequenze, pattern) grazie a specifici database relativi a pattern di comportamento nocivo.
  • HIPS (Host Intrusion Prevention System). Verifica ogni azione potenzialmente pericolosa eseguita dal programma (nella maggior parte dei casi si tratta di azioni elementari), sulla base di un elenco di regole che definiscono le attività consentite al programma in causa. Possono essere impostate regole diverse a seconda delle varie categorie di software. Ai programmi “attendibili”, ad esempio, è consentito fare “tutto quanto”, mentre possono essere stabiliti specifici divieti per le applicazioni “sconosciute o sospette”.
  • Exploit Protection. Tale componente garantisce un’adeguata protezione nei confronti dei software nocivi in grado di sfruttare le vulnerabilità individuate nelle applicazioni e nel sistema operativo.

Al momento attuale, solo alcune società produttrici di soluzioni anti-malware annoverano la funzionalità Exploit Protection all’interno del proprio “arsenale difensivo”; da parte nostra riteniamo, tuttavia, che tale livello di protezione risulti assolutamente indispensabile. Nelle soluzioni di sicurezza sviluppate da Kaspersky Lab questo insieme di sofisticate tecnologie prende il nome di Automatic Exploit Prevention (AEP): esso si basa innanzitutto sull’analisi del comportamento degli exploit, così come su uno specifico controllo di quelle applicazioni che, con maggior frequenza rispetto ad altre, risultano sottoposte agli attacchi informatici portati dai malintenzionati. AEP impedisce agli exploit di esercitare la loro azione nociva; nel caso poi in cui l’exploit sia già riuscito ad “entrare in funzione”, Automatic Exploit Prevention provvede ad impedire lo sviluppo di comportamenti dannosi.

  • EAC (Enterprise Application Control). Provvede all’avvio di programmi riconducibili a varie categorie di software e/o all’esecuzione di specifiche versioni del software, secondo determinate regole precedentemente stabilite.

L’interazione con i servizi forniti attraverso la “nuvola telematica” (CLOUD Services) permette di estendere ulteriormente le possibilità offerte sia dai motori antivirus, sia dalle tecnologie di controllo dell’attività dei programmi. L’utilizzo del cloud consente in effetti di “nascondere” una parte delle logiche di controllo (allo scopo di rendere alquanto complicati, per i malintenzionati, il processo di reverse engineering e l’elusione delle logiche applicate al controllo dei programmi malware) e di ridurre considerevolmente, sul lato utente/client, le dimensioni degli aggiornamenti riguardanti i database delle firme e quei database che raggruppano i pattern di comportamento.

La funzionalità Application Control, strumento chiave per il controllo delle applicazioni installate nelle reti aziendali

Nel modello qui sopra descritto, relativo ai componenti degli attuali strumenti di protezione informatica, la funzionalità Аpplication Control (Controllo Applicazioni) permette di regolare in maniera estremamente flessibile l’attività delle applicazioni installate nel network aziendale, tramite l’utilizzo di apposite policy HIPS originariamente definite dal produttore di soluzioni antivirus. Nell’ambito della funzionalità Аpplication Control, le applicazioni vengono generalmente suddivise in quattro distinte categorie, a seconda della loro attendibilità, ovvero in base al loro effettivo livello di pericolosità per il sistema operativo: applicazioni sicure (attendibili), applicazioni pericolose (non attendibili), applicazioni soggette a restrizioni elevate ed applicazioni soggette a restrizioni minime. Sulla base di tali categorie viene quindi definito il livello delle restrizioni assegnate alle varie applicazioni (policy HIPS). Per ogni categoria di programmi vengono stabilite regole specifiche, preposte a controllare l’accesso delle varie applicazioni alle risorse del sistema operativo (file, cartelle, registri, indirizzi di rete). Ad esempio, se un’applicazione richiede l’accesso ad una determinata risorsa, Application Control verifica innanzitutto se tale applicazione possiede i diritti necessari per poter eseguire l’operazione richiesta; essa verrà quindi eseguita o bloccata a seconda delle specifiche regole definite in precedenza.

Application Control permette ugualmente di registrare tutti i passaggi del processo di avvio delle varie applicazioni installate nella rete. Le informazioni così raccolte possono essere successivamente utilizzate nel corso di indagini condotte riguardo ad eventuali incidenti virali, o durante l’esecuzione di controlli di vario genere. Disponendo all’interno del proprio “arsenale” di una simile funzionalità di protezione, l’esperto di sicurezza informatica o l’amministratore di rete è in grado di ricevere – tempestivamente ed in forma articolata – adeguate risposte alle seguenti domande:

  • Quali applicazioni sono state avviate ed in quale preciso momento, in un determinato intervallo di tempo?
  • Su quali PC e tramite quali account?
  • Da quanto tempo viene utilizzato un determinato programma?

Proprio dal grado di funzionalità espresso da tale componente (potenza dello strumento di controllo e facilità d’uso dello stesso) dipende l’effettivo livello di efficacia che gli amministratori di rete possono raggiungere nell’implementare e supportare policy di sicurezza di vario genere all’interno del network aziendale.

Il giusto equilibrio tra libertà d’azione ed esigenze di sicurezza

Nel momento in cui si effettua la scelta del modello di sicurezza informatica più appropriato per proteggere al meglio la propria rete aziendale, assume particolare rilevanza l’applicazione di criteri che permettano di ottenere un adeguato equilibrio tra libertà d’azione e le sempre più irrinunciabili esigenze di sicurezza.

E’ evidente come per gli utenti consumer costituisca un elemento di primaria importanza il poter installare ed utilizzare a proprio piacimento qualsiasi software, senza alcun tipo di limitazione. E sebbene nella circostanza il rischio di infezioni informatiche risulti superiore rispetto a quello cui sono generalmente sottoposti gli utenti che operano in un regime di elevate restrizioni, è pur sempre vero che l’utente privato gestisce esclusivamente le proprie informazioni personali ed assume in maniera del tutto autonoma decisioni relative alla presenza di eventuali rischi di perdita o rivelazione di informazioni.

L’utente corporate, al contrario, si trova a dover gestire informazioni di cui egli non risulta proprietario. Pertanto, più severi risultano i controlli applicati, minori saranno poi i rischi a livello di sicurezza informatica: fuga o perdita di dati sensibili che rivestono un’importanza critica nell’ambito delle attività aziendali, la possibilità di compromettere seriamente i processi produttivi dell’impresa e, come conseguenza di tutto ciò, l’insorgere di perdite sia di natura finanziaria che a livello di generale reputazione della società.

Per le imprese, l’equilibrio tra necessarie esigenze di sicurezza e libertà d’azione si riassume principalmente nell’individuare un giusto equilibrio tra i possibili rischi cui sono sottoposti gli utenti aziendali ed un adeguato livello di “comfort” a livello di utilizzo delle infrastrutture informatiche implementate nel network societario. Mentre per le imprese di piccole dimensioni la priorità è in genere rappresentata dalla comodità d’uso della rete da parte degli utenti della stessa – e di conseguenza dall’applicazione di restrizioni minime nei confronti di questi ultimi – nel caso di network aziendali di notevoli proporzioni assume invece un ruolo di fondamentale importanza il poter assicurare il massimo livello di protezione informatica. All’interno delle grandi società vengono pertanto abitualmente introdotte politiche centralizzate a livello di sicurezza IT, così come regole univoche e comuni relativamente all’utilizzo delle risorse informatiche dell’azienda. Il livello di “comfort” complessivo per l’utente dell’endpoint cede pertanto il passo ad un rigido processo di unificazione del software installato nella rete aziendale, così come alla massima trasparenza possibile nei processi gestiti dagli amministratori di sistema.

Per poter svolgere al meglio le attività lavorative in seno all’azienda risulta in genere sufficiente, per il personale di una società, l’utilizzo di un determinato gruppo di programmi. La possibilità di limitare l’insieme del software utilizzato esclusivamente a quelle applicazioni predefinite dall’amministratore e di bloccare l’esecuzione di altri programmi indesiderati (software non autorizzati, illegali o non attinenti alle specifiche attività d’impresa) rappresenta indubbiamente un’opzione di estrema importanza all’interno di ogni rete aziendale, per non parlare poi dei centri di controllo, dei complessi industriali, delle organizzazioni finanziarie, delle strutture militari e di quei dispositivi preposti ad utilizzi particolari (quali, ad esempio, bancomat e terminali di vario genere).

Il massimo livello di “comfort” per gli utenti del network aziendale viene assicurato dall’implementazione del criterio di sicurezza “Consenti Predefinito” (Default Allow), mentre il massimo livello di protezione viene invece garantito dallo scenario “Nega Predefinito” (Default Deny).

“Default Allow”, l’approccio tradizionale nei confronti della protezione IT

Lo scenario “Consenti Predefinito” (Default Allow), tradizionalmente utilizzato sia nei prodotti personal che nei prodotti corporate, permette all’utente di avviare qualsiasi applicazione, ad eccezione di quelle la cui esecuzione è stata bloccata, o per l’avvio delle quali sono state definite specifiche limitazioni. L’applicazione di tale criterio di sicurezza si basa sul fatto che le soluzioni offerte sul mercato sono generalmente orientate verso il massimo livello di comfort per l’utente.

application_control_it_3

E’ evidente come la possibilità di avviare qualsiasi applicazione richieda l’implementazione di tecnologie di elevata qualità a livello di rilevamento del malware. Nell’ambito dello scenario Default Allow prendono parte al processo di analisi dei programmi eseguibili tutti i componenti degli attuali strumenti di protezione informatica, da noi precedentemente descritti. Ciò permette di individuare non solo le minacce informatiche già note, ma anche di rilevare varie minacce ancora sconosciute. Il livello di qualità del rilevamento eseguito dipende, naturalmente, dal produttore stesso della soluzione anti-malware utilizzata nella circostanza.

Tuttavia, come abbiamo sottolineato in precedenza, i produttori di soluzioni di sicurezza, in genere, vanno sempre “alla caccia” degli autori di malware, calandosi nello scomodo ruolo di perenni “inseguitori”; ciò significa in sostanza che, in qualche modo, esiste sempre in circolazione un malware non ancora rilevato dalle protezioni antivirus. Con l’approccio di sicurezza Default Allow, se un programma non fa esplicitamente parte dell’elenco di applicazioni che devono essere bloccate, l’avvio e l’esecuzione dello stesso vengono consentiti per impostazione predefinita. Ciò significa che l’implementazione dello scenario Default Allow all’interno di una rete aziendale comporta determinati rischi a livello di sicurezza IT: in effetti, il codice di cui viene permessa l’esecuzione può potenzialmente recare minacce informatiche non ancora identificate.

Oltre ai programmi malware, esistono naturalmente certi software legittimi che possono comunque risultare indesiderati nell’ambito delle attività di business svolte all’interno del network aziendale. Nello scenario Default Allow tale genere di software non rientra nel quadro delle policy che prevedono il blocco dell’applicazione; pertanto, a meno che non sia stato esplicitamente stabilito un divieto in tal senso da parte dell’amministratore, la suddetta tipologia di software potrà essere eseguita nell’ambito della rete aziendale, senza alcuna restrizione di sorta.

Desideriamo portare qui di seguito un paio di significativi esempi, per illustrare in dettaglio come un programma non sottoposto a divieto da parte delle policy di sicurezza applicate al network aziendale, possa comunque potenzialmente arrecare danni ad una società.

Supponiamo che il dipendente di un’impresa installi sul computer da esso utilizzato in azienda un programma di messaggistica istantanea, quale, ad esempio, Skype. Uno dei tratti peculiari di Skype è rappresentato dal fatto che tale applicazione si avvale della codifica dei dati trasmessi attraverso i canali di comunicazione. Ciò significa che i sistemi DLP (Data Loss Prevention) non sono di fatto in grado di poter monitorare la trasmissione di informazioni confidenziali al di fuori del perimetro da essi protetto e di determinare, quindi, il destinatario di tali informazioni. Le tecnologie antivirus, per parte loro, non impediscono l’utilizzo della suddetta applicazione, visto che essa non risulta far parte del novero dei programmi dannosi. Nella circostanza quindi, un malintenzionato, di comune accordo con un dipendente colluso dell’azienda, potrebbe avere l’opportunità di ricevere agevolmente informazioni confidenziali dal dipendente in questione, semplicemente utilizzando Skype in qualità di strumento per la trasmissione di dati sensibili.

Altro esempio: lo staff di esperti di Kaspersky Lab collabora alla conduzione di determinate indagini relativamente ad un incidente di sicurezza informatica verificatosi presso una certa società. Nell’occasione, non viene rilevato alcun programma nocivo; risulta invece che la causa dell’incidente risiede nel fatto che un esperto IT ha in precedenza installato su una serie di Personal Computer un’utility del tutto legittima, per la conduzione da remoto delle tradizionali operazioni connesse alle attività di amministrazione. Ora, il tecnico in questione è stato licenziato ormai da più di un anno, mentre nessuno era a conoscenza dell’installazione all’interno del network aziendale della suddetta utility, la quale, tuttavia, ha nel frattempo continuato a funzionare regolarmente, rendendo di fatto possibile, per il dipendente oggetto del provvedimento di licenziamento, l’accesso non autorizzato alla rete aziendale e, di conseguenza, ai dati confidenziali in essa custoditi.

Quindi, pur garantendo il massimo comfort di utilizzo a livello di endpoint, lo scenario Default Allow non impedisce che la rete aziendale possa risultare vulnerabile nei confronti delle minacce informatiche sconosciute e del software indesiderato. Inoltre, l’implementazione di un efficace sistema di controllo su tutti i programmi eseguibili richiede indubbiamente l’assegnazione di ingenti risorse.

Nella maggior parte dei casi, tuttavia, al fine di poter svolgere al meglio le attività previste nel quadro del business aziendale, per i dipendenti dell’impresa risulta sufficiente l’utilizzo di uno specifico e limitato gruppo di programmi. Ciò equivale a dire che, nella fattispecie, la logica suggerisce il ricorso ad una soluzione semplice ma alquanto efficace: inserire in determinate Whitelist personalizzabili il complesso dei software attendibili ed indispensabili per lo svolgimento delle attività lavorative in seno all’azienda. Per contro, l’avvio e l’esecuzione in rete di ogni altra applicazione saranno automaticamente impediti per impostazione predefinita. Tale scenario di sicurezza assume la denominazione di “Default Deny”.

Lo scenario “Default Deny”

Al contrario della modalità Default Allow, il criterio di sicurezza denominato Default Deny (Nega Predefinito) impedisce l’esecuzione all’interno del network aziendale di qualsiasi software che non risulti inserito in determinate Whitelist. In tal modo viene di fatto impedito l’avvio di qualsiasi software che sia sconosciuto o indesiderato.

Con l’implementazione dello scenario Default Deny, la rete aziendale si trova in pratica ad operare in un ambiente isolato per ciò che riguarda l’esecuzione del software, all’interno del quale è consentito esclusivamente l’avvio di quei programmi che risultano indispensabili e di fatto sufficienti per la conduzione delle attività di business dell’impresa.

application_control_it_4

Inoltre, il divieto predefinito riguardante l’avvio di software nocivi, programmi estranei alle attività aziendali, software privi di regolare licenza d’uso e software sconosciuti, riduce considerevolmente il volume delle risorse che si rivelerebbero invece necessarie se si dovesse procedere all’analisi di tutte quelle applicazioni di cui la modalità Default Allow consente l’esecuzione per impostazione predefinita. La realizzazione dello scenario Default Deny permette quindi di limitare in maniera considerevole le esigenze legate all’ottimizzazione del livello di produttività dei sistemi sottoposti a controllo, così come di ridurre notevolmente l’entità delle risorse impiegate per effettuare l’analisi dei programmi in uso. La naturale conseguenza di tutto ciò si traduce in una sensibile diminuzione dell’impatto complessivo del sistema di sicurezza IT nel quadro del network aziendale.

Come evidenzia lo schema qui sopra riportato, a differenza di quanto avviene nel modello tradizionale di protezione IT, nell’ambito dello scenario Default Deny il controllo ed il monitoraggio delle applicazioni viene realizzato non durante il processo di esecuzione del programma, bensì nel momento stesso in cui si procede all’avvio dei programmi di cui è consentita l’esecuzione. In tal modo, i rischi legati alla sicurezza informatica vengono minimizzati già nelle primissime fasi in cui entra in gioco l’azione protettiva esercitata dalla soluzione di sicurezza.

Principali vantaggi derivanti dall’implementazione dello scenario Default Deny:

  1. Minimizzazione dei rischi connessi all’avvio e all’esecuzione di software dannosi o indesiderati:

    • Blocco di tutte le applicazioni sconosciute, comprese le nuove varianti dei programmi malware (incluso i software nocivi utilizzati per la conduzione di attacchi informatici mirati). Ne consegue l’ottenimento di un ambiente operativo sicuro.
    • Possibilità di bloccare l’installazione, l’avvio e l’esecuzione di programmi illegali, di software privi di licenza d’uso e di quei programmi “estranei” alle attività lavorative svolte in seno all’azienda – quali, ad esempio, i più disparati programmi di instant messaging, giochi, versioni di software notoriamente vulnerabili, “ottimizzatori” e “acceleratori” di sistema. Tutto ciò si traduce nell’orientare il personale dell’azienda esclusivamente verso l’esecuzione dei compiti richiesti in ambito societario, e quindi in un miglioramento complessivo degli indici di produttività.
  2. Riduzione dell’entità delle risorse necessarie per effettuare l’analisi delle applicazioni. Si ottiene in tal modo una considerevole diminuzione dell’impatto complessivamente esercitato dal sistema di sicurezza IT sull’operatività dei sistemi sottoposti a controllo.

  3. Ultimo fattore di innegabile vantaggio, e di non minore importanza: la riduzione dei costi, in particolar modo quelli complessivamente legati alle operazioni di gestione e supporto dell’intero sistema di sicurezza IT implementato nell’ambito della rete aziendale: si avrà, in effetti, un minor numero di interruzioni dell’attività lavorativa, di reclami e lamentele; allo stesso modo, il servizio di supporto tecnico si vedrà indubbiamente gravato di minori carichi di lavoro.

Adottando quindi un simile approccio alternativo, realizzato tramite potenti strumenti di controllo e monitoraggio delle procedure di avvio ed esecuzione delle applicazioni, risulta possibile innalzare significativamente il livello di sicurezza nell’ambito del network aziendale e, al tempo stesso, ridurre sensibilmente le spese legate all’implementazione e alla successiva manutenzione di un efficace sistema di protezione IT. Come abbiamo sottolineato in precedenza, si tratta, fondamentalmente, di un tipo di approccio del tutto diverso, ampiamente basato sul concetto di proattività, il quale, secondo il parere degli esperti di Kaspersky Lab, nell’imminente futuro potrà radicalmente capovolgere la tradizionale visione della sicurezza IT all’interno delle reti aziendali.

Gli autori del presente articolo esprimono sentiti ringraziamenti nei confronti di Vladislav Martynenko, per il prezioso ausilio fornito nella stesura del capitolo “Panoramica sulla struttura dei componenti degli attuali prodotti per la sicurezza IT”.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *