Oggi un generico filtro per la email non basta più per fronteggiare tutte le minacce. Quali sono i requisiti di un buon antimalware e come dev'essere integrato nelle soluzioni di cyber sicurezza aziendali?

Oggi abbiamo una conoscenza più approfondita sia degli aggressori si delle vittime e questo ci permette di essere molto efficaci nella cyber security. In FireEye abbiamo un team di analisti di Threat Intelligence che colleziona informazioni sugli attaccanti in particolare quelli Nation-State (ovvero gli aggressori spesso finanziati da un Governo, noi li chiamiamo con la sigla APT che significa Advanced Persistent Threat) e il team Mandiant la nostra divisione di Incident Response che lavora a fianco delle vittime nelle situazioni di emergenza quando avvengono cioè delle compromissioni.

Sulla base di queste conoscenze siamo d’accordo nel dire che le minacce non arrivano più solamente delle email e che, certe tipologie di aggressori sono particolarmente abili ad aggirare i sistemi i classici strumenti di sicurezza. In questo scenario è diventato importante l’uso di uno strumento avanzato per la sicurezza delle postazioni degli utenti e dei server.

Qui in FireEye, la sicurezza delle postazioni utenti e server si basa su una soluzione endpoint particolarmente innovativa che è stata creata proprio dal team Mandiant di Incident Response. Per essere ben integrata la nostra soluzione, oltre a fare leva sulle informazioni di prima mano in arrivo dalla nostra Threat Intelligence e dagli ingaggi di Incident Response, importa in automatico gli Indicatori di Compromissione dalle soluzioni messe a protezione delle Email e del traffico Network.  

Questo ad esempio, vuol dire che ogni volta che una email, un allegato o un link, un file scaricarlo da internet viene classificato come malevolo e bloccato dalla soluzione Email o dalla soluzione Network quella stessa informazione viene mandata a tutti gli endpoint. In questo modo se anche un aggressore decidesse poi di mandare l’email, l’allegato o il link malevolo sulla posta personale della vittima (cercando di bypassare il sistema di protezione email aziendale), la nostra componente endpoint è in grado di intervenire.

Alla luce dei vostri test e della vostra esperienza sul campo, qual è l'effettivo livello di protezione garantita dagli antimalware? Che cosa serve per alzare questa percentuale?

La soluzione endpoint FireEye ha multiple capacità di prevenzione: un motore anti-exploit comportamentale, un motore machine learning (che è arrivato primo alla competizione sulle applicazioni basate su Intelligenza Artificiale del NAVWAR (Naval Information Warfare Systems Command) e ha un motore di “detection”molto flessibile che permette di creare in modo immeditato nuovi Indicatori di Compromissione (IoC) per una rapida gestione delle emergenze informatiche. Queste caratteristiche sono state premiate nel recente test MITRE [2] dove hanno simulato le stesse tattiche, tecniche e procedure (in gergo TTP) del gruppo di aggressori Russo chiamato ATP29 e dove la soluzione endpoint di FireEye ha ottenuto il punteggio cumulativo più alto. Per essere ben integrato nel contesto di cyber security di ogni azienda offriamo diversi modi per usufruirne di questa protezione:  

• dal Cloud (spesso scelto da chi vuole semplificare la propria architettura)
• al più tradizione sistema on-premise virtuale o hardware (spesso scelto da banche ed enti governativi)
• un servizio gestito Managed Defence dove gli analisti di Mandiant gestiscono per conto del cliente gli allarmi e le attività di Threat Hunting (ovvero di identificazione degli aggressori nella rete del cliente) in modo da estendere il team di sicurezza del cliente 24/7.