Il malware moderno è più tenace di quanto si possa credere. Potreste avere un software di sicurezza e una soluzione anti-malware all’avanguardia per proteggervi da eventuali attacchi. Purtroppo, le minacce informatiche moderne possono ancora sconfiggere le vostre difese.
L’istituto AV-TEST afferma di registrare ogni giorno oltre 450.000 nuove minacce informatiche e applicazioni potenzialmente indesiderate.
Quindi, quali sono i principali modi in cui il malware moderno sconfigge le vostre difese e cosa potete fare al riguardo?
I 5 principali malware e come proteggersi da essi
Il malware polimorfico si trasforma e si trasforma continuamente
La maggior parte degli strumenti anti-malware rileva solo le firme di malware note. Il malware polimorfico, invece, continua a mutare e a cambiare forma per evitare il rilevamento precoce. Gli hacker possono facilmente creare nuove firme binarie con poche e semplici modifiche al codice.
Questo malware moderno è in grado di aggirare la maggior parte delle soluzioni di sicurezza, tra cui il filtraggio delle e-mail, le applicazioni antivirus, il sandboxing e persino gli IPS/IDS. Inoltre, come nel caso del malware zero-day, gli aggressori possono facilmente sfruttare le vulnerabilità prima che il fornitore abbia avuto il tempo necessario per affrontarle.
Cosa potete fare:
- Mantenere il software aggiornato
- Evitare link o allegati dall’aspetto sospetto.
- Utilizzare password forti e aggiornarle frequentemente
- Sfruttare gli strumenti di rilevamento basati sul comportamento
Il malware senza file viene eseguito nella memoria di esecuzione
Il malware senza file non lascia alcuna impronta sul computer e viene eseguito esclusivamente nella memoria di esecuzione. Che cosa significa? In sostanza, l’attività dannosa senza file non è rilevabile perché la maggior parte degli strumenti anti-malware controlla solo i file statici e i processi del sistema operativo.
Gli antivirus, i sandboxing, gli UEBA e gli IPS/IDS potrebbero non essere in grado di proteggervi dagli attacchi di malware senza file.
Cosa potete fare:
- Investite nella formazione dei vostri dipendenti
- Istruirli a prestare attenzione ai link su cui cliccano (sia nelle e-mail che online) e a comunicare con il team IT in merito a possibili minacce.
- Potete anche avvalervi di servizi gestiti di threat hunting come Indusface WAS
Gli algoritmi di generazione dei domini modificano i dettagli degli indirizzi di comando e controllo
Una soluzione antimalware spesso blocca i server di comando e controllo noti. Le minacce informatiche a generazione di dominio, tuttavia, possono modificare i dettagli degli indirizzi dei server con indirizzi precedentemente sconosciuti, rendendo l’attacco più difficile da rilevare.
Le firme del malware DGA possono battere sandboxing, EDR e persino i gateway web sicuri.
Cosa si può fare:
- Analizzare i registri DNS e identificare gli schemi delle voci DNS indesiderate lasciate dagli attacchi DGA.
- Le soluzioni di apprendimento automatico e di intelligenza artificiale sono generalmente più efficienti nel gestire questo compito, che può richiedere tempo e difficoltà se eseguito manualmente.
I payload crittografati crittografano la comunicazione
La scansione dei contenuti è un metodo comunemente utilizzato dagli strumenti anti-malware per proteggere l’utente dalla fuga di dati sensibili. Purtroppo, gli aggressori hanno a disposizione un workaround che prevede la crittografia tra gli host infetti e i server di comando e controllo.
DLP, EDR e gateway web sicuri non sono all’altezza dei payload crittografati.
Cosa potete fare:
- Eseguire con diligenza la scansione di tutti i file scaricati.
Lo spoofing dell’host nasconde la destinazione dei dati
L’host spoofing altera le informazioni di intestazione. Di conseguenza, la vera destinazione dei dati viene oscurata. Quindi, anche se la vostra soluzione antimalware difende dai server Command & Control noti, gli aggressori possono aggirarli per entrare nel vostro sistema.
Sandboxing, gateway Web sicuri e IPS/IDS non sono in grado di contrastare l’host spoofing.
Cosa si può fare:
- Monitorare le reti per rilevare attività insolite
- Implementare il filtraggio dei pacchetti per rilevare le incongruenze.
- Utilizzare la verifica
- Autenticare gli indirizzi IP
- Utilizzare un blocco degli attacchi di rete e un firewall
- Come rilevare il malware e proteggersi?
- Esistono modi specifici per affrontare i diversi attacchi malware moderni. Ma ci sono anche alcune pratiche generali che ogni azienda dovrebbe adottare se vuole proteggersi dalle moderne minacce informatiche.
È possibile limitare e ridurre al minimo l’impatto delle minacce informatiche
Utilizzando difese a più livelli. La protezione contro le moderne minacce informatiche è uno sforzo continuo, e raramente è “set and forget”. Per ottenere i migliori risultati, utilizzate più livelli di sicurezza, tra cui software antivirus, protezione del livello di rete, gateway web sicuri e altri strumenti. Continuare a migliorare i processi di sicurezza.
Implementare l’analisi del traffico. Trovate strumenti anti-malware che mantengano una visione olistica dell’intera rete. Gli attacchi malware spesso prendono di mira intere reti per il furto di dati, quindi concentrarsi su un’unica area della rete è semplicemente insufficiente e vi lascerà vulnerabili alle violazioni.
Sfruttare i big data. Con le minacce informatiche zero-day, dovete essere in grado di attingere a un ampio bacino di dati e informazioni per identificare i modelli e rilevare le minacce informatiche. Sfruttare i big data consente di “unire i puntini” tra attività apparentemente non correlate.
Conclusioni
Il malware moderno è spesso problematico. Sfrutta i punti deboli e gli exploit, di cui potreste non sapere nulla nei momenti meno opportuni. Anche se avete predisposto le migliori difese, potreste essere nei guai se non monitorate e adattate continuamente.
Utilizzate quanto sopra come punto di partenza per proteggere la vostra rete. Utilizzate un approccio completo e multilivello alla sicurezza e aggiornate continuamente la formazione dei dipendenti.
