Al via una serie di webinar che illustrano metodologie e soluzioni per contrastare la minaccia
Un’ondata senza precedenti di ransomware ha investito negli ultimi mesi aziende e organizzazioni scatenando veri e propri attacchi di panico tra gli utenti. Trend Micro da sempre attiva nella lotta al malware ha ideato una serie di tre webinar per fare il punto sul fenomeno e illustrare i metodi per contrastare questa minaccia. “Affrontare una cyber-estorsione è un’esperienza traumatica per qualsiasi azienda” afferma Alberto Malerba, PreSales Engineer di Trend Micro. “Tuttavia conoscere meglio il nemico e avere ben chiaro quale strategia adottare per proteggere i propri sistemi consente di ridurre il rischio a un livello accettabile”.
Prendiamo Satan. Sviluppato per colpire le macchine Windows, Satan è un ransomware di seconda generazione. Scritto cioè con codice pronto per essere riutilizzato per migliorarne la distruttività. Ma a parte questo, il comportamento di Satan non si discosta molto da quello di altri ransomware che l’hanno preceduto. Critta i dati dell’utente e l’MBR (master boot record) del computer, bloccando il caricamento del sistema operativo. “In genere la prima fase (exposure) è quella in cui si adesca il malcapitato servendosi di un link dal quale si scarica un payload, non necessariamente un ransomware. Seguono poi l’infezione vera e propria con la crittografia di file e disco (infection), la richiesta di riscatto (execution) e la cancellazione delle tracce (clean up)” spiega Malerba.
A fronte di una minaccia così articolata l’unica difesa efficace è un’azione concertata su più livelli: web e email, endpoint, server e rete. Trend Micro propone Connected Threat Defense, una piattaforma di sicurezza multistrato ideata per individuare e rispondere alle minacce in modo tempestivo, migliorando allo stesso tempo la visibilità e il controllo sulla rete aziendale. Così per la difesa di email e web Trend Micro propone Deep Discovery Email, una soluzione di protezione avanzata in aggiunta al modulo di protezione dei gateways internet. DDE permette di bloccare l’accesso a siti e url malevoli e il controllo della loro reputation; la possibilità di eseguire file o collegarsi a link sospetti all’interno di un’area protetta (sandbox); lo scanning del malware direttamente nella posta in arrivo e il blocco delle mail che diffondono l’infezione (spear phishing protection).
Per quanto riguarda l’endpoint, la suite Smart Protection effettua il monitoraggio del comportamento del ransomware e consente di attivare sia un agente che applica le regole del virtual patching, aggiornando le applicazioni prima che la patch venga rilasciata dal produttore (vulnerability shielding) sia l’application control vale a dire la possibilità di settare l’esecuzione solo di determinati programmi. Deep Discovery Inspector invece è un dispositivo di rete che consente il monitoraggio del traffico in transito sul network, porte e protocolli compresi. DDI individua i comportamenti che preludono all’encryption e incorpora la funzionalità di custom sandbox analysis, la possibilità di eseguire programmi sospetti in un ambiente protetto isolato dalla rete. Infine per la protezione dei server, siano essi fisici, virtuali o in cloud, Trend Micro mette a disposizione la soluzione Deep Security che oltre a fornire i classici servizi di protezione come lo scanning del malware, il patching virtuale e il monitoraggio delle azioni sospette, blocca anche i tentativi di cifratura da remoto.
“L’integrazione tra le soluzioni è la chiave per una difesa efficace. In questo senso tutte le nostre soluzioni oltre a dialogare tra loro si integrano perfettamente sulla console Centralized Visibility Discover” illustra Malerba. “Il nostro modello di sicurezza si appoggia allo Smart protection network, una rete globale formata da oltre 100 milioni sensori che raccoglie qualcosa come 100 terabyte di dati e gestisce oltre 16 miliardi di query giornaliere. Questo importante lavoro di analisi ci permette di individuare oltre 500mila nuove minacce ogni giorno e sviluppare quella che Trend Micro definisce Proactive Protection, l’aggiornamento in real time di tutti i sistemi di sicurezza installati, respingendo circa 250 milioni di minacce nell’arco delle 24 ore”.