Cigni neri: prepararsi alle minacce ignote

Cigni neri: prepararsi alle minacce ignote

Teoria del cigno nero:

Definizione: è una metafora che rappresenta un evento improbabile e che risponde ai seguenti criteri:

  • Non può essere previsto
  • Porta con sé un grande impatto organizzativo
  • Una volta che si è verificato si cerca di razionalizzarlo solo a posteriori.

La teoria del cigno nero è qualcosa per cui non ci sono precedenti, rendendo la pianificazione quasi impossibile. Gli attacchi dell’11 settembre, la crisi del mercato immobiliare del 2008 e il disastro nucleare di Fukushima dovuto al terremoto/tsunami del 2011 in Giappone sono tutti esempi di recenti eventi di cigno nero che colpiscono tutti, dalle organizzazioni agli individui. Nessuno era preparato ad affrontare questi eventi o le loro ricadute.

Gli eventi più critici, di portata mondiale, possono essere visti come cigni neri. Nassim Nicholas Taleb, autore di The Black Swan, afferma che “un piccolo numero di cigni neri sia alla radice di ogni sconvolgimento della storia e sia in grado di spiegare quasi tutto il nostro mondo”. “Secondo Taleb, il “normale” è molto spesso irrilevante. È qui che le organizzazioni tendono a concentrare le energie perché è qui che hanno gli strumenti per prepararsi. Ma non riescono a prepararsi per i valori anomali, principalmente perché questi scenari non possono essere previsti o pianificati.

Fatti ignoti che non sappiamo (unknown unknowns)

Nella sicurezza – sia militare che informatica – abbiamo un concetto simile, quello di “ unknown unknowns “. Sebbene vi siano minime differenze di significato, l’idea alla base di entrambe è che questi sono eventi che alterano la vita / situazione che la “vittima” non ha previsto, né avrebbe potuto prevedere. Quando si tratta di incognite sconosciute, siamo nella proverbiale oscurità; non sappiamo nulla su come prepararci per questi eventi o quando potrebbero accadere, lasciandoci alla mercé dei nostri avversari.

Cryptojacking è un ottimo esempio. Prima che diventasse un exploit comune, sarebbe stato difficile affermare che un giorno, in futuro, gli aggressori avrebbero potuto cercare di rubare la potenza della CPU su Internet per estrarre bitcoin. In questo modo, le vittime sono state lasciate indifese contro il furto della CPU quando sono iniziati gli attacchi. Eppure, proprio con il senno di poi, criptare ora sembra il risultato logico di rapido aumento dei valori delle valute virtuali.

Proteggersi dal “normale”

Invece di concentrarsi su incognite sconosciute, in genere proteggiamo le reti contro minacce “normali” più comuni – i “fatti conosciuti” e “fatti conosciuti ma a noi sconosciuti”.

I “fatti conosciuti” come vengono chiamati sono le minacce più basilari. Quando la rete era agli inizi, minacce come worm e virus affliggevano le organizzazioni. I firewall sono stati progettati per filtrare elementi noti per essere dannosi e sono diventati uno strumento indispensabile per proteggere i dati. Insieme a soluzioni antivirus (AV), hanno formato un forte strato di base di protezione perimetrale contro malware noti. Con i fatti conosciuti, gli analisti sapevano cosa cercare e come difendersi da loro.

Ma con il progredire della tecnologia, la complessità e il numero di minacce aumentarono rapidamente. Vedendo che i firewall erano in grado di catturare minacce poco complesse, gli sviluppatori di malware iniziarono a creare nuove minacce sofisticate, più difficili da rilevare. Gli analisti hanno iniziato a incorporare strumenti più avanzati come sandbox e filtri URL. Questi strumenti hanno familiarità con questo tipo di minaccia “conosciuta, ma sconosciuta”; potrebbero non riconoscerle pienamente, ma ne sanno abbastanza da diffidare del profilo generale e possono fornire un livello di protezione.

Cigni neri e minacce irriconoscibili

Oggi ci troviamo di fronte a varianti molto più sofisticate e sfuggenti: questi sono i cigni neri delle minacce informatiche; le incognite sconosciute che le organizzazioni non possono prevedere e quindi, apparentemente, contro cui non possono armarsi. Oggi Internet è incontrollato, con minacce mai viste in rapida evoluzione e irriconoscibili. Approcci tradizionali euristici e basati sulla firma che, come detto sopra, dipendono dal riconoscimento del modello di minaccia, sono impotenti a sconfiggere queste varianti altamente complesse. Queste minacce sconosciute possono oltrepassare AV, sistemi di rilevamento / prevenzione delle intrusioni, filtri di rete e, ovviamente, firewall.

Prevenire il prossimo evento con la navigazione remota isolata

Se è impossibile prevenire o rilevare minacce sconosciute, che cosa può essere fatto per impedire loro di entrare nelle reti e creare danni all’organizzazione?

La verità è che non c’è nulla che un individuo o un’organizzazione possa fare per impedire che incognite sconosciute accadano. Inoltre, l’attenzione non dovrebbe essere quella di cercare di rendere conto di ogni evento di cigno nero / incognita sconosciuta che potrebbe verificarsi – non c’è il tempo, non è economicamente vantaggioso e comunque non funzionerà.

Invece, le organizzazioni hanno bisogno di un approccio che sia proattivo e non dipenda dal riconoscimento delle minacce. Con la navigazione remota isolata, nessun codice eseguibile trasmesso da browser raggiungerà mai le reti o i dispositivi dei dipendenti, quindi la tua organizzazione è protetta da tutte le minacce: note, sconosciute ma note e persino incognite sconosciute.

Lo fa eseguendo tutto il codice in un contenitore monouso isolato, situato in cloud o nella DMZ, lontano dall’end point e dalle reti. Un flusso di dati pulito consente all’utente di interagire con qualsiasi sito Web di cui ha bisogno, senza la minaccia di varianti malware sconosciute. Quindi, quando la sessione è finita o l’utente interrompe la navigazione, il contenitore viene eliminato insieme a tutti i suoi contenuti. Qualsiasi cosa malevola, anche gli zero-day exploit, che potrebbero essersi introdotti in quella sessione di navigazione vengono gettati via e distrutti.

Ci saranno sempre minacce basate su browser che semplicemente non possono essere anticipate. Gli aggressori hanno già appreso che queste incognite sconosciute sono gli strumenti più potenti nel loro arsenale e ci sono buone possibilità che le minacce irriconoscibili diventino meno prevedibili col passare del tempo. Ecco perché la migliore forma di protezione è quella che non ha bisogno di “sapere” nulla su un exploit per impedirgli di danneggiare le tue reti.

 

Fonte: Ericom Software

Browser virtuale vs navigazione remota isolata: quale soluzione di navigazione sicura è adatta alla tua organizzazione?

Browser virtuale vs navigazione remota isolata: quale soluzione di navigazione sicura è adatta alla tua organizzazione?

La maggior parte delle organizzazioni hanno una  soluzione per impedire ai dipendenti di navigare in siti pericolosi come quelli del gioco d’azzardo o pornografici. Tuttavia, secondo il rapporto di Google “The Ghost in the Browser“, ogni giorno vengono identificati 10.000-30.000 nuovi siti web dannosi. Basta che un singolo individuo visiti uno di questi siti per mettere a rischio la vostra organizzazione.

Naturalmente, l’utente medio probabilmente tende a non  visitare siti web che non ritiene sicuri. Tuttavia, anche se si naviga solo su siti web legittimi, non si può mai essere completamente certi che siano sicuri. Gli hacker possono manipolare quasi tutti i siti Web inserendo il codice che infetta il browser nel momento in cui un sito viene caricato, forse senza nemmeno fare clic. Prima che ve ne accorgiate, il vostro dispositivo, insieme all’intera rete aziendale, è stato compromesso.

La linea di fondo è che, a meno che non si disponga di una qualche forma di soluzione di navigazione sicura abilitata, ogni volta che uno dei dipendenti naviga su Internet, espone l’azienda a enormi danni potenziali. Il malware può essere installato in un batter d’occhio, comprese varianti fileless o “zero-day” precedentemente sconosciute, che possono aggirare la maggior parte delle soluzioni antimalware.

Navigazione sicura
Esistono diversi approcci per proteggere se stessi e l’azienda da malware Web based. L’approccio convenzionale si basa su soluzioni quali software anti-virus e firewall per rilevare e bloccare le minacce. Inoltre, ci sono molti passaggi che si possono adottare per proteggere i browser convenzionali, come l’installazione di plug-in per disabilitare gli script e la regolazione delle impostazioni sulla privacy. L’approccio convenzionale, tuttavia, non è sufficiente. Per navigare veramente in rete con sicurezza, è necessario un approccio completamente diverso e più proattivo.

In questo articolo confronteremo due approcci principali alla navigazione sicura: la virtualizzazione del browser e la navigazione remota isolata.

Cos’è un browser virtuale?
Con la virtualizzazione del browser, il browser Web viene eseguito in un ambiente virtuale separato dal sistema operativo locale, fornendo in tal modo un buffer tra l’attività di navigazione e l’endpoint. Di conseguenza, qualsiasi malware rilevato durante una sessione di navigazione infetterà solo l’ambiente virtuale in cui il browser è effettivamente in esecuzione.

I browser virtuali possono assumere molte forme. A livello base, il browser virtuale può operare sul lato client, in una ‘sandbox’ o su una macchina virtuale specifica per il browser che si trova fisicamente sull’endpoint. In alternativa, l’ambiente di navigazione potrebbe trovarsi su una macchina remota, ad esempio un server designato nella DMZ (Demilitarized Zone) dell’organizzazione o persino nel cloud. Questo tipo di browser virtuale in genere comporta la creazione di un ambiente RDS (Remote Desktop Services) o VDI (Virtual Desktop Infrastructure) dedicato, in genere basato su Windows, per la navigazione sul Web. L’implementazione di tale ambiente comporta un’infrastruttura RDS / VDI complessa e potrebbe anche richiedere l’acquisto di Microsoft RDS CALs (client access licenses).

Navigazione remota isolata
Il Remote Browser Isolation (RBI) inizia con lo stesso concetto di base di un browser virtuale e fa un ulteriore passo in avanti. Come implica il nome, il remote browser isolation esegue l’attività di navigazione dell’utente in una posizione remota isolata dalla rete locale, non diversamente dallo scenario RDS / VDI descritto in precedenza. Ma è qui che finiscono le somiglianze. Invece di utilizzare un’implementazione RDS completa o desktop virtuale, con RBI il browser virtuale remoto viene eseguito all’interno di un contenitore Linux dedicato, con un container separato assegnato a ciascuna scheda del browser. Quando un utente avvia per la prima volta una sessione di navigazione, facendo clic su un collegamento o digitando un URL nel browser, uno dei contenitori viene assegnato a quella sessione. Tutti i contenuti Web attivi vengono rappresentati in immagini e suoni all’interno del contenitore e trasmessi in streaming in tempo reale sul dispositivo dell’utente, per un’esperienza di navigazione Web completamente trasparente e interattiva. Poiché sul dispositivo dell’utente non viene eseguito alcun codice Web, la rete e gli endpoint sono protetti da malware o altre minacce che potrebbero essere in agguato all’interno del codice originale. Quando l’utente chiude o nasconde una scheda, il contenitore corrispondente viene eliminato, insieme a qualsiasi malware che potrebbe violare le difese dell’organizzazione.

 

 

 

Browser virtuale VS la navigazione remota isolata.

Mentre entrambe le soluzioni forniscono un livello di protezione necessario per le minacce trasmesse dal browser, RBI offre numerosi vantaggi in termini di costi, esperienza utente e, soprattutto, sicurezza.

1 ) Costi. Molti browser virtuali remoti vengono eseguiti su tecnologie RDS / VDI, il che significa che i requisiti hardware e la configurazione server / client non sono banali e potrebbero anche richiedere l’acquisto di CAL Microsoft (Client Access Licenseas). Analogamente, i requisiti di compatibilità hardware di alcune soluzioni di virtualizzazione lato client potrebbero richiedere l’aggiornamento dei PC e non supportare sistemi operativi client non Windows. Al contrario, le soluzioni RBI che sfruttano un’architettura containerizzata basata su Linux richiedono un’infrastruttura server significativamente inferiore rispetto alle soluzioni basate sulla virtualizzazione, e rappresentano significativi risparmi sui costi a lungo termine.

2) L’esperienza utente. I browser virtuali richiedono tempo per essere avviati: possono essere necessari alcuni lunghi secondi per avviare una sessione RDP. I browser remoti containerizzati utilizzati per le soluzioni RBI vengono lanciati immediatamente. Inoltre, a causa dei requisiti ad alta intensità di risorse di una tipica soluzione di browser virtuale, molti browser virtuali utilizzano browser o schede separate per la navigazione di siti Web interni rispetto a siti Web esterni. Con la navigazione remota isolata è possibile utilizzare lo stesso browser o scheda per entrambi, con il traffico di navigazione instradato senza problemi in base alle definizioni del proxy dell’organizzazione.

3)Sicurezza. I container leggeri utilizzati per la navigazione in un’implementazione RBI consentono di lanciare un nuovo ambiente di navigazione isolato per ogni scheda e sessione di navigazione e buttarlo via  quando la scheda o la sessione non sono più in uso, eliminando in tal modo la diffusione del malware (ad esempio, XSS ). In particolare, Ericom Shield offre un ulteriore livello di sicurezza fornendo la  sanitizzazione integrata di tutti i file di cui viene fatto il download per proteggervi da malware nascosti che potrebbero essere incorporati all’interno.

Sia che scegliate un approccio di virtualizzazione del browser, o scegliete la navigazione remota isolata, vi consigliamo vivamente di passare ad una tecnologia di navigazione veramente sicura. Le soluzioni convenzionali, come firewall, software antivirus e gateway web sicuri, non sono più adeguate per proteggervi dalla varietà di minacce poste da un singolo clic errato.

 

Fonte: Ericom Software