Una ricerca commissionata da McAfee esamina il ruolo e il costo di queste tecniche nelle più recenti violazioni dei dati di alto profilo
Un nuovo report di McAfee, divisione di Intel Security, si sofferma sulle polemiche e sulla confusione che circondano le tecniche di evasione avanzata (AET – Advanced Evasion Techniques), analizzandone il ruolo che queste svolgono nelle minacce avanzate persistenti (APT – Advanced Persistent Threats). La ricerca di Vanson Bourne, commissionata da McAfee, è stata effettuata intervistando 800 CIO e responsabili sicurezza di Stati Uniti, Regno Unito, Germania, Francia, Australia, Brasile e Sud Africa, e ha evidenziato le molteplici incomprensioni, interpretazioni errate e contromisure inefficaci messe in atto dagli esperti di sicurezza che hanno il compito di proteggere i dati sensibili.
Recenti violazioni dei dati di alto profilo hanno dimostrato come l’attività criminale adotti delle strategie per evitare di essere individuata per lunghi periodi di tempo. Gli intervistati hanno confermato quanto sopra e più di un professionista della sicurezza su cinque ammette che la sua rete è stata violata (22%). Quasi il 40% di quanti hanno subito violazioni è convinto che le AET abbiano giocato un ruolo fondamentale. Inoltre, coloro che hanno subito una intrusione negli ultimi 12 mesi hanno sostenuto un costo per la loro organizzazione che supera, in media, il milione di dollari.
“Gli hacker conoscono già le tecniche di evasione avanzata e le utilizzano quotidianamente”, ha dichiarato Pat Calhoun, general manager network security di McAfee, divisione di Intel Security. “Quello che stiamo cercando di fare è educare le aziende in modo che possano sapere cosa cercare, e comprendere cosa sia necessario per difendersi da queste minacce”.
Perché i test sui firewall nascondono l’esistenza delle AET
Quasi il 40% dei responsabili IT non ritiene di avere metodi per rilevare e monitorare le AET all’interno della propria organizzazione, e quasi due terzi ha dichiarato che la sfida più grande quando si cerca di adottare una tecnologia contro le AET è proprio convincere i dirigenti che si tratta di una minaccia seria e reale.
Dei circa 800 milioni di AET note, meno dell’1% viene rilevato dai firewall e dai sitemi di intrusion detection / prevention di altri vendor. La presenza di queste tecniche è aumentata in modo significativo a partire dal 2010, con milioni di combinazioni e modifiche di AET basate sulla rete che sono state identificate fino ad oggi. Il professor Andrew Blyth della University of South Wales ha studiato la prevalenza e l’impatto delle AET per molti anni.
“La verità è che le tecniche di evasione avanzata sono un dato di fatto. E’ scioccante che la maggior parte dei CIO e dei professionisti della sicurezza abbiano gravemente sottostimato le AET quantificandole in 329.246, quando in realtà il numero delle AET note supera di circa 2.500 volte quella cifra oltrepassando gli 800 milioni di AET ed è in crescita”, ha aggiunto Blyth.
Benché le tecniche di evasione fossero note da lungo tempo, nel 2010 Stonesoft, società che è stata acquisita da McAfee nel maggio 2013, ha dimostrato concretamente come le combinazioni sfruttabili siano pressoché illimitate, siano implementabili attraverso tool automatici e nessun sistema attualmente in uso sia in grado di rilevare integralmente. A questo insieme di possibili combinazioni di tecniche di evasione è stato dato il nome di AET. Utilizzando le AET, un utente malintenzionato può dividere un exploit in pezzi, aggirare un firewall o un IPS, e una volta dentro la rete, riassemblare il codice per attivare il malware e perpetrare un attacco APT.
“Le AET non rivelano vulnerabilità nuove o macchinazioni diaboliche di gruppi di oscuri hacker, ma rappresentano la versione aggiornata e contestualizzata alla nostra società digitale iperconnessa di un vecchio, illuminante e ignorato report del 1998”, spiega Marco Cremonini, Ricercatore presso il Dipartimento di Informatica dell’Università degli Studi di Milano. “Le possibilità di evasione del monitoraggio di rete non si limitano ai pochi casi discussi quindici anni fa o alle poche decine, o forse qualche centinaio, indagato negli anni successivi; esistono milioni di varianti possibili, siano esse 10, 100 o 1000 milioni, che differenza fa? Sono sostanzialmente infinite le possibili combinazioni per evadere un sistema IDS/IPS”.
La ragione per cui queste tecniche sono sottostimate e non comprese appieno è che nei test a pagamento, i vendor hanno la possibilità di effettuare modifiche in tal senso. Di conseguenza, vengono corrette solo le tecniche specifiche che vengono individuate, ma non le altre tecniche che vengono rapidamente aggiornate e adattate dalle organizzazioni criminali.
“Purtroppo, test di sicurezza di terze parti e le risposte dei vendor stanno creando confusione intorno a questo problema, portando alcuni a concludere che queste tecniche non esistano”, ha aggiunto Calhoun. “Vi assicuro che esistono e hanno il potenziale per entrare nella rete e scatenare minacce avanzate persistenti molto dannose”.
“Soluzioni certe per eliminare i rischi di intrusione non esistono, i prodotti e le tecnologie possono essere e sono continuamente migliorate, ma esistono limiti strutturali che devono essere noti” conferma Cremonini. “Discutere delle AET rappresenta un passo avanti nella direzione di una maggior consapevolezza dei limiti intrinseci di alcune tecnologie e della difficoltà irriducibile di effettuare verifiche di affidabilità esaustive, un passo avanti quindi per una migliore analisi e gestione del rischio”.
Costi elevati per le aziende
All’interno delle organizzazioni che hanno subito una violazione alla rete negli ultimi dodici mesi, i manager intervistati hanno stimato il costo medio per l’azienda intorno ai 931.006 dollari. In Australia, dove è stato registrato un minor numero di violazioni (15%), è stato indicato un costo medio molto più elevato per violazione, pari a 1,5 milioni di dollari. Il costo per gli intervistati americani in media ha superato il milione dollari. Il settore dei servizi finanziari è stato il più colpito, con un costo stimato in oltre 2 milioni di dollari per violazione a livello globale.
“Sono molti gli aspetti interessanti che le AET rivelano, non solo e non tanto dal punto di vista puramente tecnico, ma soprattutto sui criteri di valutazione delle tecnologie”, conclude Cremonini, “sulle metodologie di gestione di reti IT complesse e sul gap ancora esistente tra un approccio di stampo puramente tecnico orientato alla rimozione delle vulnerabilità e una vera e propria analisi e gestione del rischio”.
