Limiti degli Antivirus e perché non sono più sufficienti

1. La Storia

Con la nascita dei computer sono comparsi – quasi immediatamente! – i virus, nella prima metà degli anni ’80. Nella maggior parte dei casi erano veicolati attraverso i floppy disk, che in quei tempi rappresentavano il principale mezzo per lo scambio dei dati.
Fu Fred Cohen, nel suo saggio “Computer Viruses – Theory and Experiments” del 1984 a definire per la prima volta il concetto di “virus informatico.

L’inventore dell’antivirus è ritenuto G DATA Software AG. Nell’anno 1987 l’azienda, fondata a Bochum nel 1985, ha sviluppato il primo programma commerciale per combattere i virus informatici. Poco dopo è arrivato l’antivirus creato da John McAfee, la cui azienda nel 2011 è stata acquistata da Intel.
Altri antivirus molto diffusi sono Avira, Avast, Bitdefender, Eset, F-Secure, Kaspersky, Panda Security, Sophos, Symantec, Webroot.

Negli anni, sia i virus che gli antivirus si sono enormemente evoluti, ma è diventato sempre più evidente che chi attacca si trova in una condizione di vantaggio rispetto a che si deve difendere.
Oggi il termine antivirus è spesso sostituito da quello di antimalware, che è sostanzialmente un suo sinonimo, poiché il termine malware (crasi delle parole “malicious software”) include in modo estensivo qualunque tipo di software dannoso, tra cui anche i virus.
Antivirus ed antimalware sono quindi i software finalizzati alla rilevazione ed alla successiva eliminazione dei vari tipi di codici malevoli.

Investire nella sicurezza informatica è essenziale per garantire il funzionamento continuo di imprese, organizzazioni, istituzioni e scuole.

Business Cyber Attack Protect you with DNSfilter-


>> Flashstart è totalmente basato sul Cloud e facile da configurare → Provalo ora!


2. Come funzionano gli antimalware e perché non sono più sufficienti

Per comprendere quali sono i limiti degli antimalware – oggi sempre più evidenti – è utile capire come funzionano questi software. Sarà così chiaro che non potremo più ritenerli una protezione sufficiente per i nostri dispositivi.
I primi antivirus eseguivano un controllo sostanzialmente “meccanico” basato sul controllo della firma (si definiscono appunto “signature-based”). La “signature” (firma) viene generata attraverso algoritmo di hash e per la sua univocità è paragonabile ad un’impronta digitale che individua in modo univoco un file. Si parla infatti di “fingerprint”.

Con questo funzionamento erano in grado di rilevare esclusivamente i virus noti, perché già presenti nel loro database delle definizioni dei virus, ma non potevano intercettare i nuovi attacchi, perché non ancora classificati.
Ogni nuovo virus deve essere prima individuato ed analizzato al fine di determinarne la firma e quindi aggiunto all’elenco dei virus noti. Gli aggiornamenti dei database delle firme vengono inviati agli utenti, con una frequenza che – a seconda del fornitore – può essere giornaliera o addirittura di più volte al giorno.
I database vengono aggiornati quotidianamente ma richiedono alcuni passaggi obbligati che lasciano una “finestra temporale” nella quale la minaccia è già presente, ma non è stata ancora inserita nei database degli antivirus.
Questi passaggi obbligati sono: identificazione dell’agente malevolo, inserimento nel database da parte del fornitore dell’antivirus, disponibilità del database per il download da parte del computer che deve aggiornare le firme. 

Risulta evidente che questo processo di “schedatura” sarà sempre inevitabilmente in ritardo, perché ci sarà sempre una finestra temporale (magari anche di un solo giorno…) entro la quale l’antivirus non sarà in grado di riconoscere il malware appena creato. 

Cosa è il Polimorfismo

Gli attaccanti, che evolvono le loro tecniche con processi di “ricerca e sviluppo” paragonabili a quelli di vere aziende (perché tali sono oggi) hanno imparato a sfruttare questa debolezza degli antimalware. Lo fanno utilizzando il cosiddetto “polimorfismo”: per riuscire ad ingannare l’antimalware occorre utilizzare un codice ad esso sconosciuto. Ma tutto ciò si può fare in modo decisamente semplice: non occorre costruire un malware ex novo, basta modificare la firma di quello esistente.

Un malware è una sequenza di righe di codice. Questo codice – una volta realizzato – avrà una firma (fingerprint) univoca, che è l’hash calcolato attraverso un algoritmo di hashing. L’hash è quello che viene controllato dagli antimalware basati sul controllo “signature based”.

L’attaccante, quindi, crea un malware polimorfo: questo è in grado di cifrare la propria firma ogni volta in un modo diverso, così da apparire diverso in ogni attacco. In pratica il malware trasforma un blocco di codice in un altro blocco di codice con le stesse funzionalità del precedente, ma con una fingerprint differente. Ricordiamo che – per quelle che sono le peculiarità degli algoritmi di hashing – una modifica anche modesta genera un hash completamente diverso (quello che si definisce “effetto valanga” dell’hash).

Generare un virus polimorfo richiede pochi secondi ed è una tecnica sempre più diffusa: oggi la maggior parte degli agenti malevoli sono poliformi. In altre parole, quasi ogni attacco utilizza un malware generato per la prima volta e non ancora noto, almeno fino a quando non sarà aggiornato il database delle firme.

A causa del polimorfismo, l’efficacia degli antivirus si riduce in misura importante: secondo uno studio di Malwarebytes (2017) un antivirus tradizionale non riesce a proteggere l’utente in quasi il 40% degli attacchi malware.

Inoltre, questi antivirus non saranno in grado di rispondere efficacemente ad attacchi “0-day”, cioè non potranno identificare le nuove minacce che non siano già presenti nei database dei vendor.

In conclusione: il metodo di rilevamento delle minacce basato sulla firma è utile, ma ha un’efficacia limitata. Per questo motivo gli antimalware moderni utilizzano anche metodi più innovativi, che puntano all’analisi dei comportamenti dannosi. In questo modo riescono a individuare attacchi non ancora noti. Questa tecnica è definita Analisi Euristica.

La sicurezza informatica è la priorità assoluta nell’agenda 2021 di almeno il 61% dei CIO intervistati (Chief Information Officer).

Cybersecurity top priority - told CIO


>> Flashstart è leader nella competitività → Richiedi prezzi!


3. L’analisi Euristica

Si definisce “Euristica” l’insieme di strategie, tecniche e procedimenti inventivi per ricercare argomento, un concetto o una teoria adeguati a risolvere un problema nuovo (dal Vocabolario Treccani).
Nel caso specifico degli antivirus, è una funzionalità da utilizzare in aggiunta a quella basata sulle firme.
Si scansiona un file eseguibile analizzandone la struttura, il comportamento e gli attributi.
In questo modo viene sezionato ed esaminato il suo codice sorgente. Se nel codice sono presenti istruzioni tipiche dei malware, oppure una determinata percentuale del codice sorgente corrisponde a qualcosa che è già stato individuato come malevolo, il codice viene contrassegnato come possibile minaccia.
In altre parole, paragonando gli antivirus ad un’indagine di polizia, quelli tradizionali individuano il criminale perché hanno la sua impronta digitale, quelli euristici riescono a capire che è un criminale – anche se non l’hanno mai visto prima – perché lo vedono compiere azioni sospette.

Questa tecnica utilizza le logiche dell’analisi comportamentale per individuare caratteristiche sospette presenti nei virus nuovi e sconosciuti e nelle versioni modificate (polimorfe) di minacce esistenti.
L’analisi euristica è quindi più efficace per avere una protezione preventiva dalle minacce sconosciute essendo in grado di individuare i virus polimorfici.
In alcuni casi, per gli antimalware più avanzati, si esegue anche una analisi euristica dinamica: il file sospetto viene eseguito in una sandbox, per determinare senza rischio se un programma è sicuro o meno. L’esecuzione in sandbox consente di capire il comportamento del software e quali minacce potrebbe portare, facendolo “detonare” in un ambiente isolato dal sistema principale.

Nonostante siano un passo avanti, anche i software di analisi euristica senza firme si sono dimostrati insufficienti ad arginare le minacce informatiche sempre più evolute e quindi gli antimalware si sono dovuti evolvere ulteriormente, diventando veri e propri “programmi di sicurezza”, che non si possono più definire come semplici antivirus. 

Con la sicurezza di Internet cloud, gli utenti non devono scaricare lunghi aggiornamenti e riavviare i loro sistemi, tutte le modifiche vengono adottate automaticamente dal sistema!

Cloud Security - photo of Sebastian Voortman da Pexels


>> Flashstart è totalmente in Cloud e facile da attivareProvalo ora!


 

4. I sistemi EDR (Endpoint Detection and Response)

La nuova frontiera è rappresentata dall’intelligenza artificiale (AI) e dal machine learning (apprendimento automatico, ML).
L’AI non si limita alla mera esecuzione di una serie limitata di controlli, al contrario analizza determinati comportamenti, ne individua le anomalie per identificare un attacco, per esempio un ransomware.
Con il machine learning diventa possibile riconoscere comportamenti e pattern nuovi, classificarli per “insegnarli” al sistema di difesa, che diventerà sempre più evoluto.

Queste tecnologie sono implementate attraverso i sistemi EDR (Endpoint Detection and Response) o anche XDR (la differenza è più che altro commerciale), che rappresentano il futuro (ormai già il presente, in realtà) e sono la soluzione migliori per la sicurezza informatica, soprattutto perché i metodi basati su firma o altri metodi meno evoluti non sono in grado di gestire l’evoluzione delle minacce attuali.
Naturalmente all’interno dell’EDR è presente anche un antivirus basato sulle firme, ma questo è solo una delle componenti del sistema, come vedremo.
Nella pratica su ogni endpoint dovrà essere installato un agent (come per il tradizionale antivirus), che è in grado di eseguire il monitoraggio in tempo reale e la raccolta di dati sugli endpoint con tecniche di threat intelligence (rilevazione delle minacce).

L’agent raccoglie i dati di comportamento dell’endpoint (quali processi, connessioni, volume di attività e trasferimenti di dati), li esamina rispetto a pattern di comportamento attesi, li analizza e li correla, ne individua le anomalie e poi li invia ad una dashboard centralizzata nella quale l’amministratore di sistema può rilevare le minacce e decidere le attività di risposta (response).

In questa attività si utilizza il Machine Learning (ML): l’agent imparerà a conoscere i comportamenti tipici dell’utente di quell’endpoint e – dopo una fase di apprendimento (tipicamente 1÷2 settimane) – sarà in grado di utilizzare queste informazioni per riconoscere comportamenti anomali che potrebbero indicare un attacco in corso sull’endpoint.

Tale modalità è definita anche “User Behavior Analytics” (UBA, analisi comportamentale dell’utente). Ne riportiamo la definizione che ne dà il Rapporto Clusit:

“UBA: Tecnologia atta ad apprendere il “normale” comportamento degli utenti di un sistema informativo mediante l’analisi di rilevanti quantità di dati (log…), e di segnalare successivamente il verificarsi di attività anomale messe in atto dagli stessi.”

Poiché qualsiasi attacco ha comportamenti tipici, che sono stati studiati e tradotti anche in modelli matematici, i sistemi di protezione degli endpoint (EDR) incorporano tali modelli matematici (“Pattern comportamentali”) e sono in grado di riconoscere e bloccare questi attacchi, senza avere la conoscenza preventiva dei medesimi.
Non solo, grazie all’autoapprendimento (ML) ed all’intelligenza artificiale (AI) del motore di threat intelligence realizzato dal fornitore dell’EDR riescono a catalogare e clusterizzare milioni di file ed i loro comportamenti tipici.

Un altro vantaggio dei sistemi EDR avanzati è che questi comunicano con i sistemi del fornitore: questi è dotato di un database costruito sulle casistiche di cyberattacchi già avvenuti.
Quindi correlando l’evento segnalato dall’EDR con il proprio database (utilizzando l’AI) il fornitore del servizio potrà riuscire a riconoscere attacchi ancora non noti.

Un’altra utile fonte di intelligence sulle minacce è il progetto Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) del MITRE, un gruppo di ricerca no-profit che lavora con il governo degli Stati Uniti. ATT&CK è una base di conoscenza e un quadro costruito sullo studio di milioni di cyberattacchi del mondo reale.

ATT&CK categorizza le minacce informatiche in base a vari fattori, come le tattiche utilizzate per infiltrarsi in un sistema IT, il tipo di vulnerabilità del sistema sfruttate, gli strumenti malware utilizzati e i gruppi criminali associati all’attacco. Il fulcro del lavoro è l’identificazione dei modelli e delle caratteristiche che rimangono invariati indipendentemente dai cambiamenti minori di un exploit.

 In sintesi, le funzioni principali di un sistema EDR sono tipicamente:

»  monitorare e raccogliere dati di attività dagli endpoint che potrebbero indicare una minaccia,
»  analizzare questi dati per identificare i modelli di minaccia, secondo regole impostate dal vendor e/ dall’amministrato del sistema,
»  notificare le minacce e le azioni di contrasto eseguite attraverso una dashboard centralizzata, che raccoglie e correla i dati di tutti gli endpoint del sistema aziendale.

L’EDR può essere collegato ad un sistema SIEM (Security Information and Event Management) che – oltre agli eventi provenienti da EDR – raccoglie e correla anche gli eventi provenienti da altre fonti, quali firewall, DNS server, IDS (Intrusion detection system), IPS (Intrusion prevention system), WAF (Web Application Firewall).
Il SIEM costituisce un’architettura di controllo sulla sicurezza sull’intero sistema da difendere. Queste architetture (EDR, IDS/IPS, SIEM) rappresentano le soluzioni che oggi le aziende dovrebbero adottare, andando oltre le semplici ed ormai superate soluzioni di antivirus.

Secondo l’UE, il costo della criminalità informatica per l’economia globale nel 2020 ammontava a 5,5 trilioni di euro, più del doppio rispetto al 2015.


> FlashStart è Multi-tenant e facile da configurare → Provalo ora!


 

L’autore

Giorgio Sbaraglia, ingegnere, svolge attività di consulenza e formazione per la sicurezza informatica e per la privacy.

 


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

> Per maggiori informazioni clicca qui
> Per una prova gratuita clicca qui
> Per richiedere i prezzi clicca qui