Sì, finalmente, siamo vicini alla protezione da malware 0-day come cryptolocker per garantire una protezione del 99.99%.Abbiamo parlato tanto dell’APT che oggi garantisce un’ottima protezione e già da solo garantisce un buona percentuale di eliminazione del rischio. Ma non basta, visto la capacità di evoluzione del malware è comprensibile che bloccare i punti di accesso utilizzati e conosciuti attualmente non sempre è sufficiente. Pertanto, sono necessari la presenza di più sistemi di protezione che vanno ad integrarsi e a completarsi a vicenda per dare la massima protezione possibile. Eccoli i fantastici 4!
Un po’ come a casa: montiamo all’ingresso il portoncino blindato, spesso aggiungiamo le inferiate, poi installiamo l”antifurto, poi montiamo sistemi di videosorveglianza, per avere così un mix di protezioni che ognuna rafforza l’altra e aumenta la nostra sicurezza, ma anche in questo caso.. se lasci cartoni o altro davanti ai sensori.. se disattivi l’antifurto per troppi falsi
positivi.. Se il ladro suona e tu gli apri… se.. se.. se.. Anche perché siamo in Italia, e l’Italia ha fatto nascere la PEC. L’APT nella versione corrente del servizio non lavora sulla porta di scarico della PEC.
Abbiamo già chiesto una feature request in Watchguard e ci garantiscono dall”America che da qui a qualche mese faranno un aggiornamento del firmware che consentirà anche questo filtro. Vero è, che ad oggi, non ci risultano né a noi né ai nostri partner attacchi diretti provenienti dalla PEC.
Un workaround per evitare l’infezione da PEC, fino a quando non sarà disponibile il nuovo firmware, è quello di consultare la PEC e GMAIL (che usa le medesime porte) non direttamente da Outlook (che non verrebbe controllata) ma guardarle tramite webmail sul portale dedicato, questo il nostro consiglio. Perché il filtro su navigazione http e https lo riesca ad individuare anche all’interno della PEC e continuare a garantirvi protezione.
Se non hai ancora attivato l”ispezione dell”HTTPS, attiviamola subito! Oggi tantissimi siti web si stanno spostando da HTTP a HTTPS! E i “vecchi” sistemi di protezione, non sanno cosa c”è dentro a un sito in HTTPS e quindi non controllano nulla all”interno di esso!
Non solo, oggi siamo abituati a ricevere l’infezione da una mail o da un sito web, ma le cose evolvono, oltre in bene.. anche in male.. Pensiamo ad esempio quando crypto sarà “spacciato” come molti altri virus anche con infezione su Pen Drive Usb. Ecco in questo caso l’APT non può controllare questo attacco perché la pen drive è stata portata dentro l’azienda e non è passata dal filtro a monte della rete che sta sul firewall.
Ecco perché l’APT da solo non basta.
Abbiamo quindi aggiunto 3 ulteriori protezioni applicabili all’interno della rete per rafforzare l’APT e integrare fra loro più protezioni, come a casa! E per avere più sicurezza basata su controlli ulteriori, pensate ad esempio a una nuova variante appena uscita. Il tempo di aggiornare i motori delle definizioni sui filtri di protezione va da 1 minuto a qualche ora, e se riceviamo la nuova variante fra 1 minuto e qualche ora? Probabilmente rimaniamo influenzati dall’attacco.
È palese che stiamo parlando di possibilità minime, di casistiche che in sé sono già vicine allo zero in termini di percentuali. Ma vogliamo evitare anche quelle! E vogliamo dirvi che sì possiamo così garantire quasi il 100% della sicurezza, come? In 3 modi aggiuntivi:
Antivirus che controlla veramente cryptolocker. Siamo diventati partner di una nota casa produttrice di antivirus che da poco ha aggiornato il motore dell’agente e ha un pannello specifico per l’abilitazione e disabilitazione del controllo anti-cryptolocker (facendo addirittura backup live di file che si stanno criptando) il pannello è accessibile da internet in quanto il servizio viene erogato da Cloud. Mettere questo antivirus va a rafforzare l’APT e integrare fra loro più protezioni, come ad esempio l’infezione proveniente dall’interno da penna Usb e 2 cervelli che aggiornano le proprie firme sul malware. Stiamo facendo una grande promo con sconti riservati per cambiare l’antivirus in produzione, questi sconti faranno sì che se ancora è attivo l’antivirus in produzione, permetteranno di non sprecare l’investimento in essere. Se non sei ancora stato contattato dal reparto commerciale per il cambio antivirus, scrivici che velocizziamo il tutto e creiamo un’offerta ad hoc.
Policy di dominio attivabile e disattivabile che impone all’utente di non poter lavorare con eseguibili nelle cartelle %AppData%\.exe
\r\n %AppData%\\.exe
\r\n %LocalAppData%\Temp\.zip\.exe
\r\n %LocalAppData%\Temp\7z\.exe
\r\n %LocalAppData%\Temp\Rar\.exe
\r\n %LocalAppData%\Temp\wz\*.exe
in quanto il malware lavora e parte da queste cartella. Controindicazioni: a volte per installare qualche software particolare va disabilitata, poi una volta installato il software si può tranquillamente riabilitare, altre contro indicazioni non ne abbiamo rilevate e l’utilizzo delle macchine risulta identico e senza intoppi. Mettere questa policy non comporta costi di licenza, e fa sì che in caso entra l’infezione, questa non parte nemmeno dal pc infetto. Anche in questo caso, fino a quando non fanno una variante che non utilizza queste cartelle, ad oggi, tutte le varianti uscite e che abbiamo testato partano da queste cartelle.
WYS Plus che in caso di infezione, isola il server che si sta infettando e limitiamo i danni e i tempi di ripristino dei file. Ad esempio, ci fosse ancora la possibilità di infezione dello 0,01% ecco che in questo caso avere il server isolato permette al supporto interno e a noi di ripristinare i file criptati sul server dai backup con tempi di ripristino veloci invece che ad esempio ripristinare tutto un server con tutto il suo archivio. Inoltre si ha il beneficio di tutte le feature in più incluse in WYS. Siamo sicuri che 1+1+1+1 oltre a fare 4, portano la sicurezza della tua infrastruttura informatica al top! E ai massimi livelli! Non solo per cryptolocker, ma per qualsiasi virus, malware, tentato accesso e malware 0-day che qualche hacker continuerà ad inventare e buttare nella rete. E inoltre ricorda che: la policy non ha costi di licenza
l’antivirus in essere non è un investimento perso in quanto le promo per il cambio antivirus consentiranno il mantenimento dell’investimento
l’APT è attivabile in licenza per 1 e 3 anni sul firewall Watchguard a monte della rete
WYS è l’agente di monitoraggio proattivo con canone mensile che dal 2016 con laversione 1.19 ha la visione su file criptati
Contattaci per informazioni aggiuntive allo 0543 704710, riceverai senza impegno una stima di messa in produzione di security top per la tua infrastruttura: support@v-ision.it
