La crescente attenzione di Kaspersky, nata con una forte connotazione consumer, per il mondo business è testimoniata dal fatto che il mercato aziendale già da qualche anno rappresenta la voce principale nel fatturato del colosso della sicurezza. La nuova versione di KESB rappresenta un ulteriore passo in questa direzione.

Cosa cambia in Kaspersky Endpoint Security for Business 11

Kaspersky Endpoint Security for Business 1. Foto Morten Lehn, General Manager Italy di Kaspersky LabOltre alla difesa generale nei confronti dei malware, cresce l’attenzione verso gli attacchi specifici per le aziende. I ransomware, nella specifico, rimangono una priorità per il mercato italiano, dove restano una delle principali criticità. Altro elemento che viene tenuto in grande considerazione dalla nuova versione di KESB è l’accesso alla rete aziendale da parte di dispositivi mobili non monitorati, che possono rivelarsi portatori di infezioni difficili da controllare.

I malware generici rappresentano circa il 90 percento delle minacce e sono quelli più facilmente identificabili. Ci sono però anche gli attacchi APT (Advanced Persistent Threats) e quelli che vengono sviluppati in modo specifico per attaccare singole aziende e che sfuggono dai sistemi di rilevazione classici. Per queste due categorie è fondamentale l’analisi comportamentale, con il supporto del machine learning, che attraverso l’individuazione di comportamenti anomali riescono a riconoscere potenziali minacce anche quando compaiono per la prima volta. Non si tratta più quindi di cercare indizi che permettano di riconoscere le minacce rispetto a un database di attacchi già individuati, bensì di capire se le azioni delle singole applicazioni nascondono dei fini malevoli.

Protezione quadrupla

Kaspersky Endpoint Security for Business 3. Foto Fabio Sammartino, Head of Pre-Sales di Kaspersky LabIl sistema Kaspersky Endpoint Security for Business 11 agisce a quattro livelli: individuazione automatica.prima dell’installazione, controllo del runtime, analisi pre esecuzione e infine analisi del comportamento. I ransomware, per esempio, cambiano con una tale rapidità da rendere quasi inutili i primi due step, quindi è fondamentale la parte di analisi del comportamento.

Se il malware arriva fino alla fase di runtime, e quindi ha apportato effettivamente delle modifiche al sistema, la risposta automatica esegue un roll back delle azioni eseguite dal ransomware, annullando le modifiche, sia a livello di file criptati sia come interventi apportati al sistema per garantire il funzionamento del malware.

All’interno di Kaspersky Endpoint Security for Business 11 sono presenti anche controlli a livello di dispositivi, siti e applicazioni, che permettono di bloccare a.monte l’accesso in azienda alle risorse potenzialmente più pericolose, come chiavi USB, siti di crack o programmi particolarmente vulnerabili.

La nuova interfaccia di KESB11

Kaspersky è consapevole che la difficoltà di utilizzo dei sistemi di sicurezza rappresenta un ostacolo alla protezione delle aziende. La nuova interfaccia è stata sviluppata partendo da questo presupposto, con importanti interventi sia grafici sia di comunicazione. Per esempio, la sezione di analisi comportamentale, che prima veniva chiamata System Watch, è stata ribattezzata più semplicemente in Behavioral Detection, per facilitarne la comprensione..

Tra i vantaggi dichiarati da Kasperky in merito a questa nuova versione è interessante il fatto che tutti i componenti di KESB11 sono stati sviluppati internamente, e non sono frutto di acquisizioni esterne. Al di là di un controllo completo sull’intero sistema, questo garantisce anche una maggiore leggerezza del sistema, che non deve integrare parti di codice provenienti da.diversi sviluppatori.

Tra i vantaggi offerti da Kaspersky Endpoint Security for Business 11, non va sottovalutata la rete di diffusione del prodotto in versione consumer. Con oltre 60 milioni di installazioni, Kaspersky riceve infatti feedback da tutto il mondo, il che le permette di analizzare e riconoscere le minacce con grande tempestività.

Le nuove minacce aziendali

Giampaolo Dedola, Security Researcher, Global Research and Analysis Team di Kaspersky Lab

Giampaolo Dedola, primo italiano a far parte del gruppo di ricerca internazionale di punta di Kaspersky, GReAT, ha preso parte alla presentazione del nuovo KESB11 per raccontare l’evoluzione delle minacce in ambito aziendale.
Giampaolo ci ha spiegato che nel 2017 sono stati bloccati da Kaspersky oltre un miliardo di attacchi malware e quasi un milione di attacchi cryptolocker. Analizzando nel dettaglio le tipologie di attacchi, è emerso che quelli legati agli account bancari e i ransomware hanno subito una drastica riduzione a livello mondiale, segno che queste tipologie di minacce stanno perdendo di efficacia. Va però detto che, nonostante la riduzione di attacchi, l’efficacia dei ransomware è cresciuta. Il problema ci riguarda molto da vicino, visto che l’Italia è il secondo Paese più colpito al mondo dai ransomware, secondo solo al Giappone. In particolare, ha visto una crescita notevole Cerber, un attacco che arriva sotto forma di finte bollette.

Considerando che gli attacchi online globalmente sono quasi duplicati, e data la diminuzione di ransomware e furto di informazioni bancarie, quali dunque sono le categorie in crescita? Soprattutto i “miners”, che sfruttano le risorse dei computer su cui si installano per eseguire calcoli che vengono premiati in cryptovaluta. Poiché le risorse necessarie sono molto elevate, a livello di consumi energetici e capacità di calcolo, questi script vengono installati in computer di terzi, per sfruttarli a costo zero. Si tratta di una tipologia di malware che non ha una conseguenza diretta grave ed evidente come nel caso di un ransomware, ma chi viene colpito subisce un calo di risorse e un aumento dei costi energetici. Inoltre, la via usata per installare un miner lascia il sistema vulnerabile anche ad altri tipi di infezione.

I miner vengono distribuiti tramite siti compromessi, attraverso il codice Java, con advertising malevolo, con widget e con le estensioni per i browser. Persino piattaforme come Google DoubleClick, YouTube e Amazon sono state portatrici inconsapevoli di queste infezioni. Di solito la presenza di un miner si manifesta con un carico di lavoro anomalo in Risorse di sistema per quanto riguarda i programmi di navigazione.

Particolarmente preoccupante è la diffusione degli APT, che compromettono l’intera azienda con l’installazione di miner. In questo caso, il sistema nel suo complesso subisce una perdita di prestazioni e un aumento dei costi energetici, che possono arrivare anche a creare problemi di produttività molto seri.

I miner colpiscono inoltre il mondo mobile, per lo più attraverso l’installazione di giochi o altre app. Qui il rischio non è solo il rallentamento e la diminuzione della durata della batteria, ma anche un danno fisico si dispositivi, che non sono progettati per un uso intensivo di questo genere.

In prospettiva, da questo punto di vista è da tenere sotto controllo il grande mondo IoT: benché le prestazioni dei singoli dispositivi siano limitate, il loro numero lo rende un potenziale bersaglio.