Identificare un comportamento non corretto dei dispositivi connessi alla rete risulta di fondamentale importanza per qualsiasi azienda che vuole difendersi dalle minacce APT (Advanced Persistent Threat). Alla luce di un panorama in rapida evoluzione di questi attacchi malware mirati, possiamo indicare i cinque principali tipi di comportamento che potrebbero identificare un dispositivo infetto.
1) Tentativi di connessione non riusciti
Il comportamento tipico del malware spesso include tentativi di connessione a host inesistenti su Internet. Mentre alcune connessioni non riuscite potrebbero essere dovute a errori dell’utente o a collegamenti non funzionanti, una serie di connessioni non riuscite può essere il sintomo di un’infezione da malware.
2) Scelta dell’applicazione
Un host che installa un’applicazione di file sharing P2P può essere considerato più a rischio di unoche installa un gioco. Alcune aziende possono considerare problematiche entrambe le azioni.
3) Posizione geografica
La visita a host in determinati paesi può essere classificata come un comportamento a rischio, specialmente con una quantità di traffico significativa. Questa azione può essere abbinata a un approccio basato su una white list che identifichi i siti legittimi nei diversi paesi per individuare più facilmente i client infetti.
4) Informazioni sulla sessione
Quando un dispositivo inizia a rimanere collegato su una porta per ricevere una connessione dall’esterno, ma la connessione non viene avviata, la causa potrebbe essere un’infezione APT.
5) Destinazione
Anche la visita di determinati tipi di siti Web, quali siti di gioco o per adulti e quelli che contengono notoriamente codice dannoso, può essere un sintomo di infezione APT.
Identificare comportamenti rischiosi di utenti e applicazioni rappresenta il passo successivo per la protezione dagli attacchi APT. La protezione basata su firme non è più sufficiente. È fondamentale creare un’immagine completa, in evoluzione e aggiornata del comportamento dei client di rete. La client reputation e la classificazione sono componenti essenziali per ordinare e comprendere l’enorme quantità di informazioni sulla sicurezza disponibili nelle imprese e la loro applicazione a una risposta mirata e dinamica per garantire la sicurezza.
Questi e ulteriori risultati sono analizzati più approfonditamente nel nuovo white paper di Fortinet: “Detecting What’s Flying Under the Radar: The Importance of Client Reputation in Defending Against Advanced Threats”. L’esclusiva funzione di client reputation di Fortinet (in attesa di brevetto) è una delle principali funzionalità del nuovo sistema operativo FortiOS 5.