SICUREZZA DIGITALE

File avvelenati? La tecnica CDR, “Content Disarm & Reconstruction” può essere la soluzione

La rimozione dei codici dannosi e la ricostruzione dei file si profila come rimedio efficace per download e allegati mail

Con la pandemia sono aumentati sensibilmente i rischi informatici, tanto per l’alto numero di sinistri quanto per i danni correlati, come visto a più riprese con gli episodi in cui i cybercriminali hanno preso di mira società che producono il vaccino e quelle che lo distribuiscono, i nosocomi nostrani, compagnie assicurative, e perfino attaccando società di sicurezza informatica.

L’aumento del telelavoro da un lato, e la compliance aziendale verso la disciplina sulla privacy prevista dal GDPR richiedono un nuovo e diverso approccio delle aziende nella protezione delle loro informazioni sensibili, per garantire la sicurezza dei dati e l’efficienza dei processi produttivi, tenendo ben presente che il pericolo è sempre dietro l’angolo ed il fattore umano e la formazione multidisciplinare sono elementi strategici per affrontare le sfide della sicurezza informatica: i dipendenti che lavorano a distanza costituiscono un’opportunità per i cybercriminali, sempre più organizzati e finanziati, per sfruttare e ottenere l’accesso alle reti e alle informazioni sensibili.

È cambiato l’interesse delle aziende verso la sicurezza informatica, non più vista quale ultima voce del budget annuale, ma come investimento per il futuro della società, riconoscendo che in mancanza di una formazione adeguata dei dipendenti e dell’adozione di misure di sicurezza “customizzate” alle esigenze interne – in un’ottica by design parafrasando l’art. 25 del Regolamento Europeo per la protezione dei dati personali – il rischio di violazioni dei dati è dietro l’angolo.

L’emergenza Covid-19 ha finalmente mostrato l’importanza dell’infrastruttura IT aziendale, nel momento in cui molte organizzazioni hanno affrontato il problema dello smart working, facendo aumentare sensibilmente l’interesse verso nuovi approcci alla sicurezza dei dati ed in particolare verso le tecnologie di deception e zero trust.

Il modello di deception, quale scelta funzionale per una difesa attiva e intelligente post-violazione, è in costante crescita, specialmente tra le aziende che temono di esser bersaglio attacchi mirati e persistenti come DDoS, e trojan. La tecnologia, similmente ai modelli di ingegneria sociale, prevede un sistema anticonvenzionale in cui l’attaccante non viene respinto rendendogli l’aggressione antieconomica, bensì tirato dentro il sistema con un inganno, distribuendo trappole ed esche digitali attraverso un’infrastruttura di un sistema “falsa” che imita le risorse reali.

Così facendo, qualora i cybercriminali si imbattano in una delle trappole, similmente ai modelli honeypot, il sistema ne controlla ed analizza il comportamento arrivando a distogliere l’attenzione dell’intruso dai reali asset strategici e acquisendo informazioni, utilizzabili poi in ambito giudiziale, oppure conoscenze sui tool utilizzati o sui malware installati nei sistemi, per prevenire in maniera più efficace futuri attacchi.

Il modello Zero Trust è invece il modello di chi è diffidente per principio, prevedendo che dal momento in cui si è sotto attacco occorre essere in grado di valutare ogni possibile rischio, diminuendo al massimo il fronte di esposizione della azienda: tale approccio parifica la pericolosità dei rischi interni a quelli esterni.

Con un’architettura di sicurezza più dinamica, sia le applicazioni che il traffico dati, che i carichi di lavoro delle macchine, vengono valutati e confrontati in maniera continuativa con le politiche “di affinità” per determinare se le azioni possono essere o meno consentite. I vantaggi di un sistema così micro-segmentato sono costituiti dall’impedimento agli aggressori di utilizzare connessioni non approvate o di spostarsi all’interno del sistema compromesso, anche qualora siano riusciti ad ottenere illegalmente l’accesso al server o ad una singola risorsa.

Nell’ambito dell’approccio zero trust, una degli approcci più interessanti è il CDR – acronimo di content disarm and reconstruction – una tecnologia per la rimozione di codice potenzialmente dannoso dai file. Rispetto ai comuni antivirus che confrontano il file con un database di minacce, più o meno aggiornato, il CDR rimuove tutti i componenti dei file che non sono riconosciuti dalle politiche del sistema interno, siano essi standard del file type o altri criteri scelti dall’amministratore di sistema, così da impedire che le minacce alla sicurezza informatica entrino nel perimetro di una rete aziendale.

In un secondo momento il CDR ricostruisce i file in versioni “pulite” da virus o da altro codice non appropriato, senza avere alcuna necessità di aggiornare continuamente uno o più database di firme antivirus, per poi inviarli agli utenti finali. 

Il vantaggio di un sistema simile è insito nel fatto che, oltre a proteggere comunemente da e-mail, browser, FTP, supporti portatili, download via web, file in transito e altri comuni vettori di minacce, esso protegge dalle vulnerabilità zero-day e dai ransomware, in aggiunta o in sostituzione di altri sistemi di difesa come le sandbox.

Back to top button