Oltre l'antivirus, come proteggere l'azienda nell'era del ramsonware

1. Claudio Panerai, CTO
claudio.panerai@achab.it
OLTRE L’ANTIVIRUS,
COME PROTEGGERE L’AZIENDA
NELL’ERA DEL RANSOWMARE?

2. CHI DI VOI HA L’ANTIVIRUS?

3. EPPURE…

4. Dr. Solomon’s Antivirus Toolkit
F-prot girava su un floppy da 720k
Muoveva i primi passi Norton Antivirus
COSA SUCCEDEVA 24 ANNI FA? (era il 1993)

5. MA SOPRATTUTTO…

6. I nuovi big Zombie
vs.
IL MONDO E’ CAMBIATO

7. Vecchio business model
grandi risorse per attaccare grandi enti
con tanti soldi ma grandi difese
Nuovo business model
poche risorse per attaccare a tappeto
chi ha pochi soldi a zero difese
IL NUOVO BUSINESS MODEL DEGLI HACKER

8. L’ANTIVIRUS BASATO SULLE FIRME E’ MORTO
Gli antivirus non reggono il ciclo virus-firme-rilascio
• firme richiedono “campioni” per l’analisi
• la maggior parte del malware colpisce “pochi” pc
Gli attacchi sono sofisticati e intelligenti
• sfruttano exploit zero-day
• si comprano programmi per generare virus e varianti
E’ cambiata la lotta
• spear phishing è molto efficace
• non è sempre colpa degli utenti: exploit kit
• WannaCry e Petya
Source: ©AVTest.org Nov13

9. AV arrancano perché il rimedio è legato a ricerca
infezioni moderne:
- fanno azioni diverse in base a location
- stanno fermi fino al verificarsi di un evento
- attivano componenti in modalità random
- fanno hijack di processi regolari dove AV non vede.
RIMEDI INEFFICACI

10. 1. Antivirus buono e sempre aggiornato
2. Patch di sicurezza sui sistemi (Windows e non)
3. Plugin, utility e applicazioni aggiornate (Flash, Adobe, ecc)
4. Applicare policy affinché utenti non siano admin
5. Bloccare «cose particolari» (Temp, appdata, ecc)
6. Filtri sull’email prima che arrivino alla inbox
7. Disabilitare VBS e Powershell (e macro di Office)
8. Accurato controllo sui permessi di rete
9. Fermare l’infezione sul nascere: scollegare il server dalla rete
10. Backup e test del restore per essere pronti a ripartire…
LA SOLUZIONE E’ UN INSIEME DI PROCESSI

11. • Spesso i problemi nascono quando rogue o malware
vanno in esecuzione su endpoint
• necessaria gestione efficace di endpoint
• AV tradizionali pesanti e ingombranti
• AV basati su firme sono sempre in «ritardo»
Serve protezione real-time per essere
efficaci contro malware zero-day
SOLUZIONI DI SICUREZZA SONO NECESSARIE

12.  Tante Virtual Machine su un solo host
 Client la cui sicurezza è basata su “firme”
 Aggiornamenti , scansioni consumano TUTTE le risorse - AV Storm
 All’aumentare delle VM il problema peggiora esponenzialmente
VIRTUAL – APPROCCIO TRADIZIONALE SICUREZZA ENDPOINT
SignatureSignature Signature Signature
Virtual Infrastructure
X 100
Hardware

13.  Sicurezza Agentless si appoggia sopra all’infrastruttura virtuale
 Workaround per prestazioni - no client installato su endpoint
 Infrastruttura virtuale fornisce visibilità su file system e sulla rete
 Esposizione ad attacchi sofisticati – virus che stanno solo in memoria (no file)-Poweliks
 Complessità & overhead – soluzione virtuale dedicate: altro sistema da gestire
VIRTUAL – SICUREZZA AGENTLESS ENDPOINT
Virtual Infrastructure
Agentless Security
Hardware

14. Mantenere le performance
• uso efficiente di risorse
• scalare rapidamente, leggero
Massima protezione
• sicurezza autocontenuta in ogni VM
• capacità di fermare virus sofisticati
VIRTUAL – “DESIDERATA” PER LA SICUREZZA ENDPOINT
Virtual Infrastructure
100% 100% 100% 100% 100% 100% 100%
Hardware
Facile da gestire
– No infrastruttura dedicate o
soluzione virtuale dedicata
– Elimina la necessità di
aggiornare le firme

15. • Virtuale - prestazioni
• deploy rapido: installa e protegge in pochi secondi;
• scansione ultra-rapida, minimo uso di RAM, CPU, disco;
• Virtuale – protezione
• protezione autocontenuta in ogni VM;
• non va in conflitto con altri sw di sicurezza;
• protezione zero-day;
• Gestione
• protezione real-time basata su cloud;
• no costi infrastruttura: console web «globale» nel cloud;
• nessun aggiornamento di firme;
• singolo agent per desktop, server, fisico, virtuale, mobile
WEBROOT – PROTEZIONE DI NUOVA GENERAZIONE

16. Where is the magic?

17. THREAT INTELLIGENCE PLATFORM

18. SAN TOMMASO TIME

19. Webroot Secure Anywhere
• Senza firme
cioè sempre aggiornato
• Real-Time System Shield
analisi comportamentale e protezione da malware in tempo reale
• Zero-day Shield
azione immediate contro polimorfismi e multimorfismi
• Real-Time Anti-Phishing Shield
99% di precisione contro siti di pishing
• Pesa 1 MB e si installa in meno di 10 secondi

21. E’ evidente a tutti che gli antivirus, anche i migliori, non sono
sufficienti.
Serve uno strato di protezione ulteriore, perché il vero costo di un
incidente informatico per un’azienda non è il costo dei tecnici che
devono rimettere in piedi un sistema, auspicando che ci siano i backup
e i dati siano integri.
Il costo è il fermo dei sistemi aziendali, i sistemi che consentono alle
aziende di lavorare e produrre reddito.

22. QUELLO CHE CONTA…
• La continuità operativa!
• O Business Continuity

23. UN ESEMPIO: LA RUOTA DI SCORTA

24. A OGNUNO LA SUA

25. • Danno dell’interruzione
• Probabilità dell’interruzione
• Costo della contromisura
TRE PARAMETRI IMPORTANTI

26. Ma che cosa può interrompere
il funzionamento del sistema IT?
Quali sono i disastri?

27. TERREMOTI
Finale Emilia,
Maggio 2012

28. TROMBE D’ARIA
Torino,
Luglio 2016

29. INCENDI
Milano,
Novembre 2016

30. ALLAGAMENTI
Livorno,
Settembre 2017

31. ALTRE CAUSE, BEN PIÙ FREQUENTI
• Furti
• Guasti hardware (disco, alimentatore)
• Problemi software (aggiornamenti, corruzione
di file)
• Cancellazione di file (colposa o dolosa)
• Virus (ransomware)

32. ANATOMIA DI UN DISASTRO
Indisponibilità
Tempo
Dati persi

33. DISASTRO, QUALI SONO I DANNI
• Improduttività: struttura pagata per niente
• Indisponibilità: no valore aggiunto
• Ripristino sistemi: riscostruire infrastruttura
• Perdita integrità: ricostruire dati persi
• Perdita riservatezza: dati in mano esterna
• Perdita immagine: credibilità
• www.achab.it/costoincidenteIT

34. No!
MA NON BASTA IL BACKUP?

35. SIAMO PIÙ PRECISI…
• Certezza del tempo di
ripartenza (prove)
• Verifica successo e integrità
dei dati
• Perdita di dati accettabile
• Copia (integra) fuori sede

36. …O COME DIREBBE UN TECNICO
• Backup tutto incluso: OS, dati, applicazioni
• salvataggi frequenti
• garanzia del recupero/ripristino
• ripartenza di interi server senza muletto
• datacenter remoto per ripartenze in caso di disastro

37. Come risolviamo il problema?

38. BUSINESS CONTINUITY SECONDO DATTO
 Ripartenza istantanea, facile e
veloce in locale
 Riparenza istant.
da remoto
 Protezione mista:
- locale (on premise)
- remota (cloud)

39. PERCHÉ DATTO È DIFFERENTE
 Protezione basata su immagini, anche ogni 5
minuti
 garanzia di ripartenza
(anche applicativa)
 virtualizzazione istantanea in locale
(anche se non hai cluster o muletto)
 replica + accensione in remoto dei sistemi.
(anche se non possiedi un datacenter tuo)

40. CONCLUDENDO
• Il sistema informativo è uno strumento
di produzione
• Deve essere sicuro, efficace ed
efficiente
• Così ci potete fare un sacco di soldi 

41. SLIDE PER I PIÙ PRATICI
Antivirus/antimalware
 senza firme
 ultra veloce
 ultra leggero
Soluzione DR/BC
 all-in-one
 ripartenza istantanea
 arriva dove gli altri non
ce la fanno

42. Claudio Panerai, CTO
claudio.panerai@achab.it
DOMANDE?