La scelta di un buon antivirus in grado di proteggere i perimetri cyber aziendali si rivela indispensabile non solo a livello normativo ma anche per supportare l’attività degli amministratori IT. Gli esperti, infatti, oltre alla sicurezza delle infrastrutture strategiche e ai dati riservati, si ritrovano a dover implementare anche una miriade di processi e procedure, alcune molto recenti e in particolare:
- il perfezionamento delle disposizioni del GDPR e del nuovo Codice Privacy che, con l’entrata in vigore dal 19 settembre 2018 del D.lgs. 101/2018 che novella il D.lgs. 196/2003, ha comportato l’abrogazione/modifica delle disposizioni non in linea con il GDPR;
- la fatturazione elettronica.
Gli antivirus non sono tutti uguali, non possiamo affidare la nostra scelta al caso, specialmente se nel nostro business rientra il trattamento di dati sensibili. La finalità di questo articolo è quindi fare una disamina delle caratteristiche ottimali che orienteranno la scelta adattandola sia alla tipologia sia alle caratteristiche del sistema aziendale in essere.
Indice degli argomenti
Le misure da adottare secondo le norme
Ben sappiamo che in base al GDPR, in sintesi, sia il titolare sia il responsabile del trattamento dei dati personali sono tenuti ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, ma non dimentichiamoci che è bene fare un incrocio con altre normative che trattano il tema della sicurezza informatica.
Per esempio il D.lgs. 231/2001, all’art. 24 bis (Delitti informatici e trattamento illecito di dati), delinea la possibilità che gli Enti siano ritenuti responsabili per reati informatici commessi da soggetti apicali e dipendenti se dal fatto illecito ne deriva un interesse o vantaggio per l’Ente stesso. Senza addentrarci nello specifico nelle disposizioni del suddetto Decreto, è bene sottolineare che l’Ente potrebbe essere esente da responsabilità, tra altre condizioni, se il reato commesso non fosse riconducibile neppure parzialmente all’interesse dell’ente oppure per esempio, se l’Ente fosse in grado di dar prova di aver adottato ed attuato prima della commissione del reato, modelli di organizzazione e gestione idonei a impedire la commissione di reati di questa tipologia.
L’attinenza tra il D.lgs 231 e l’antivirus esiste, anche nelle situazioni più impensabili. Pensiamo ad un dipendente o ad un soggetto in posizione apicale che scaricano un file corrotto che in qualche modo arreca un vantaggio all’organizzazione. Ad esempio, il download non autorizzato potrebbe introdurre nella rete aziendale un trojan che “promette” esplicitamente di scaricare un software in grado di trarre informazioni riservate sullo scenario di business e che in qualche modo danneggi o violi la riservatezza dei competitor: questo comportamento potrebbe rientrare nella fattispecie del genere di reati a cui si accennava prima.
Falsi miti sulla cyber security
La cyber security è ormai un driver economico in grado di influire e guidare l’economia delle nazioni che vede impegnati in prima linea: vendor, produttori di dispositivi, consulenti e ricercatori di sicurezza delle reti. E, indirettamente, tutte le aziende che hanno bisogno di sicurezza delle reti per difendere i propri perimetri aziendali se vogliono rimanere sul mercato ed evitare sia la perdita di reputazione e di clienti, sia le sanzioni previste dal GDPR che possono essere applicate, in determinate situazioni, in caso di data breach. Necessità e, al contempo, un business che genera e muove grandi somme.
Tuttavia, è doveroso sfatare subito una credenza piuttosto comune: “I produttori di soluzioni anti-intrusion hanno tutto l’interesse a favorire le frodi informatiche e l’insicurezza delle reti”. Non è vero. Si tratta di una credenza da “sradicare”, non solo perché è del tutto infondata ma perché è esattamente l’opposto: frequente il caso in cui le società si sono mostrate altamente collaborative e proattive. A titolo di esempio concreto: McAfee Labs e il gruppo McAfee Advanced Threat Research hanno recentemente scoperto una vulnerabilità dell’assistente vocale Cortana in Microsoft Windows 10. La falla permetteva agli hacker di entrare in un dispositivo Windows 10 bloccato tramite la funzione “PC bloccato? Chiedi a Cortana” (vulnerabilità CVE-2018-8140). Questa vulnerabilità poteva essere utilizzata per eseguire un codice non autorizzato dallo schermo bloccato di un computer Windows 10 (fonte informativa: Report McAfee Labs sulle minacce – Settembre 2018).
A volte, collaborare diventa un dovere legale. Molti ricorderanno il servizio offerto da Scan4You, un motore che permetteva di controllare i virus con tutti gli antivirus a disposizione. Molto simile a VirusTotal di Google (tuttora attivo), Scan4You è stato bloccato e il suo creatore Ruslans Bondars è stato condannato a 14 anni di reclusione, con l’accusa di non aver avvisato le autorità ogni volta che un virus veniva identificato.
Spesso sentiamo la seguente affermazione: “Ho dotato i dipendenti del mio studio di un Mac, di conseguenza la mia azienda non deve temere alcunché”. Certamente meno attaccato ed anche meno attaccabile, sarebbe tuttavia un errore sentirsi completamente al sicuro se dotati di Mac. Casi di malware si sono verificati anche con questi sistemi operativi: molti ricorderanno le falle zero-day in macOS 10.13 High-Sierra (scoperte verso la fine del 2017). Permettevano agli hacker di accedere ai contenuti cifrati di Accesso Portachiavi (un’applicazione che archivia password e informazioni di account degli utenti riducendo il numero di password) e di bypassare l’autenticazione per l’account admin.
Anche Linux non è inviolabile, a ricordarcelo il bug in Node Package Manager (npm), tool per la gestione dei pacchetti JavaScript, scoperto a febbraio 2018 e che ha visto, tra gli effetti, la compromissione del sistema operativo da applicazioni compromesse e non più funzionanti fino all’impossibilità di avviare il PC.
Ventidue punti per scegliere l’antivirus aziendale
Alla luce di quanto detto finora, si riportano alcune caratteristiche che un buon antivirus aziendale dovrebbe possedere:
| Caratteristiche | Specifiche |
| Compatibilità | Compatibilità con i programmi istallati nell’azienda e con i servizi cloud. |
| Copertura totale | Protezione dei perimetri aziendali, di tutti gli end-point compreso i mobile device. |
| Integrazione | Integrazione che comprenda la copertura di tutti gli end-point, di tutte le sedi, di tutte le postazioni di lavoro. |
| Usabilità | Dashboard chiara e personalizzabile, in grado di mostrare le azioni di un attacco, user-friendly con avvisi comprensibili. |
| Velocità | In grado di non rallentare l’avvio del PC, la gestione di file e cartelle, la visualizzazione di pagine web, gli applicativi e le applicazioni multimediali. (I rallentamenti incidono sulla produttività, sui costi fissi di struttura che non può impiegare le risorse con efficienza). |
| Affidabilità | Protezione della rete che non generi falsi allarmi negli accessi e nei download di pagine web. |
| Protezione globale | Protezione da vulnerabilità ,virus datati e recenti, da modalità di criptazione di dati e da virus polimorfi di nuova generazione, protezione da ransomware e da expoit densi di linguaggi di scripting, funzionalità antiphishing. Capacità di rilevare minacce latenti e inattive e nuove minacce. |
| Evidenziazione di attività sospette | In grado di implementare profili comportamentali basati su comportamenti/dati passati individuando i rischi attraverso l’osservazione dei comportamenti degli utenti. |
| Protezione cripto miner | I “minatori di criptovalute” utilizzano le CPU dei device in cui si insediano, ne consegue, oltre alla presenza di malware, anche un rallentamento/inefficacia delle prestazioni. |
| Controllo delle porte | Controllo di porte aperte/in ascolto effettuato con frequenza random e non solo all’avvio della macchina o con periodicità programmata (gli hacker ormai conoscono la modalità di investigazione dei principali antivirus). |
| Pulizia e ripristino | Ripulitura di PC infetti anche quelli non più accessibili, di ripristinare le modifiche del ransomware. Soluzioni di backup. |
| Disponibilità | Servizio clienti efficiente, possibilmente a copertura totale (7 g su 7). Servizio completo e/o a supporto con ticket per casi che esulano dal contratto base. |
| Computer forensics | Dotazione di strumenti utili per condurre analisi digitali/computer forensics. |
| Rapporti | Segnalazioni e rapporti completi ed esaustivi, con anteprime ben formattate e facili da consultare. |
| Configurazione | Facilità nella configurazione ed installazione (anche per PMI e microimprese). |
| Semplicità d’uso | Facilità di gestione sia per il settore IT sia per gli utenti. |
| Cloud Protection | Dotazione di soluzioni di cloud protection. |
| Segnalazioni | Capacità di generare avvisi in maniera efficace. |
| Policy | Possibilità di importare le policy aziendali in maniera ottimale affinché non risultino troppo permissive ma neppure troppo restrittive e consentire la gestione basata sui ruoli e il controllo dei registri. |
| Aggiornamenti | Rilascio automatico di aggiornamenti, patch di sicurezza con chiara evidenziazione del numero di release. |
| Condizioni contrattuali | Chiarezza e condizioni contrattuali e di licenza trasparenti. |
| Costi | Compatibili con la struttura aziendale, competitivi e sostenibili anche da PMI e microimprese. |
Le caratteristiche sopra elencate fanno riferimento agli antivirus attualmente in commercio. La domanda che dobbiamo porci è se un antivirus sia in grado di proteggerci totalmente dagli attacchi. La risposta è no: sicuramente è un tool importante la cui scelta inciderà sulla protezione dell’azienda, tuttavia il crescente numero di malware e di attacchi andati a buon fine richiede l’integrazione di altre misure, tra cui la formazione dei dipendenti che rappresentano l’anello debole della catena di sicurezza delle reti.
Anche i produttori di antivirus dovrebbero infondere un maggiore impegno necessario per sconfiggere modalità di attacco informatico sempre più sofisticate. In questo senso, sarebbe auspicabile una stretta sinergia con l’intelligenza artificiale.
L’uso dell’intelligenza artificiale per la sicurezza informatica
L’intelligenza artificiale aiuterà notevolmente il campo della sicurezza delle reti in quanto potrà eliminare o fortemente limitare la capacità di scelta/giudizio dell’utente. Fino a quando le decisioni saranno in mano agli utenti aziendali, magari privi di competenze di sicurezza delle reti, la sicurezza di un’organizzazione sarà sempre in pericolo. L’A.I. potrà sostituirsi al giudizio umano attraverso l’analisi di enormi quantità di dati attraverso algoritmi in grado di gestire le informazioni e di analizzare i comportamenti anomali bloccando in anticipo i tentativi di attacco.
L’A.I. può cambiare i paradigmi fino ad ora adottati e che si sono rivelati inefficaci. Fortemente pericoloso avvalersi della capacità di giudizio degli utenti. La possibilità di scelta è una criticità che necessita di particolare attenzione. L’antivirus deve evitare di evidenziare, per esempio, questo tipo di messaggi: “Un programma sta tentando di effettuare una connessione ad internet, autorizzi?“. Più coerente e congrua la possibilità di una modalità reverse (gli utenti dovrebbero consultare l’antivirus) che consenta agli addetti di connettersi/autorizzare connessioni nella più completa tranquillità.
C’è da augurarsi che, in un non lontano futuro, ci sia un avviso generato dall’antivirus di questo tipo: “Questo programma potrebbe contenere un codice dannoso, ti preghiamo di pazientare, stiamo verificando che sia esente da minacce, tra qualche secondo potrai visualizzare il risultato”. Ovviamente, il tutto gestito con estrema rapidità che può derivare dal fatto che il sistema ha già provato a far girare il programma in ambiente test o test cloud in pochi secondi.
L’A.I. potrebbe altresì supportare la ricerca di nuove vulnerabilità attraverso l’analisi e lo sviluppo, a scopo di test, di nuovi potenziali attacchi che usano exploit kit sulla base di software inizialmente ideati per la difesa delle reti e successivamente intercettati dagli hacker o il cui codice sorgente sia reperibile sul Dark Web.
L’intelligenza artificiale, infine, potrebbe apportare un valido aiuto nell’intercettare nuove modalità di attacco in grado di battere sul tempo gli antivirus. Sono sempre più numerosi i malware in grado di attivare codici corrotti prima che il sistema operativo e l’antivirus entrino in funzione, altri convivono sui Pc delle vittime a loro insaputa, senza dare alcun segno apparente, se non un impercettibile rallentamento.
