Il mondo del malware era molto più semplice 20 anni fa. Una volta ricevuto il tuo floppy con gli ultimi aggiornamenti all’antivirus potevi considerarti relativamente al sicuro. (Sempre che tu avessi davvero tolto il dischetto dalla busta e lo avessi installato, ovviamente)
Ora viviamo in un mondo molto più complicato quando si tratta di sicurezza informatica.
Tuttavia, sento spesso gente porre le stesse domande che avrebbe fatto 20 anni fa: “Qual è l’ultima versione del software” e “Qual è stato l’ultimo identity file rilasciato?”
Vorrei sottolineare che essere in possesso delle ultime versioni del software con aggiornamenti regolari e in tempo reale è una parte essenziale della sicurezza moderna. Il problema che ho con queste domande è quando queste sono le uniche a essere poste.
Ecco uno scenario tipico:
Un utente di nome Brian ha un virus sul suo computer. Crede che si tratti di un nuovo zero-day perché ha utilizzato il suo antivirus ed è abbastanza sicuro di utilizzare la versione più recente.
Brian è consapevole del fatto che nessun vendor di sicurezza può garantire una protezione del 100% così considera questo evento un fatto straordinario.
Verifica che tutti i suoi computer stiano utilizzando la versione più recente e che stiamo scaricando gli aggiornamenti relativi alle ultime minacce. Contento che le cose stiano proprio così, se ne torna al suo lavoro.
Il giorno dopo si verifica un altro attacco “straordinario”…
Allora, perché sta accadendo? Brian è preso di mira da una banda criminale? Ha bisogno di cambiare il suo fornitore di antivirus?
La verità è che la sicurezza è fatta di strati, e garantire che vengano utilizzate le versioni più recenti è solo uno strato della vostra sicurezza
Questo fatto non è nuovo. Immaginate di costruire un castello – vi considerereste al sicuro se costruiste solo le pareti? Che ne dite di un fossato, merli, soldati, catapulte, un ponte levatoio, e così via …?
Ora immaginate che Brian stia usando un software antivirus nuovo fiammante di nuova generazione.
Potete ritenervi al sicuro se:
Non state distribuendo regolarmente le patch di sicurezza più recenti?
È stato disattivata una funzione di sicurezza dopo che un utente si è lamentato che Facebook era troppo lento?
Avete dispositivi mobili non protetti che possono connettersi a file condivisi?
Il vostro indirizzo email non viene sottoposto a scansione alla ricerca di virus e spam?
I visitatori possono accedere al Wi-Fi, che si trova sulla stessa rete del server?
A chiunque è consentito di attivare macro nei documenti di Office che ricevono via e-mail?
Gli utenti possono leggere i file a cui non dovrebbero accedere assolutamente e scrivere su file che non dovrebbero cambiare?
Non si richiede agli utenti di scegliere password adeguate?
Si ignorano avvisi dal software di sicurezza che ci stanno avvertendo che qualcosa è sbagliato?
Avete dimenticato quelle vecchie macchine XP ancora in esecuzione in cantina?
Probabilmente si possono immaginare innumerevoli esempi da aggiungere alla lista.
Ora immaginate che Brian invece adotti un approccio più proattivo a queste recenti minacce.
Sa che l’attacco non è stato rilevato sul suo computer, ma non è sicuro che il suo software anti-virus stia seguendo le best practice, così raddoppia i controlli su tutte le impostazioni e corregge alcuni errori commessi dal suo predecessore.
Poi da’ un’occhiata al primo virus che ha ricevuto via e-mail.
Si trattava di un file di Microsoft Word con una macro eseguita automaticamente quando ha aperto il documento, così apporta modifiche per fermare l’esecuzione delle macro senza la sua autorizzazione.
Anche il secondo virus è stato ricevuto tramite e-mail, ma in questo caso si trattava di un file JavaScript. Quindi cambia le sue impostazioni di Windows per far sì che i file .JS vengano aperti nel blocco note come impostazione predefinita. Inoltre abilita l’Application Control per impedire che i file JavaScript possano girare sulle sue macchine.
A questo punto guarda il suo prodotto gateway di posta. E’ stato aggiornato di recente, ma si accorge che alcune delle nuove caratteristiche di sicurezza non sono ancora state attivate.
In seguito guarda i diritti di accesso del suo staff e apporta alcune modifiche, anche se molto in ritardo, tra cui far impostare password adeguate.
Questi sono solo alcuni esempi dei diversi livelli di protezione che Brian ha a sua disposizione.
L’obiettivo di un software per la sicurezza è quello di bloccare le minacce. Se la minaccia può essere fermata dal primo livello di sicurezza allora è fantastico, ma non è sempre così facile.
Se un attacco ha successo, non solo ha oltrepassato il vostro anti-virus, ma ha oltrepassato tutto.
Il modo migliore per impedire che accada di nuovo è quello di capire come ci sia arrivato e apportare le modifiche appropriate per evitare che si ripeta.
Lascia un commento