Sicurezza Mobile, rischi e soluzioni

Come far fronte ai rischi legati alla sicurezza informatica nel comparto Mobile: strategie di difesa.

Imprese italiane, in particolare le PMI, sempre più nel mirino delle minacce informatiche. 

Minacce Mobile

In termini di minacce ai sistemi IT, l’Italia registra un leggero calo (da 7,1% di dicembre 2015 al 6,4% di gennaio 2016), pur restando il quarto paese europeo più colpito (sul podio Montenegro, Polonia e Liechtenstein). I malware Conficker e Sality sono rimasti i più diffusi, mentre il nuovo Dorkbot (IRC Worm legato ad attacchi DDoS) è salito al terzo posto. Sul fronte Mobile, invece, imperversano gli attacchi contro Android molto più frequenti di quelli ai danni di iOS. In base alle rilevazioni di gennaio, i malware più diffusi sui dispositivi mobili sono:

1. AndroRAT: si inserisce in un’app mobile legale e si installa all’oscuro dell’utente, offrendo il completo controllo da remoto di un dispositivo Android.
2. Xinyin: classificato come Trojan-Clicker, esegue truffe su siti di pubblicità cinesi.
3. Leech: invia messaggi di testo da dispositivi mobili infetti a numeri a pagamento, con codifica fissa nel file. 

Mobile Warfare

Considerando le minacce citate, siamo di fronte ad uno scenario di Mobile Warfare, una vera e propria guerra che va ben oltre i consueti problemi di tutela della proprietà intellettuale o prevenzione dalle frodi: oggi, la piattaforma mobile è un bacino aperto a cui tutti i criminali accedono, prestandosi persino a diventare un ponte per qualsiasi uso, dal cybercrime al depistaggio quando non al terrorismo.

Il pericolo più semplice in cui un telefono può essere coinvolto è una botnet. A vantaggio dei “cattivi” due elementi cruciali:

1. l’utente non si accorge che il proprio cellulare è infettato e/o coinvolto in un attacco;
2. un’offensiva mediante una rete di cellulari infettati consente attacchi contemporanei da più località (una per ogni telefono) senza che l’attacco possa essere bloccato disabilitando una o più microcelle della medesima località. 

Detection, remediation, prevention

Nessun utente può accorgersi di avere il telefono coinvolto in una botnet, a meno di utilizzare un apposito strumento di analisi del network. Check Point effettua queste verifiche mediante uno specifico tool che controlla ogni singola App e la rispettiva veridicità, con meccanismi di reputazione. Se il responso è “luce verde” si passa oltre, con “luce rossa” è necessario ricorrere a opportune policy aziendali se implementate o guidare l’impresa sul da farsi. Infine si monitorano le azioni di rete del telefonino per intercettare i command & control malevoli, studiarli, trarne le informazioni opportune e infine bloccarli.

I device aziendali o personali ma usati per il lavoro (BYOD) possono essere messi sotto controllo con un Mobile Device Management (MDM). Inoltre è possibile adottare la soluzione Capsule Workspace gestita centralmente da Check Point, che “tiene in una bolla” tutto quel che viene analizzato assegnando un rating di rischio: solo entro il limite accettabile permette il rilascio del dato verso l’MDM. Per proteggersi bisogna innanzitutto partire dalla protezione di rete, “minimo comune denominatore” per poi monitorare le attività di comunicazione con MDM e Capsule.

Check Point Capsule

Unica soluzione in grado di offrire sicurezza multi-livello, comprende:

1. Accesso aziendale riservato: protegge i dati sui device senza doverlo gestire l’interamente. Crea sul dispositivo un ambiente aziendale sicuro e separa i dati di business da dati e applicazioni personali. Questo consente un accesso protetto (tramite una semplice interfaccia utente) ad email, file, directory, contatti e agenda aziendale, senza influire sui dati personali.
2. Sicurezza dei documenti aziendali: proteggere i documenti ovunque si trovino e prevenire possibili perdite di dati per cause interne e esterne, legando la sicurezza al documento in modo inscindibile; gli utenti autorizzati possono accedere ai file protetti e in modo trasparente su ogni dispositivo.
3. Protezione dalle minacce ovunque: estende le policy di sicurezza corporate per proteggere i dispositivi dalle minacce anche al di fuori del network aziendale. Effettua scansioni del traffico da dispositivi mobili nel cloud, previene l’accesso ai file da website malevoli, impedisce danni da bot e altre minacce informatiche.

Limiti

Il principale ostacolo per l’implementazione di strumenti di MDM e Capsule non è il budget (il loro costo è inferiore a quello degli strumenti di sicurezza IT) ma la consapevolezza, la scarsa cultura della sicurezza: si continua a pensare “non capiterà mai a me, in quel caso me ne preoccuperò” senza pensare che potrebbe essere troppo tardi. Qualunque spazio “aperto” del device, come mezzo di comunicazione non controllato, presenta un rischio di ingresso per un’infezione malware e quindi attacco. Le vulnerabilità a livello firmware o di librerie (collezione di entità di base pronte al riuso di codice, n.d.r.) sono sfruttabili via rete dai malware per l’esfiltrazione, attacco verso terze parti e ricatto/pizzo. Quel che spesso sembra mancare è la percezione della sicurezza, troppo spesso vista come commodity piuttosto che processo a diretto supporto del core business. Questa mentalità deve cambiare per tempo, pena la perdita senza appello di tutto il business aziendale.