Gli strumenti
open source servono agli esperti di cyber security per difendere le infrastrutture delle imprese. Però possono essere usati anche dai cyber criminali per
creare i loro malware.
Fortinet ha esaminato questa doppia valenza dei tool open source, indicando alcune contromisure da mettere in campo per difendersi.
I "buoni" usano gli strumenti open source in vari modi. Ad esempio per
analizzare gli exploit ed effettuare test di difesa. Ci sono poi tool che consentono di monitorare nel tempo i comportamenti del malware e dei cybercriminali. In questo modo offrono informazioni su come identificare gli sviluppatori di malware. Ma anche per prevedere quali saranno le caratteristiche dei
malware di prossima generazione e le possibili strategie di attacco.
I "cattivi" hanno però accesso a molte delle risorse usate dai ricercatori, risorse che usano con scopi completamente diversi. Inoltre stanno sempre più puntando lo sguardo su
strumenti malware open source, da utilizzare per le loro attività criminali. Secondo
Anthony Giandomenico di Fortinet, i cyber criminali che sviluppano malware sono guidati dagli stessi modelli economici del loro target. Perciò,
ottimizzano gli investimenti e non creano un attacco da zero se qualcuno ha già fatto gran parte del lavoro.
Vantaggi per tutti
Un esempio di questa ottimizzazione è la
botnet Mirai. Gli sviluppatori ne hanno rilasciato il codice sorgente, così diversi siti l'hanno pubblicato online. Così oggi c
ontinuano a esserne rilevate nuove varianti, sviluppate a partire da quel codice. Altro caso: diversi hacker ostili combinano il proprio codice con
Veil, uno strumento open source di obfuscation. Così possono creare malware che bypassare molti software di protezione.
In alcuni casi adattare il codice già disponibile per generare nuovi malware richiede una certa abilità. Ma molti dei tool malware disponibili online
sono facilmente modificabili, senza particolari competenze. Il tipico "
script kid" può ad esempio usare un ransomware proof-of-concept per infettare una rete di computer e fare danni (quasi) come i criminali esperti.
Come affrontare il malware open source
Gli strumenti open source per la sicurezza nascono spesso dal lavoro dei migliori professionisti. Proprio per questo, sono
particolarmente pericolosi se "adattabili" dai criminali per i loro scopi. Possono ad esempio penetrare rapidamente la
superficie di attacco, stabilire e oscurare un punto di ingresso senza che l'attività venga rilevata, quindi spostarsi in rete con facilità.
Per affrontare in modo adeguato questa sfida servono specifiche contromisure. Secondo Fortinet queste includono attività di
segmentazione per prevenire i movimenti laterali attraverso il network. Ma anche
analisi comportamentale per rilevare i minimi cambiamenti nel traffico,
automazione per migliorare il rilevamento delle minacce. Poi servono
threat intelligence per prendere decisioni critiche in tempo reale, e
machine learning per automatizzare le operazioni di difesa.
Funzioni di protezione
avanzata, come il sandboxing, possono rilevare le minacce sconosciute. Infine, soluzioni per la sicurezza davvero
integrate possono condividere informazioni e rispondere come un sistema unico, anche se ampiamente distribuito.