Che cos'è il malware? Il malware è un software dannoso progettato per invadere un sistema informatico e portare a termine azioni ostili, come rubare o criptare informazioni sensibili, assumere il controllo delle funzionalità di sistema o diffondersi su altri dispositivi, con lo scopo principale di generare profitti. Esistono molte tipologie di malware, tra cui ransomware, spyware, adware, cavalli di Troia e altri; questa varietà contribuisce a renderlo uno dei tipi di attacchi più diffusi. Il malware, spesso, viene consegnato tramite l'allegato di un'e-mail o una pubblicità fasulla su un browser web.

Perché la protezione dai malware è importante?

Con l'aumento dell'uso delle applicazioni e dei servizi cloud e l'esplosione del lavoro a distanza, il pericolo di subire un'infezione da malware è troppo grande per essere ignorato. Il cloud Zscaler blocca decine di milioni di minacce avanzate al giorno e Zscaler Global Threat Insights mostra che varie forme di malware sono tra le prime dieci tipologie di minacce più diffuse.

La protezione dalle minacce informatiche è un elemento essenziale per la sicurezza informatica, perché le organizzazioni di tutti i settori ospitano un numero sempre maggiore di dati online, e l'accesso remoto e l'uso di dispositivi mobili e PC sono ormai la norma. Oltre a proteggerti dagli ultimi attacchi di ingegneria sociale, garantisce che le tue difese siano costantemente aggiornate per contrastare gli aggressori adattandosi alle loro tecniche.

Perché i criminali informatici utilizzano i malware?

Gli aggressori utilizzano i malware perché, una volta individuata una vulnerabilità nelle difese di un sistema, sono facili da distribuire. Spesso, la vulnerabilità è rappresentata dall'elemento umano: molte persone che utilizzano Internet vengono ingannate facilmente, specialmente quando visualizzano contenuti che sembrano provenire da una fonte attendibile, come un'e-mail.

A seconda degli obiettivi specifici dell'attacco, il malware può:

• Ingannare gli utenti per indurli a fornire dati sensibili
• Installare spyware per monitorare l'attività su un endpoint
• Installare ransomware per bloccare i sistemi o i dati fino al pagamento di un riscatto
• Rubare informazioni sensibili da un sistema
• Ottenere l'accesso alle informazioni finanziarie, come i numeri delle carte di credito
• Installare adware per bombardare gli utenti con annunci pop-up
• Installare software dannoso per interrompere, rallentare o danneggiare i sistemi informatici

Per raggiungere questi obiettivi, esistono molte varietà diverse di malware. Diamo un'occhiata ad alcune delle tipologie più comuni.

Tipologie di malware

Le principali tipologie di infezioni da malware sono:

• Ransomware: un malware che cripta i dati e richiede un pagamento, solitamente in criptovalute, prima di fornire una chiave di decrittazione. Una sottocategoria, denominata attacco ransomware a doppia estorsione, oltre a criptare i dati li ruba, in modo da avere maggiore potere e chiedere un riscatto aggiuntivo, anche questo in criptovaluta.
• Botnet: consiste in un numero elevato di sistemi "bot", ossia computer infettati da remoto e controllati da utenti malintenzionati, che possono essere utilizzati per vari scopi, come la diffusione rapida di malware o l'esecuzione di attacchi DoS.
• Malware fileless: a differenza della maggior parte dei malware, i malware fileless, o senza file, non richiedono agli utenti di scaricare file. Al contrario, per portare a termine un attacco, utilizzano strumenti legittimi in modo dannoso, ad esempio incorporando del codice dannoso in un sistema operativo.
• Virus informatici: i virus hanno la capacità di replicarsi, e possono diffondersi rapidamente tra gli host di una rete e corrompere o eliminare i dati, influendo così sulla stabilità delle applicazioni o persino di interi sistemi.
• Cavallo di Troia: i criminali possono inserire del codice dannoso all'interno di software o file legittimi, ad esempio camuffandolo all'interno di un aggiornamento, nascondendolo in un documento o attraverso una truffa come il malvertising, per poi eseguirlo quando il file o il programma viene utilizzato.
• Rootkit: questi strumenti software dannosi possono consentire agli hacker di accedere a un dispositivo e prenderne il controllo. La maggior parte dei rootkit ha un impatto sul software e i sistemi operativi, ma alcuni possono anche infettare hardware e firmware.
• Spyware: gli aggressori possono utilizzare uno spyware per raccogliere in modo occulto informazioni sull'attività di un endpoint, come ad esempio i tasti premuti (attraverso l'uso di keylogger), i dati di login, le visite ai siti web e altro.
• Adware: sebbene non sia sempre dannoso, l'adware mostra agli utenti annunci pubblicitari per ottenere visualizzazioni e clic che generano delle entrate. Gli adware invasivi possono danneggiare l'esperienza utente e compromettere le prestazioni del sistema.

La maggior parte di queste tipologie di malware, se non tutte, è tanto avanzata da riuscire a eludere con estrema facilità i software antivirus tradizionali di molti dispositivi endpoint.

Come si capisce se è in corso un'infezione da malware?

I sistemi infettati da malware presentano alcuni sintomi comuni. Ecco alcuni esempi:

• Funzionamento lento o irregolare del sistema: gli attacchi malware tendono a utilizzare risorse di sistema extra e a creare conflitti nei processi; quindi, se un computer funziona o si avvia più lentamente del solito, oppure si blocca o si arresta frequentemente, potrebbe in corso un'infezione da malware.
• Annunci pop-up o avvisi di sicurezza indesiderati: molti sistemi informatici e browser bloccano automaticamente gli annunci pop-up. Se un sistema viene inondato da annunci, significa che un malware potrebbe aver manomesso i protocolli di blocco.
• Richieste di riscatto: se un sistema è stato infettato da un ransomware, alcuni o tutti i file potrebbero essere stati criptati, e l'accesso può essere ripristinato solo dopo il pagamento di un riscatto. In questo caso, potresti ricevere messaggi pop-up con le istruzioni su come effettuare il pagamento.

Qual è il modo migliore per proteggere la rete dai malware?

Oltre a utilizzare software anti-malware e di sicurezza affidabili, ecco alcune best practice da tenere in considerazione per proteggere i sistemi informatici:

• Applicare gli aggiornamenti secondo le indicazioni dell'IT: i provider di software distribuiscono regolarmente aggiornamenti per proteggere i sistemi dai codici dannosi, ma non sempre sono sicuri. Potrebbero introdurre nuove vulnerabilità, contenere problemi e così via, quindi è meglio installare gli aggiornamenti in base alle raccomandazioni dell'IT.
• Istruire il personale: avere una buona igiene informatica online è molto utile contro i malware. Assicurati che il tuo staff conosca le nozioni di base, ad esempio come individuare le e-mail di phishing, i pop-up dannosi e i software sospetti. In questo modo, i malintenzionati avranno meno possibilità di avere successo.
• Affidarsi a connessioni sicure e criptate: cripta il maggior numero possibile di informazioni, sia in transito che a riposo, e assicurati che gli utenti si connettano solo tramite tunnel sicuri.
• Sfruttare la sicurezza avanzata degli endpoint: se la forza lavoro richiede l'accesso remoto o utilizza dispositivi personali non controllati dall'IT, assicurati che tutti gli endpoint che si connettono al sistema siano protetti e monitorati.
• Utilizzare l'autenticazione a più fattori: configura l'autenticazione a più fattori per prevenire al meglio gli accessi non autorizzati e aggiungere ulteriori livelli di verifica quando gli utenti richiedono l'accesso a sistemi o dati sensibili.
• Implementare la sicurezza zero trust: con la sicurezza zero trust, chiunque, indipendentemente da chi sia, cosa stia accedendo o dove si connetta, viene trattato come una potenziale minaccia finché non viene dimostrato il contrario.

Protezione dai malware avanzati (AMP)

Il mercato della sicurezza è pieno di soluzioni anti-malware, e le organizzazioni di tutto il mondo spendono milioni ogni anno per questi prodotti, ma le violazioni continuano. Dalla mancanza di visibilità completa sul traffico alle architetture di ispezione pass-through che sono fondamentalmente inefficaci, la protezione tradizionale dai malware non funziona come dovrebbe nell'attuale panorama di minacce.

Inoltre, i malware avanzati sono in grado di penetrare attraverso difese più sofisticate, come quelle su Apple iOS, i dispositivi Android o Microsoft, per distribuire file eseguibili che facilitano le violazioni dei dati, gli attacchi DDoS (Distributed Denial of Service), il cryptojacking e altro. Per questo motivo, è fondamentale avere una soluzione AMP nel proprio stack di sicurezza.

In generale, gli approcci legacy si rivelano inefficaci quando si tratta di:

• Ispezionare tutto il traffico: le architetture pass-through, come i firewall di nuova generazione, eseguono solo l'ispezione a livello di pacchetto e non sono in grado di ispezionare i contenuti in modo completo.
• Adattare le prestazioni dinamicamente: gli apparecchi fisici e le loro controparti virtualizzate hanno una potenza di elaborazione limitata, che può lasciare l'azienda esposta, soprattutto perché il traffico criptato richiede una potenza di calcolo elevata.
• Bloccare le minacce informatiche sconosciute: le soluzioni legacy per l'isolamento delle minacce non funzionano inline, e le minacce non possono essere bloccate, ma semplicemente segnalate, e questo solo dopo che si è già verificata una compromissione, quando potrebbe essere già troppo tardi.
• Proteggere gli utenti esterni alla rete: quando gli utenti abbandonano la rete tradizionale e la VPN, i team IT e di sicurezza perdono la possibilità di applicare le policy e i controlli di sicurezza.

L'implementazione della soluzione più avanzata che offre una protezione olistica dalle minacce consente all'organizzazione di respingere più efficacemente i malware e mantenere la rete, gli endpoint e i dati al sicuro. Per far sì che questo accada, è necessario utilizzare soluzioni di sicurezza sviluppate sul cloud e per il cloud, che godano di una diffusione globale e siano in grado di condividere le nuove protezioni istantaneamente e ovunque. La risposta è Zscaler Advanced Threat Protection.

La protezione dai malware secondo Zscaler

Zscaler Advanced Threat Protection offre una protezione completa e sempre attiva dalle minacce 0-day e dai malware sconosciuti. Basato su un'architettura proxy nativa del cloud, il security cloud di Zscaler ispeziona ogni pacchetto di ogni utente, sulla rete o fuori dalla rete, in modo completo e con capacità illimitate, anche per il traffico TLS/SSL criptato.

Grazie alla suite integrata di servizi per la sicurezza, che include sandbox cloud, IPS cloud, machine learning e intelligence sulle minacce, ti consente di colmare le lacune nella sicurezza e di ridurre i rischi derivanti dai limiti delle altre soluzioni, ottenendo i seguenti vantaggi:

• Prevenzione completa inline: un'architettura proxy inline è l'unico modo affidabile per mettere in quarantena e bloccare i contenuti sospetti e gli attacchi.
• Sandbox inline ed ML: Zscaler Cloud Sandbox utilizza analisi avanzate basate sul machine learning per bloccare rapidamente le minacce in qualsiasi fase dell'attacco.
• Ispezione TLS/SSL sempre attiva: ispezione illimitata del traffico criptato, distribuita tramite una piattaforma globale che sfrutta oltre 150 data center e segue gli utenti ovunque si trovino.
• Il cloud Zscaler: sfruttando i dati sulle minacce provenienti dal security cloud più grande del mondo, Zscaler condivide le protezioni dalle minacce su tutto il cloud e in tempo reale.

Zscaler è orgogliosa di essere stata nominata Leader nel Magic Quadrant di Gartner del 2022 per il Security Service Edge (SSE). Gartner valuta i provider sulla base della loro capacità di esecuzione e ha classificato Zscaler come il provider con la capacità più elevata tra 11 aziende.