Informazioni sulla minaccia del malware
I sistemi informatici che interagiscono direttamente con gli utenti sono considerati sistemi endpoint. I sistemi nei dispositivi, ad esempio portatili, smartphone e computer, devono essere protetti. La protezione di questi dispositivi impedisce loro di agire come gateway per gli attacchi alla sicurezza nei sistemi di rete di un'organizzazione. Nel mondo di oggi dominato da Bring Your Own Device (BYOD), è necessario anche proteggere i dispositivi personali che hanno accesso alle risorse aziendali.
La stampa è piena di notizie sulle perdite accidentali di informazioni personali nelle organizzazioni. Spesso, questi incidenti sono il risultato di procedure di sicurezza insufficienti o di attacchi intenzionali. I pirati informatici ottengono l'accesso ai sistemi spacciandosi per un utente reale oppure inserendo malware in un computer o un dispositivo che dispone di accesso autorizzato alla rete.
Che cos'è un malware?
Il malware è un software dannoso che può causare danni a un computer o a una rete. Spesso sfrutta le vulnerabilità nel software o di utenti ignari che lo installano inconsapevolmente.
Il malware esiste in varie forme:
- Virus
- Worm
- Trojan horse
Virus
Un virus del computer, come un virus reale, richiede un ospite in cui vivere. I virus sono frammenti di codice che si collegano a programmi e documenti esistenti oppure si nascondono in aree protette del disco rigido, ad esempio il settore di avvio. Poiché sono nascosti in aree protette, possono essere difficili da trovare e rimuovere. Quando viene avviato il programma infetto, il virus viene eseguito, spesso senza che l'utente lo noti. Può quindi eseguire azioni dannose sui dati dell'utente o su altri file. Se un computer infetto invia un file a un altro computer, può distribuire il virus con i dati. Questo è il comportamento che classifica un virus informatico: risiede all'interno di altri programmi e richiede l'interazione umana per la distribuzione.
Alcuni esempi di virus sono: ILOVEYOU, Shamoon e CIH (virus Chernobyl).
Worm
Un worm è un componente software autonomo che copia se stesso attraverso una rete di computer. Simile a un virus, un worm è progettato per duplicare se stesso. Ma anziché nascondersi nei file esistenti, un worm è un programma separato che può infettare altri computer senza coinvolgimento umano. Spesso un worm viaggia attraverso la rete di computer, in esecuzione in background su un computer infetto. Da qui, usa le vulnerabilità note nel software del computer per individuare e infettare altri dispositivi connessi.
Alcuni esempi di worm sono: Melissa, Code Red e Stuxnet.
Trojan horse
Tutti conoscono la storia del cavallo di Troia usato per invadere la città. Per questo malware è stato adottato lo stesso nome perché finge di essere qualcosa di diverso. I trojan horse sono considerati il tipo di malware più pericoloso a causa degli scopi per cui sono spesso progettati. Vengono distribuiti camuffati da utilità software utile che un utente vuole installare. Poiché l'utente autorizza l'installazione, questo malware spesso ottiene l'accesso ai file dell'utente, inclusi i dati sensibili o privati. Inoltre, in molti casi i trojan horse installano backdoor per consentire ai pirati informatici di accedere al computer o keystroke logger per acquisire le sequenze di tasti, ad esempio per le password o le carte di credito. Diversamente dagli altri tipi di malware, i trojan horse non sono progettati per replicarsi in modo esteso, ma sono destinati in modo specifico a controllare o distruggere i computer specifici che infettano.
Alcuni esempi di trojan horse sono: Gh0st RAT, Zeus e Shedun (Android).
Come viene installato il malware?
Esistono diversi modi in cui il malware può accedere inizialmente a un computer.
Installazione diretta. Attualmente la maggior parte del software viene distribuita su Internet. Gli utenti sono abituati a scaricare e installare il software da diverse origini. Il malware può essere installato a insaputa dell'utente oppure tramite un download autorizzato manomesso. Questo approccio si applica anche alle unità infette, ad esempio le chiavi USB, inserite in un computer.
Vulnerabilità di sicurezza. Un difetto o un bug nel software in esecuzione, come ad esempio un browser. Potrebbe anche trovarsi nel sistema operativo e consentire l'installazione di malware nel computer. In questo caso, il malware sfrutta la falla nella sicurezza per ottenere l'accesso come amministratore o per inserire file infetti nel computer.
Backdoor. Il malware può anche essere installato tramite un'apertura progettata lasciata nel software. Queste backdoor vengono spesso inserite per attività di test e debug. Se le backdoor vengono lasciate dove si trovano e rilasciate nell'ambiente di produzione, possono essere sfruttate per ottenere l'accesso al computer o alla rete.
Protezione dal malware
Esistono varie strategie principali che è possibile usare con Microsoft Defender for Cloud per proteggere i computer e la rete dal malware.
- Mantenere i server aggiornati con le correzioni e le versioni più recenti del sistema operativo. Defender per il cloud invia automaticamente un avviso in presenza di sistemi non aggiornati tra quelli monitorati.
- Installare un prodotto antimalware come Microsoft Antimalware per Servizi cloud e Macchine virtuali di Azure che consente di identificare e rimuovere virus, spyware e altro software dannoso.
- Usare i firewall per bloccare il traffico di rete. Defender for Cloud identifica il traffico aperto verso le macchine virtuali e i server e fornisce istruzioni per attivare le funzionalità del firewall predefinite di Azure.
- Integrare la soluzione antimalware con Defender for Cloud per monitorare lo stato della protezione antimalware.
Questo ultimo passaggio è fondamentale per un piano di monitoraggio completo. Defender for Cloud evidenzia i problemi come le minacce rilevate e la protezione insufficiente che rendono vulnerabili le macchine virtuali e i computer. Usando le informazioni sui problemi di Endpoint Protection, è possibile sviluppare un piano per risolvere eventuali problemi identificati.