Per lo specialista in email security il quadro delle minacce non ancora note è preoccupante e richiede soluzioni di protezione avanzate
Stando ai dati ottenuti dalla URLSandbox
nell'ultimo semestre, il panorama che risulta dall'analisi delle
minacce informatiche che raggiungono quotidianamente le caselle di posta
dei suoi milioni di utenti, Libraesva ha, infatti, sottolineato la
capacità evolutiva delle minacce, che presentandosi ogni giorno sotto
forme e modalità nuove, sfidano le capacità dei sistemi di riconoscerle
prontamente e di attivare le dovute salvaguardie.
Nello specifico: circa il 50% dei siti bloccati dalla sandbox di Libra
ESVA non è noto come malevolo a nessuna fonte pubblica e i siti
malevoli, che molto spesso sono siti legittimi compromessi usati per
diffondere malware o per campagne di phishing, sono localizzati
principalmente negli Stati Uniti e in Europa.
Protezione dai siti malevoli, preview su quelli sospetti
La URLSandbox impiega in media un secondo e mezzo per identificare un
sito malevolo e immediatamente comunica l'informazione al gateway ESVA “ Email Security Virtual Appliance “ che bloccherà le email malevole contenenti i link a quel sito.
Se questa protezione è immediata per i siti riconosciuti come malevoli, la Sandbox presenta una funzionalità a parte, di recente integrazione, riservata alla gestione di quei siti sospetti ma non al punto di impedirne l'accesso. In questo caso, l'utente viene avvertito del sospetto, ha accesso a una preview del sito e può scegliere se proseguire o meno.
Mentre questi primi dati mostrano come sia elevata la percentuale di rischio legato al non conoscere la componente di attacco nascosta nei siti, ve ne sono poi altri che illustrano in modo altrettanto allarmante come minacce ancora non conosciute possano presentarsi sia nel corpo delle email, sia tramite i file allegati a queste. In particolare, oggi la minaccia si annida in documenti Office e PDF.
Rodolfo Saccani, R&D Security Manager in Libraesva, commenta come: «Fatto 100 il numero di documenti allegati alle email che contengono macro o altro codice, circa il 30% dei file viene bloccato perchè ritenuto sospetto. Si tratta principalmente di nuove campagne di malware ancora non intercettate dai motori antivirus. Inoltre, circa il 25% dei file contiene codice ritenuto sicuro che viene, quindi, lasciato passare, mentre un ulteriore 45% dei file viene disarmato del tutto da ESVA: il codice viene rimosso dal file, il quale viene consegnato all'utente finale come documento inerte».