QuickSand e URLSand di LibraEsva

Libra Esva ha due nuove funzioni: QuickSand e URLSand

Scopriamo come funzionano le due grandi novità in casa Libra Esva

Scritto il 13 aprile 2018 • LibraESVA, Sicurezza informatica

QuickSand e URLSand sono le due grandi novità che recentemente hanno interessato il mondo LibraESVA.

Sono due novità molto interessanti, peccato siano passate abbastanza in sordina. I clienti si fidano di Libra ESVA, è una soluzione che ha vinto moltissimi premi e di cui la qualità è assolutamente indiscussa. E proprio per questo i clienti danno per scontate molte cose, comprese le novità importanti che possono essere attivate per aumentare la sicurezza dei loro sistemi.
Insomma, in mezzo a tutti i premi vinti da LibraESVA queste due novità si notano poco, allora in Serverlab abbiamo deciso di pensarci noi a metterle un po’ in evidenza.

La cosa che ci ha colpito di QuickSand e URLSand è l’approccio abbastanza naif e meglio e differente dalla strategia che implementano gli antri vendor che operano nello stesso segmento di mercato.

Mail Gateway Libra EsvaDi fatto, queste due soluzioni si concentrano su due azioni che possono essere messe in atto dall’attaccante: gli allegati e link malevoli.

Per quanto riguarda gli allegati contenenti virus, malware o altri componenti per malevoli l’approccio che solitamente hanno i vendor è quello muscolare, della lotta contro il tempo. Scopro che è un attacco e cerco nel più breve tempo possibile di trovare una risposta per fermare l’attacco.

Questo approccio eroico, si rivela spesso purtroppo inefficace perché l’attaccante può facilmente giocare con il tempo e fare in modo che l’attacco sia in due fasi. La prima parte arriva senza problemi perché non costituisce una minaccia e resta inattiva fino a quando la seconda non la raggiunge per unirsi.
Infatti contro le APT (advanced persistent threat) questo approccio si dimostra troppo spesso totalmente inefficace.

Ma QuickSand quindi cosa fa?

Quindi cosa caratterizza l’approccio differente di LibraEsva con QuickSand? IN realtà è tutto più semplice di quello che si può credere. Non ci sono infatti fantomatici “scienziati” o “hacker buoni” dall’altra parte. Libra Esva è partita da una considerazione e cioè che gli allegati sono quasi sempre dei Word, degli Excel, degli eseguibili, degli eseguibili zippati, dei PDF…insomma gli allegati sono quasi sempre noti.
Esattamente come sono note le loro specifiche, pubbliche per volontà dei produttori dei software creano quelle estensioni di file.

In questa documentazione, i produttori di quelle estensioni hanno documentato dove e come devono essere le macro attive e come si devono comportare i componenti esterni di questi file.

E quindi perché non inserire una policy che blocca alla radice gli allegati che hanno determinate caratteristiche rendendole disponibili solo dopo una verifica.

Partendo dalle specifiche quindi, la parte attiva può essere identificata univocamente e può essere isolata a differenza delle parti sempre attive ma che servono a fare calcoli interni senza dover acquisire informazioni dall’esterno.

Quindi l’approccio non è muscolare sul tempo, ma preventivo. perché si impedisce al contenuto potenzialmente dannoso di raggiungere la vittima a meno che questa non voglia proprio aprire il file a tutti i costi.

Ma le minacce arrivano anche attraverso i link!

Proteggi la tua posta elettronicaInfatti è proprio per questo motivo che parliamo della seconda novità che riguarda la suite di LibraESVA: l’URLSand.

Nelle email capita spesso di ricevere URL che portano l’utente a visitare siti malevoli. In questo caso bastano poche frazioni di secondo di permanenza sulla pagina per dare la possibilità all’hacker di portare a termine il suo attacco.

Cosa ha deciso di fare quindi LibraEsva?

Nel momento in cui arriva una email con un link, l’url viene ricompilato e viene sostituito con un link prodotto da Libra Esva che permette di avere una preview sicura di quello che troveremo dall’altra parte.

Se il sito non ha contenuti attivi e non tenta di iniettare codice allora verrai reindirizzato rapidamente alla tua destinazione come se nulla fosse altrimenti si viene bloccati. A questo punto possono attivarsi diverse policy che seguono le preferenze dell’IT manager che può consentire o meno l’accesso al sito, in maniera più o meno informata.

Come si attivano le nuove funzioni

Le aziende che hanno scelto di proteggere la propria posta elettronica con Safetycloud Reliable email possono già contare su queste due features.

Chi ha LibraESVA presso la propria infrastruttura può attivarle con un semplice click:

LIBRAESVA-quick-sandbox

Se sei interessato a ricevere tutto il materiale aggiornato oppure se vuoi prenotare una demo della suite di protezione per il tuo mail gateway puoi compilare il form qui sotto.
Siamo i primi utenti dei prodotti che promuoviamo e Libra Esva è la soluzione che ormai da anni difende la nostra posta da attacchi Zero-day e APT.
Adottare Libra Esva sarà facile come schioccare le dita.

Sei interessato a quest'argomento?
Compila il modulo e ti ricontatteremo al più presto

Serverlab