La cyber security rappresenta un tema di grande attualità. Le aziende e le organizzazioni di tutto il mondo stanno affrontando una delle più grandi sfide di sempre, stanno cioè fronteggiando minacce sempre più sofisticate alla sicurezza ed all’integrità dei propri dati. Questa non è una battaglia che si combatte con armi convenzionali, non si tratta di adattare paradigmi produttivi a mutati scenari economici: l’esigenza di oggi è quella di rivedere complessivamente il nostro approccio all’informatica. Per comprendere meglio di cosa stiamo parlando, proviamo a chiarire alcuni concetti.
Advanced Persistent Threat (APT)
Chiamate anche Advanced Targeted Threat (ATT), sono minacce mirate avanzate e persistenti, rappresentate da uno o più insiemi di Tool informatici, Tecniche e Procedure (TTP), impiegate direttamente o indirettamente da uno stato-nazione o da sofisticate organizzazioni criminali per effettuare tipologie di spionaggio informatico a lungo termine o per sovvertire specifici network avversari. Tra le caratteristiche qualificanti di questo fenomeno possiamo includere l’interazione umana regolare (cioè non si tratta soltanto di attacchi automatizzati), e la capacità di estrarre molte informazioni sensibili nel tempo.
Esposizione al Cybercrime
Secondo l’ultimo report per il secondo semestre del 2015 pubblicato da FireEye, nell’area EMEA la Turchia è ad oggi la più esposta ad attacchi mirati. Le tensioni regionali persistenti ed i conflitti nei paesi vicini sono probabilmente alla base di queste minacce. L’alto livello di connettività Internet rende il paese più maturo per attacchi alla cyber security. L’Italia, pur registrando una minor esposizione ad attacchi rispetto alla media dell’area, rimane comunque più a rischio di paesi come Qatar e Arabia Saudita.
Sicurezza dei sistemi informatici nei diversi settori di attività
Governi, servizi finanziari e settore aerospaziale hanno visto un aumento del 70% nel numero di rilevazioni uniche tra la prima e la seconda metà del 2015. Ciò evidenzia chiaramente la rapida crescita degli attori di queste minacce, tra cui, come detto in precedenza, gruppi criminali e stati-nazione. Nella seconda metà del 2015 è stato osservato un aumento del numero di rilevamenti unici nel settore dei servizi finanziari, segno che i criminali informatici cominciano a vedere questo settore come maturo per le loro attività.
Attacchi informatici avanzati: come si diffondono
Gli Exploit Kit, ovvero toolkit malevoli che possono essere utilizzati per sfruttare vulnerabilità e falle di sicurezza, svolgono un ruolo fondamentale nella realizzazione di attacchi. Ci sono molte varianti di exploit kit, ma nella seconda metà del 2015 un kit ha dominato scena, l’Angler Exploit Kit, che ha diffuso ransomware e Trojan come Dridex. Ulteriori strumenti d’attacco sono le macro nelle applicazioni di MS Office, dieci volte più utilizzate per effettuare attacchi e generare backdoor.
Il ruolo dei Ransomware
Nella seconda metà del 2015, è stato registrato un forte aumento di attacchi alla sicurezza informatica tramite ransomware in EMEA. L’uso di ransomware è in rapida evoluzione. Lo sviluppo continuo di nuove famiglie con nuovi metodi anti-rilevazione e di crittografia mostra come molte vittime siano evidentemente disponibili a pagare il riscatto dei propri dati. Per aggiornarci circa le nuove minacce, proviamo a riepilogare le forme più comuni di ransomware:
Cryptolocker: il più prolifico di tutte le varianti ransomware per la crittografia dei file, Cryptolocker, è stato avvistato la prima volta nel 2013. Si è diffuso grazie al botnet “Gameover Zeus” e chiede un riscatto per decriptare i dati.
Cryptowall: si è manifestato pochi mesi dopo cryptolocker, nel 2013, e ha imitato il comportamento del suo predecessore. Gli sviluppatori hanno guadagnato oltre 1 milione di dollari in sei mesi nel 2014.
CTB-Locker: visto per la prima volta nel 2014, CTB-Locker è stato il primo ransomware che ha utilizzato la rete Tor.
TorLocker: inizialmente orientato nel 2014 ad attaccare gli utenti giapponesi, TorLocker era venduto sul defunto marketplace Evolution.
Kryptovor: questo malware ruba file dai computer compromessi, ma ha anche una componente ransomware. Kryptovor principalmente predilige le imprese in Russia.
Teslacrypt: malware nato nel febbraio 2015. I criminali informatici richiedono alle vittime di pagare tra 0,7 e 2,5 bitcoin, per cifre variabili tra 150 e 1000 dollari.
Malware per Point of Sale (POS)
Una minaccia da tenere in seria considerazione e che sta prendendo anch’essa piede è rappresentata dai malware che hanno come target i terminali POS e che consentono ai malintenzionati di ottenere tutti i dati disponibili sulle carte di credito o di debito. Quando una carta di credito o di debito viene strisciata in un terminale POS, i dati vengono rubati e possono essere rivenduti o duplicati in nuove carte utilizzate per acquisti o prelievi bancomat. Nel grafico sottostante è possibile osservare l’andamento della diffusione di questo malware per l’anno 2015.
Attacchi Distributed Denial of Service (DDoS)
Questa tipologia di attacco è ormai molto diffusa. Gli autori dell’attacco infettano preventivamente un numero elevato di computer con virus e worm, i quali lasciano aperte backdoor a loro riservate. I computer che vengono tenuti sotto controllo sono chiamati zombie ed insieme costituiscono una botnet. Una volta raggiunto il numero idoneo di macchine infette, queste si attivano contemporaneamente per sommergere di richieste di connessione il server bersaglio, mandandolo fuori uso.
Stando ad una indagine pubblicata da Arbor Networks, la quale ha intervistato 354 operatori di rete, service provider, hosting e aziende in tutto il mondo, ciò che emerge è la crescente percezione di incertezza per ciò che attiene cyber security e nuove minacce da parte dei partecipanti al sondaggio.
Le dimensioni degli attacchi DDoS (Distributed Denial of Service) continuano a crescere. Rispetto agli ultimi 11 anni di rilevazione, Arbor Networks ha riscontrato un aumento pari a 60 volte della dimensione media degli attacchi.
Anche il Cloud è sotto attacco. Nel 2013, solo il 19% degli intervistati aveva riferito di attacchi ai propri servizi in cloud. Tale percentuale è cresciuta al 29% nel 2014 e al 33% nel 2015. Infatti, il 51% degli operatori dei data center dichiara di aver subito attacchi DDoS che ne hanno saturato la connettività. C’è stato anche un forte aumento nei data center che rivelano di attacchi in uscita dai server all’interno delle loro reti, fino al 34% (+10 punti percentuali sul 2014).
Tra gli altri dati interessanti, il 17% delle aziende interessate da questi fenomeni ha scoperto che le minacce possono provenire dall’interno. Quasi il 40% delle imprese intervistate ancora non ha adottato gli strumenti necessari a monitorare i dispositivi BYOD (“Bring Your Own Device”, i dispositivi degli utenti) in rete. Gli incidenti dovuti a falle relative ai dispositivi BYOD sono raddoppiati, dal 6% rilevato dall’indagine sul 2014 al 13% nel 2015.
Alcune raccomandazioni
Geopolitica ed economia si specchiano nel mondo della sicurezza informatica. Le nuove minacce dimostrano di sapersi adattare con incredibile velocità. L’uso di infrastrutture condivise come le reti wireless e le profilazione degli utenti stanno cambiando le TTP a noi note fino ad ora. In questo contesto, eliminare completamente ogni elemento di rischio è ovviamente impossibile, tuttavia questo è quanto andrebbe fatto per non farsi trovare impreparati:
- Supporre sempre che l’azienda sia un obiettivo per i malintenzionati e che le attuali difese siano inadeguate
- Delineare, in accordo col management, un quadro del rischio informatico
- Acquisire sempre nuove informazioni sulle minacce più recenti per aggiornare correttamente i sistemi di rilevazione e protezione
- Dotare l’azienda di una tecnologia adeguata ad identificare e respingere queste nuove minacce
- Stabilire un piano di risposta rapido in caso di violazione
Il tema è di tuo interesse e vorresti saperne di più, per capire come gestire queste minacce?
Contattaci → marketing@netmind.com
