di Bruna Rossi ♦ Secondo i dati di una indagine Fortinet, che conferma l’aumento delle aggressioni informatiche, particolarmente sotto tiro sono l’ IoT e i sistemi di controllo industriale. Strategie e priorità per le imprese che si difendono: capire le proprie debolezze,valutare i rischi, praticare la cyber hygiene
5.973 rilevamenti di exploit unici (malware che per entrare sfruttano le falle nei sistemi informatici), con una media di 153 per impresa. Il 79% delle aziende che subisce attacchi gravi (è il caso ad esempio della violazione di dati subita dall’agenzia di controllo dei crediti americana Equifax che ha esposto le informazioni personali di circa 145 milioni di consumatori). 14.904 varianti uniche di malware appartenenti a 2.646 famiglie diverse, di cui un 25% da mobile e il 22% di ransomware. Non sono per niente rassicuranti i numeri contenuti nel “Threat Landscape Report” di Fortinet, un’analisi trimestrale che racchiude l’intelligence collettiva dei FortiGuard Labs ricavata dalla vasta gamma di sensori e dispositivi di rete Fortinet dislocati negli ambienti di produzione. I dati contenuti sono stati raccolti nel corso del quarto trimestre del 2017, e in generale rivelano un aumento in soli tre mesi dell’82% per quello che riguarda gli attacchi alle imprese, e in particolare di quelli “swarm”, mirati con intensità crescente all’Internet of Things (IoT) .
Fortinet (vedi scheda a fondo pagina) è attiva nell’ambito cyber security con la finalità di proteggere le principali aziende, i fornitori di servizi e le organizzazioni governative a livello mondiale. «La sofisticazione degli attacchi rivolti alle organizzazioni sta accelerando a un ritmo senza precedenti. La trasformazione digitale non solo sta rimodellando il business, ma i criminali informatici stanno sfruttando la crescente superficie di attacco creata per nuove e dirompenti opportunità di aggressione – dice Filippo Monticelli, country manager Italia della società. – Stanno implementando nuove funzionalità simili a “swarm” prendendo al contempo di mira più vulnerabilità, dispositivi e punti di accesso. La combinazione di uno sviluppo rapido delle minacce con l’aumento della propagazione di nuove varianti è sempre più difficile da combattere per molte organizzazioni.» Vediamo innanzitutto gli elementi salienti contenuti nel rapporto.
Un volume di attacchi senza precedenti
E’ stata riscontrata una media di 274 rilevamenti di exploit per impresa, che rappresenta un aumento significativo dell’82% rispetto al trimestre precedente. Anche il numero di famiglie di malware è aumentato (del 25%) e le varianti uniche sono aumentate del 19%. I dati indicano non solo la crescita del volume, ma anche un’evoluzione del malware. Inoltre, il traffico crittografato tramite HTTPS e SSL è cresciuto come percentuale del traffico di rete totale a un massimo di circa il 60% in media. Se la crittografia può certamente aiutare a proteggere i dati in movimento nel trasferimento tra ambienti core, cloud ed endpoint, rappresenta anche una vera sfida per le soluzioni di sicurezza tradizionali.
Intensità degli attacchi IoT
Tre dei principali venti attacchi identificati erano mirati a dispositivi IoT e le attività di exploit si sono quadruplicate su dispositivi come le telecamere WiFi. Nessuno di questi rilevamenti è stato associato a un CVE noto o denominato, che è uno degli aspetti problematici dei dispositivi IoT vulnerabili. Inoltre, a differenza dei precedenti attacchi, incentrati sullo sfruttamento di una singola vulnerabilità, i nuovi botnet IoT come Reaper e Hajime possono prendere di mira più vulnerabilità contemporaneamente. Questo approccio multi-vettore è molto più difficile da combattere.
Il ransomware prevale ancora
Diversi ceppi di ransomware hanno scalato la classifica delle varianti di malware. Locky era la variante di malware più diffusa, seguita al secondo posto da GlobeImposter. Un nuovo ceppo di Locky è emerso, ingannando i destinatari con lo spam prima di richiedere un riscatto. Inoltre, sulla darknet c’è stato un passaggio dall’accettare solo Bitcoin per il pagamento ad altre forme di moneta digitale come Monero.
Sottrazione di criptovaluta in aumento
Il malware Cryptomining è aumentato, il che sembra essere correlato al cambiamento del prezzo dei Bitcoin. I criminali informatici riconoscono la crescita delle valute digitali e utilizzano una tecnica di criptojacking per estrarre le criptovalute sui computer utilizzando le risorse della CPU in background a insaputa dell’utente. Il cryptojacking implica il caricamento di uno script in un browser web, senza necessità di installare o memorizzare nulla sul computer.
Malware industriale sofisticato
Un aumento dell’attività di exploit nei confronti di sistemi di controllo industriale (ICS) e di sistemi strumentali di sicurezza (SIS) suggerisce che questi attacchi rimasti nell’ombra potrebbero crescere salendo nel radar dei criminali informatici. Ad esempio, l’attacco con nome in codice Triton è di natura sofisticata e ha la capacità di coprire le sue tracce sovrascrivendo il malware stesso con dati spuri per ostacolare l’analisi forense. Poiché queste piattaforme influenzano le infrastrutture critiche vitali, sono allettanti per chi perpetra tali minacce. Questi attacchi ben riusciti possono causare danni significativi con un impatto di vasta portata.
Varietà degli attacchi
La steganografia è un attacco che incorpora il codice dannoso nelle immagini. È un vettore di attacco che non ha avuto molta visibilità negli ultimi anni, ma sembra essere in ripresa. L’exploit kit di Sundown utilizza la steganografia per sottrarre informazioni, ed essendo in giro da tempo, è stato segnalato da più organizzazioni di qualsiasi altro exploit kit. Sono state scoperte sue molteplici varianti di ransomware.
Due tendenze da tenere d’occhio
Come conferma quindi questo ennesimo report, che delinea una situazione allarmante già portata alla luce recentemente in diverse occasioni (Industria Italiana se ne è occupata qui ultimamente, riferendo gli ultimi numeri del Clusit), attualmente la gestione delle reti sottopone all’attenzione dei dirigenti due grandi tendenze in tema di sicurezza. La prima è che i team IT devono quotidianamente stare al passo con le esigenze nate dalla trasformazione digitale, come il passaggio ad infrastrutture e servizi multi-cloud, la rapida adozione di reti e dispositivi IoT, l’utilizzo di device personali all’interno delle reti aziendali (BYOD) e l’alto turnover della forza lavoro, oltre al numero crescente di servizi IT ombra che spuntano nelle reti.
Per Filippo Monticelli «La seconda tendenza è la crescita allarmante di attacchi sempre più automatizzati rivolti costantemente e con successo alle vulnerabilità già note di dispositivi, applicazioni e reti. La trasformazione digitale senza precedenti che sta interessando tutte le risorse IT sta rendendo la cyber hygiene di reti e dispositivi uno degli elementi più trascurati in ottica sicurezza. Non a caso gli attacchi peggiori del 2017, da Petya a Equifax, sono stati tutti mirati a vulnerabilità per cui le patch erano disponibili da settimane o addirittura da mesi. Una buona cyber hygiene resta sempre la best practice fondamentale per garantire il mantenimento della sicurezza nella rete di un’organizzazione. » Sempre il country manager Italia di Fortinet ci spiega come si può uscire da una fondamentale difficoltà iniziale: come fare a stabilire delle priorità d’azione ?
Dare priorità alle vulnerabilità
«Un primo metodo per creare un ordine di priorità consiste nel comprendere quali siano le vulnerabilità che con maggiore probabilità saranno prese di mira – dice Monticelli. – Conoscere il tipo di vulnerabilità su cui gli aggressori indagano in prevalenza può contribuire a determinare quali asset richiederanno per primi un patching. I team IT efficienti si avvalgono di report di cybersicurezza e quindi si pongono domande specifiche e importanti, del tipo: “Avevamo visto questi allarmi?” e “Le nostre scansioni hanno rilevato queste vulnerabilità?”. Prima regola quindi è: rendere la gestione di tali vulnerabilità una priorità sui controlli utilizzati per proteggere gli asset informatici.» È inoltre utile comprendere che gli attacchi riusciti hanno una maggiore probabilità di reiterazione. Ciò significa che quando si verifica una violazione, bisogna esaminare i vettori di attacco e controllare se esista la stessa possibilità di esposizione nella propria rete. In tal caso, diventa essenziale ridurre tale esposizione o eliminarla del tutto.
Eseguire una valutazione dei rischi
Arriviamo al passo successivo. Per superare efficacemente le vulnerabilità è fondamentale scoprire in anticipo dove è necessario rinforzare le difese, eseguendo una valutazione dei rischi. Secondo ISACA (Information Systems Audit and Control Association), lo scopo è comprendere il sistema e l’ambiente esistente, quindi identificare i rischi tramite l’analisi delle informazioni e dei dati raccolti. Per Monticelli quindi «Diventa quindi prioritario iniziare a raccogliere le informazioni rilevanti, cominciando da un inventario completo di beni fisici, comprese infrastrutture di rete, laptop/desktop, IoT, sistemi di gestione dati e altri dispositivi connessi, senza escludere le soluzioni di sicurezza, come firewall, sistemi antintrusione e strumenti di monitoraggio reti. Una volta catalogate tutte le applicazioni e i servizi in esecuzione sulla vostra rete, è importante comprendere quali informazioni relative a componenti di rete, applicazioni e servizi siano disponibili pubblicamente. La maggior parte di queste informazioni si può raccogliere automaticamente con diversi strumenti come una soluzione SIEM. Infine, bisogna procedere a un controllo incrociato di queste informazioni con i requisiti di conformità che definiscono i controlli di sicurezza minimi, nonché qualsiasi politica, procedura o linea guida documentata o anche informale.»
Una volta raccolte queste informazioni, si devono svolgere numerosi task, che il country manager Italia di Fortinet schematizza elencandoli in quest’ordine:
Individuare obiettivi aziendali a breve e lungo termine che influiscono su IT e sicurezza
Rivedere politiche standard, linee guida, protocolli e procedure di sicurezza esistenti
Analizzare gli asset aziendali per stabilire le potenziali minacce e vulnerabilità
Valutare protezioni fisiche per componenti di computing e reti
Analizzare dispositivi di sicurezza, sistemi di accesso remoto e dispositivi AAA e confrontarli con requisiti di rete e aziendali
Valutare l’attuale livello di consapevolezza della sicurezza e di impegno dei dipendenti
Rivedere gli accordi di sicurezza con venditori, appaltatori e fornitori di servizi e cloud
Solo dopo aver compiuto questi primi passi, si può iniziare a sviluppare e aggiornare le strategie e tecnologie di sicurezza e gestione dei rischi esistenti.
Contrastare la nuova normalità
Le organizzazioni, in particolare quelle sottoposte a trasformazione digitale, hanno un’incredibile urgenza di porre nuovamente come fondamentale la cyber hygiene della sicurezza e identificare i rischi emergenti. Tuttavia, poiché volume, velocità e automazione degli attacchi continuano ad aumentare, diventa sempre più importante anche allineare il programma di priorità delle patch a quanto accade nel mondo, in modo da concentrare le risorse sui rischi emergenti e di maggiore criticità. «Una valutazione dei rischi dell’ambiente – conclude Monticelli – contribuirà a contrastare quello che rappresenta oggi la nuova normalità, una digitalizzazione diffusa e pervasiva che rende l’azienda costantemente esposta a molteplici tipologie di attacco. Iniziare utilizzando le best practice indicate aiuta a creare una strategia di sicurezza flessibile che è in grado di adattarsi e proteggere la nostra impresa nonostante il panorama attuale delle minacce sia in continua evoluzione.»
[boxinizio]
Fortinet
Fortinet, che si classifica al primo posto tra i sistemi di sicurezza forniti a livello mondiale con oltre 330.000 clienti, è attiva nell’ambito cyber security con la finalità di proteggere le principali aziende, fornitori di servizi e organizzazioni governative a livello mondiale, offrendo tutela continua e intelligente sulla portata degli attacchi informatici e capacità di far fronte ai requisiti prestazionali in costante crescita delle reti borderless, oggi e in futuro. Con l’architettura Fortinet Security Fabric può fornire funzionalità di rete per affrontare le sfide di sicurezza più critiche in ambienti di rete, applicazione, cloud o mobile.
[boxfine]
