Le minacce sfruttano l’ampliamento della superficie di attacco con nuove tecniche
Il Cisco Annual Security Report 2014, pubblicato oggi, rivela che le minacce progettate per sfruttare la fiducia degli utenti nei sistemi, applicazioni e social network hanno raggiunto livelli sorprendenti. Secondo il report, una carenza a livello mondiale di quasi un milione di professionisti qualificati della sicurezza sta influenzando la capacità delle organizzazioni di monitorare e proteggere le reti, mentre le vulnerabilità e le minacce globali hanno raggiunto i livelli più alti dal 2000.
I risultati dello studio delineano un quadro realistico della rapida evoluzione delle sfide alla sicurezza che aziende, dipartimenti IT e individui si trovano oggi ad affrontare. I principali metodi di attacco includono il furto di password e di credenziali con tecniche di social engineering, infiltrazioni nascoste in bella vista, e lo sfruttamento della fiducia riposta nelle transazioni economiche, nei servizi pubblici e nelle interazioni social.
Basandosi sui dati raccolti dal Cisco Security Intelligence Operations (SIO), i ricercatori Cisco hanno identificato i seguenti trend principali:
Aumento della sofisticazione e della proliferazione delle minacce in generale. Gli attacchi più semplici che causavano danni che potevano essere facilmente contenuti hanno ceduto il passo ad attività organizzate di crimine informatico che si presentano sofisticate, ben finanziate, e capaci di significativi danni economici e di reputazione per vittime del settore pubblico e privato.
Aumento della complessità delle minacce e delle soluzioni a causa della rapida crescita dell’adozione di dispositivi mobili intelligenti e del cloud computing che offrono una più che mai estesa superficie di attacco. Nuove classi di dispositivi e nuove architetture infrastrutturali danno a chi sferra gli attacchi la possibilità di sfruttare punti di debolezza imprevisti e asset non adeguatamente protetti.
I criminali informatici hanno imparato che sfruttando la potenza delle infrastrutture Internet si ottengono maggiori vantaggi che semplicemente accedendo a singoli computer o dispositivi. Questi attacchi infrastrutturali cercano di ottenere l’accesso a server di web hosting posizionati strategicamente, nameserver e data center – con l’obiettivo di far proliferare attacchi attraverso legioni di singoli dispositivi serviti da tali risorse. Prendendo di mira parti dell’infrastruttura di Internet, questi hacker minano la fiducia in tutto quanto vi è collegato o ne è abilitato.
I principali dati emersi dalla ricerca:
· Il numero di vulnerabilità e minacce ha raggiunto il livello più alto da quando si è iniziato a monitorarli nel maggio 2000. Da ottobre 2013 il numero complessivo di avvisi di sicurezza è cresciuto del 14% rispetto allo stesso periodo del 2012.
· Il report evidenzia la mancanza di oltre un milione di professionisti della sicurezza a livello globale. La raffinatezza della tecnologia e le tattiche utilizzate dai criminali informatici – e i loro tentativi incessanti di violare le reti e rubare dati – hanno superato la capacità dei professionisti IT e dei responsabili di sicurezza nell’affrontare queste minacce. La maggior parte delle organizzazioni non dispone delle persone o dei sistemi per monitorare costantemente grandi reti, rilevare infiltrazioni, e per applicare le necessarie protezioni, in modo tempestivo ed efficace.
· Il 100% di un campione di 30 reti aziendali di grandi aziende multinazionali ha generato traffico di visitatori a siti Web contenenti malware. Il 96% delle reti ha evidenziato traffico verso server con re-direct dannosi (hijacked servers). Allo stesso modo il 92% del traffico è stato trasmesso a pagine Web senza contenuto, che in genere ospitano attività potenzialmente dannose.
· Gli attacchi (DDoS) (Distributed Denial of Service)– tesi ad interrompere il traffico da e verso siti web mirati e potenzialmente in grado di paralizzare un Internet Service Provider (ISP) – sono aumentati in numero e pericolosità. Alcuni attacchi DDoS, poi, hanno avuto l’obiettivo di camuffare altre attività criminali, come frodi, attuate prima, durante o dopo la campagna DDoS stessa, lanciata al solo scopo di depistare.
· I Trojan multifunzione sono stati il malware distribuito via web rilevato più frequentmente, al 27% tra quelli identificati nel 2013. Gli script dannosi, come exploit e iframe, sono stati classificati al secondo posto con il 23%. I Trojan indirizzati al furto di dati, come password-stealer e backdoor hanno avuto una diffusione del 22%. Il costante calo di malware unici su host e indirizzi IP – diminuiti del 30% tra gennaio e settembre 2013 – suggerisce che i malware vengono concentrati in un minor numero di host e di indirizzi IP.
· Java continua ad essere il linguaggio di programmazione preso di mira più frequentemente dai criminali informatici. I dati provenienti da Sourcefire, ora parte di Cisco, indicano come gli exploit Java costituiscano la stragrande maggioranza (91%) degli indicatori di compromissione (IOC).
· Il 99% del malware mobile complessivo è stato indirizzato ai dispositivi Android. Con il 43,8%, Andr/Qdplugin -A è stato il malware mobile più diffuso, di solito attraverso copie riprogrammate di applicazioni legittime distribuite tramite marketplace non ufficiali.
· Settori verticali, come ad esempio l’industria farmaceutica e chimica e il manifatturiero elettronico, storicamente hanno avuto alti tassi di attacchi malware. Nel 2012 e nel 2013, ci fu una notevole crescita di malware indirizzato all’agricoltura e all’industria mineraria, precedentemente settori relativamente a basso rischio. Nel 2013 il malware è continuato ad aumentare nei settori energia, petrolio e gas.
John N. Stewart, senior vice president, chief security officer, Threat Response Intelligence and Development, di Cisco, dichiara: “Anche se l’Annual Security Report di Cisco tratteggia un quadro piuttosto cupo della situazione attuale della sicurezza informatica, apre alla speranza di ripristinare la fiducia nelle persone, istituzioni e tecnologie – e inizia dall’informazione, facendo sapere a chi ci deve proteggere come si sono ampliate le superfici di attacco. Affinché venga fornita protezione reale contro tutti questi possibili attacchi, chi si occupa di sicurezza deve capire chi sono coloro che compiono gli attacchi, le loro motivazioni e le loro metodologie – prima, durante e dopo un attacco”.
