Il rapporto annuale esamina vulnerabilità e minacce e fornisce informazioni pratiche sulla sicurezza per proteggere la superficie di attacco
HP ha pubblicato il Cyber Risk Report 2013, che identifica le principali vulnerabilità delle imprese in termini di sicurezza e fornisce un’analisi delle minacce in continua evoluzione.
Il rapporto annuale, realizzato da HP Security Research, fornisce dati e analisi approfondite sulle questioni di sicurezza più urgenti che affliggono le imprese. Il rapporto di quest’anno contiene una descrizione dettagliata dei principali fattori che nel 2013 hanno contribuito a espandere la superficie di attacco – quali ad esempio una maggiore diffusione dei dispositivi mobili, la proliferazione di software poco sicuro e un aumento dell’uso di Java – e fornisce raccomandazioni alle imprese per minimizzare il rischio per la sicurezza e l’impatto generale degli attacchi.
“Oggi i pirati informatici sono più abili che mai e collaborano in maniera sempre più efficace per approfittare delle vulnerabilità presenti su una superficie di attacco in continua espansione,” ha affermato Jacob West, chief technology officer, Enterprise Security Products, HP. “Il mercato deve collaborare per favorire la condivisione proattiva e continuativa di informazioni e tattiche di intelligence, volta a ostacolare le attività malevole favorite da un mercato sempre più competitivo.”
Aspetti salienti e principali risultati del rapporto
• Sebbene gli studi sulle vulnerabilità continuino a catalizzare l’attenzione, il numero totale di vulnerabilità dichiarate è diminuito del 6% anno su anno, mentre il numero di vulnerabilità gravi è diminuito per il quarto anno di seguito, registrando un calo del 9%. Benché non quantificabile, il calo può indicare che un maggior numero di vulnerabilità non vengono apertamente dichiarate, bensì comunicate al mercato nero ai fini di uno sfruttamento privato e/o malevolo.
• Quasi l’80% delle applicazioni esaminate contenevano vulnerabilità radicate al di fuori del codice sorgente. Anche il software codificato da esperti può essere pericolosamente vulnerabile se configurato in maniera non corretta.
• Definizioni incoerenti e variabili di “malware” complicano l’analisi dei rischi. In un esame di oltre 500.000 applicazioni mobili per Android, HP ha rilevato discrepanze significative tra il modo in cui i produttori di motori antivirus e di piattaforme mobili classificano il malware.
• Il 46% delle applicazioni mobili studiate utilizzano il criptaggio in maniera scorretta. Dal rapporto di HP emerge come spesso gli sviluppatori di applicazioni mobili non utilizzino il criptaggio per salvare dati sensibili nei dispositivi mobili, ricorrano ad algoritmi deboli o utilizzino in maniera scorretta funzioni di criptaggio più potenti, rendendole inefficaci.
• Internet Explorer è risultato il software più studiato dai ricercatori della HP Zero Day Initiative (ZDI) nel 2013, e ha rappresentato più del 50%(4) delle vulnerabilità acquisite dal programma. Questo interesse deriva dal fatto che le forze di mercato attirino l’attenzione dei ricercatori sulle vulnerablità di Microsoft e non riflette la sicurezza generale di Internet Explorer.
• Le vulnerabilità risultanti dai mancati test erano le più frequenti e dannose per gli utenti di Java. Gli aggressori infatti aumentavano notevolmente lo sfruttamento di Java mirando contemporaneamente a più vulnerabilità note (e “zero day”) in attacchi combinati per compromettere determinati oggetti d’interesse.
Principali raccomandazioni
• Nel mondo di oggi, sempre più soggetto ad attacchi informatici e dove la domanda di software per la sicurezza è sempre più alta, risulta fondamentale eliminare la possibilità di rivelare involontariamente informazioni che potrebbero tornare a vantaggio dei pirati informatici.
• Imprese e sviluppatori devono conoscere le trappole per la sicurezza contenute nei framework e in altri codici di terzi, in particolare per le piattaforme mobili di sviluppo ibride. È necessario mettere in pratica rigide regole per la sicurezza per tutelare l’integrità delle applicazioni e la riservatezza degli utenti.
• Eliminare la superficie di attacco è impossibile senza sacrificare la funzionalità, ma una giusta combinazione tra persone, processi e tecnologia può consentire alle imprese di contenere al minimo le vulnerabilità legate alla stessa e ridurre notevolmente il rischio generale.
• La collaborazione e lo scambio d’informazioni sulle minacce nell’ambito dell’industria della sicurezza aiutano a conoscere meglio le tattiche degli avversari consentendo di adottare una difesa più attiva, di rafforzare le protezioni offerte dalle soluzioni per la sicurezza e di creare un ambiente generalmente più sicuro.
