Il rapporto descrive phishing, spam e attacchi ai dispositivi mobili verificatisi nel 2010, mentre la sicurezza del cloud continua a evolversi
IBM ha pubblicato i risultati del suo rapporto annuale X-Force 2010 Trend and Risk Report, in cui si evidenzia come, nello scorso anno, le organizzazioni pubbliche e private di tutto il mondo abbiano affrontato minacce sempre più sofisticate e personalizzate.
Sulla base delle informazioni raccolte attraverso la ricerca di divulgazioni pubbliche e il monitoraggio e l’analisi giornalieri di più di 150.000 eventi di sicurezza al secondo, queste sono state le osservazioni chiave del team X-Force Research:
• Più di 8.000 nuove vulnerabilità, un aumento del 27 percento rispetto al 2009. Anche le comunicazioni pubbliche di exploit sono salite del 21 percento dal 2009 al 2010. Questi dati indicano un panorama delle minacce in espansione, nel quale attacchi sofisticati vengono lanciati verso ambienti di calcolo sempre più complessi.
• La crescita storicamente elevata del volume di spam si è stabilizzata con la fine dell’anno, a indicazione del fatto che gli spammer vedono meno valore nell’aumento del volume di spam, e si focalizzano invece sul bypass dei filtri.
• Anche se nel complesso il numero di attacchi di phishing è stato significativamente minore rispetto agli anni precedenti, lo “spear phishing”, una tecnica di attacco più mirata, ha acquistato maggiore importanza nel 2010. Ciò ad indicare che i cyber-criminali si sono concentrati maggiormente sulla qualità degli attacchi, piuttosto che sulla quantità.
• Man mano che aumenta l’adozione di smart phone e altri dispositivi mobili da parte degli utenti finali, i reparti di sicurezza IT hanno difficoltà a stabilire le giuste modalita’ di inserimento in sicurezza di questi dispositivi nelle reti aziendali. Sebbene gli attacchi contro l’ultima generazione di dispositivi mobili non siano risultati ancora predominanti nel 2010, i dati X-Force mostrano un aumento nelle divulgazioni delle vulnerabilità e degli exploit che prendono di mira tali dispositivi.
“Da Stuxnet alle botnet Zeus fino agli exploit mobili, si espande ogni giorno la varietà di metodologie di attacco”, ha spiegato Tom Cross, threat intelligence manager, IBM X-Force. “L’aumento degli attacchi mirati nel 2010 ha fatto luce su un gruppo totalmente nuovo di cyber-criminali altamente sofisticati, che potrebbero essere ben finanziati e operare con una conoscenza delle vulnerabilità della sicurezza che nessun altro ha. Restare un passo avanti a queste crescenti minacce e progettare software e servizi che siano sicuri sin dall’inizio non è mai stato così critico”.
Insieme al rapporto di quest’anno, IBM annuncia anche in Europa l’Institute for Advanced Security volto a combattere le crescenti minacce alla sicurezza presenti nel nostro continente. Secondo il rapporto, nel 2010, quasi un quarto – il 22 percento – di tutte le e-mail di phishing finanziario ha preso di mira le banche situate in Europa. Il rapporto ha inoltre identificato Regno Unito, Germania, Ucraina e Romania tra i primi 10 paesi “fonti” di spam nel 2010. L’Institute for Advanced Security in Europa rappresenta l’espansione di quello fondato a Washington, D.C., lo scorso anno e incentrato sui clienti statunitensi.
Una nuova sezione dell’X-Force Trend & Risk Report è dedicata ai trend della sicurezza e alle best practices per le tecnologie emergenti, quali i dispositivi mobili e il cloud computing.
Cloud computing: Il rapporto evidenzia un cambiamento di percezione rispetto alla sicurezza del cloud, man mano che l’adozione si evolve e la conoscenza di questo modello IT emergente aumenta. Poiché la sicurezza è tuttora considerata un ostacolo all’adozione del cloud, i fornitori di cloud devono conquistare la fiducia dei propri clienti offrendo un’infrastruttura che sia sicura ‘by design’ e abbia funzionalità di sicurezza appositamente create, in grado di soddisfare le esigenze delle applicazioni specifiche che le aziende intendono spostare sul cloud. Man mano che carichi di lavoro più sensibili si spostano sul cloud, le funzionalità di sicurezza nel cloud diventeranno più sofisticate al fine di ospitarli e gestirli nella maniera più adeguata. Per il prossimo futuro IBM prevede che il mercato spingerà il cloud verso la fornitura di servizi e competenza di sicurezza, che gli abbonati non possono permettersi di supportare internamente. Ciò potrebbe ribaltare completamente il paradigma, rendendo l’interesse per una migliore sicurezza uno stimolo all’adozione del cloud, anziché un ostacolo.
Dispositivi mobili – Le organizzazioni sono sempre più preoccupate delle implicazioni per la sicurezza creata dai dispositivi mobili personali, portati dai dipendenti in azienda. Le imprese devono assicurare il controllo dei propri dati ovunque essi si trovino, inclusi gli smart phone aziendali o di proprietà dei dipendenti. Nel 2010, X-Force ha documentato un aumento del volume di vulnerabilità divulgate nei dispositivi mobili, nonché della divulgazione di exploit che li prendono di mira. Il desiderio di fare il “jailbreak” o il “root” dei dispositivi mobili ha motivato la distribuzione di codice di exploit maturo, che è stato riutilizzato in attacchi maligni. Ciononostante, il malware non è ancora cosi’ comune sui dispositivi mobili di ultima generazione e la maggior parte dei professionisti IT ritiene che i dati che possono esservi memorizzati – e quindi la loro eventuale perdita o il loro uso improprio – costituiscano la principale minaccia per la sicurezza associata a questi dispositivi. Secondo il rapporto X-Force, le best practices per la sicurezza mobile si stanno evolvendo, con funzionalità potenziate di gestione delle password e di crittografia dei dati.
Altri trend evidenziati riguardano:
Il nuovo volto sofisticato del cyber-crimine – Dal punto di vista della sicurezza, il 2010 sarà ricordato principalmente come un anno contrassegnato da alcuni degli attacchi mirati di più alto profilo mai osservati nel settore. Ad esempio, il worm Stuxnet ha dimostrato che il rischio di attacchi contro sistemi di controllo industriali altamente specializzati non è solo teorico. Questo tipo di attacchi è indicativo dell’elevato livello di organizzazione e finanziamento che sta dietro lo spionaggio e il sabotaggio informatico, che continuano a minacciare una sempre più ampia varietà di reti pubbliche e private.
Un calo significativo del phishing – Una vittoria vittoria da segnare nel 2010 nel campo della sicurezza IT e’ rappresentata dal calo rilevato negli attacchi di phishing. Sebbene attacchi di phishing si siano comunque verificati, il volume di picco delle e-mail di phishing nel 2010 è stato meno di un quarto del volume di picco dei due anni precedenti. Ciò potrebbe indicare uno spostamento verso altre metodologie di attacco più redditizie, quali botnet e clonazione dei bancomat. Nonostante questo calo, lo spear phishing, una tecnica di attacco più mirata, è cresciuto di importanza nel 2010, dove e-mail meticolosamente congegnate, con allegati o link maligni, sono diventate uno dei segni distintivi degli attacchi sofisticati lanciati contro le reti aziendali.
I volumi di spam hanno raggiunto l’apice, per poi stabilizzarsi – Nel 2010 il volume di spam è aumentato vertiginosamente, toccando il massimo storico. Tuttavia, la crescita del volume si è stabilizzata prima della fine dell’anno. In effetti, verso la fine del 2010, sembrava che gli spammer fossero andati in vacanza, con un calo del 70 percento del volume di traffico registrato subito prima di Natale e con l’inizio del nuovo anno. Il mercato dello spam è ormai saturo? È possibile che vi sia una diminuzione dei ritorni associati all’aumento del volume totale dello spam, e stiamo iniziando a vedere che gli spammer si concentrano maggiormente sull’aggirare i filtri antispam.
Le vulnerabilità delle applicazioni web hanno rappresentato circa la metà del totale 2010 – Le vulnerabilità delle applicazioni web continuano a rappresentare la più grande categoria di divulgazioni della sicurezza, con il 49 percento delle vulnerabilità divulgate nel 2010 riguardanti le applicazioni web. La maggior parte è stata costituita da problemi di cross-site scripting e iniezione di codice SQL, come indicato dai dati mostrati da IBM X-Force. Secondo i risultati X-Force, ogni estate degli ultimi tre anni si è registrato un attacco con iniezione di codice SQL su scala globale tra i mesi di maggio e agosto. L’anatomia di questi attacchi è stata simile a livello generale, mirata alle pagine .asp che sono vulnerabili all’iniezione di codice SQL.
Un approccio “secure by design” può migliorare la sicurezza – IBM ha imparato che adottare misure proattive per valutare la sicurezza delle applicazioni web e migliorare i processi di sviluppo e di quality assurance può produrre un miglioramento significativo della sicurezza delle applicazioni web. Il Rapporto dimostra che le applicazioni web sottoposte a scansione per rilevare le vulnerabilità spesso hanno evidenziato miglioramenti significativi alla ripetizione dei test, manifestando meno di metà del numero di particolari classi di vulnerabilità, in media, alla seconda valutazione. Queste informazioni incoraggianti indicano la strada verso miglioramenti sostenuti della sicurezza di internet.
Circa metà delle vulnerabilità rimane senza patch – Per aiutare a impedire agli hacker di sfruttare le vulnerabilità, le organizzazioni devono concentrarsi sulla riduzione della finestra temporale tra la divulgazione della vulnerabilità e l’installazione della patch. Quasi metà delle vulnerabilità della sicurezza, il 44 percento, non aveva una patch fornita dal venditore alla fine del 2010. Tuttavia, anche nei casi in cui le patch sono rese disponibili lo stesso giorno della divulgazione pubblica di una vulnerabilità, potrebbe esserci un significativo divario di tempo prima che tali patch siano installate sui sistemi vulnerabili. Gli hacker spesso sviluppano privatamente exploit che prendono di mira vulnerabilità della sicurezza divulgate pubblicamente. Successivamente, quando questi exploit privati hanno cessato di essere preziosi come tool di attacco, essi vengono divulgati pubblicamente. I dati di X-Force dimostrano che gli exploit spesso vengono divulgati pubblicamente decine o centinaia di giorni dopo le vulnerabilità che prendono di mira. Se ci vuole molto tempo perché questi exploit emergano, potrebbe volerci molto tempo prima che le relative patch vengano applicate.
Crescita costante delle botnet internet – IBM ha riscontrato una tendenza all’aumento dell’attività delle Trojan botnet durante il 2010. Questa crescita è significativa perché, nonostante l’aumento degli sforzi coordinati per chiudere l’attività delle botnet, questa minaccia sembra acquistare slancio. Tuttavia, i dati di IBM illustrano il netto impatto del successo, nei primi mesi del 2010, nel chiudere la botnet Waledac, che ha provocato un calo istantaneo del traffico di comando e controllo (command and control) osservato. D’altro canto, la botnet Zeus continua a evolversi e ha costituito una parte significativa dell’attività delle botnet rilevata da IBM nel 2010. A causa delle sua estrema popolarità presso gli hacker, ci sono centinaia, se non migliaia, di botnet Zeus attive in ogni dato momento. Il malware delle botnet Zeus è comunemente utilizzato dagli hacker per sottrarre informazioni bancarie dai computer infettati.
