Secondo il “2009 Verizon Business Data Breach Investigations Report” (DBIR) pubblicato oggi, nel 2008 si è registrato un maggior numero di violazioni ai danni di archivi elettronici, rispetto ai quattro anni precedenti, a causa di attacchi mirati al settore dei servizi finanziari e di un forte coinvolgimento della criminalità organizzata.
Questo secondo studio annuale – basato sull’analisi effettuata da Verizon Business su 285 milioni di dati compromessi in 90 violazioni accertate – ha rivelato che nel 2008 le aziende sono state vittime di crimini elettronici molto più che negli anni precedenti. Il 93 percento dei dati compromessi lo scorso anno apparteneva al settore finanziario e un impressionante 90 percento delle violazioni di tali dati ha visto il coinvolgimento di gruppi identificati dalle forze dell’ordine come appartenenti al crimine organizzato.
Gli esperti di Verizon Business hanno trovato, così come era successo per il primo studio in cui erano stati vagliati 230 milioni di dati compromessi dal 2004 al 2007, che circa 9 violazioni su 10 potevano essere evitate rispettando misure base di sicurezza. Per evitare tali violazioni non sarebbero stati necessari complicati e costosi controlli preventivi. La relazione del 2009 conclude che errori e sviste nella sorveglianza minano gli sforzi in ambito sicurezza più che la mancanza di risorse al momento della violazione stessa.
Analogamente a quanto rilevato dal primo studio, anche in quest’ultimo si è visto che gli attacchi altamente sofisticati rappresentano solo il 17 percento del totale, ma sono tuttavia responsabili del 95 percento delle violazioni: ciò dimostra che hacker motivati sanno dove e a cosa mirare.
“Nel 2008 è aumentata drammaticamente la quantità di informazioni sensibili compromesse ed è giunto davvero il momento di prestare attenzione alla sicurezza aziendale” ha dichiarato il Dr. Peter Tippett, Vice President of Research and Intelligence di Verizon Business Security Solutions. “Questo studio dovrebbe servire da monito evidenziando che oggi soluzioni di sicurezza accurate e un approccio proattivo sono di primaria importanza nella gestione di un’azienda, soprattutto in una difficile situazione economica che potrebbe provocare un ulteriore aumento delle attività criminali.”
Principali risultati del rapporto 2009
I principali risultati di quest’anno confermano le conclusioni dello scorso anno e, allo stesso tempo, offrono nuovi spunti.
• La maggior parte delle violazioni di dati analizzate è causata da fonti esterne. Il 74 percento delle violazioni sono imputabili a fonti esterne, e il 32 percento ricollegabili a business partner. Solo il 20 percento sono state causate da personale interno, risultato che confuta un’opinione ampiamente diffusa.
• La maggior parte delle violazioni è imputabile a una combinazione di eventi anziché a una singola azione. Il 64 percento delle violazioni sono state attribuite a hacker che si sono serviti di un insieme di metodi. Nelle violazioni più efficaci l’aggressore ha sfruttato errori commessi dalla vittima per penetrare nella rete e installare malware nel sistema al fine di recuperare dati.
• Nel 69 percento dei casi la violazione è stata scoperta da terzi. La capacità di rilevare una violazione dei dati, una volta avvenuta, resta un grosso ostacolo per la maggior parte delle organizzazioni. Indipendentemente dal fatto che la mancanza stia nella tecnologia o nel processo, il risultato è lo stesso. Negli ultimi cinque anni, sono state davvero poche le vittime che hanno scoperto le violazioni subite.
• Quasi tutti i dati compromessi nel 2008 provenivano da risorse online. Nonostante la diffusa preoccupazione relativa ai desktop, alle periferiche mobili, ai sistemi portatili e soluzioni simili, il 99 percento dei dati violati sono stati compromessi a partire da server e applicazioni.
• Circa il 20 percento dei casi del 2008 implicava più di una violazione. Varie entità e posizioni distinte sono state compromesse singolarmente come parte di un unico caso di violazione, metà dei quali imputabili a incidenti spesso causati dagli stessi individui.
• Essere PCI-compliant è di importanza fondamentale. L’81 percento delle organizzazioni soggette al Payment Card Industry Data Security Standard (PCI-DSS) sono state trovate non-conformi prima della violazione.
2009: lo stato del Cybercrime
Con l’evolversi del mercato del crimine informatico, cambiano anche i bersagli, le tecniche e i tipi di aggressori. I soldi ora si fanno rubando le informazioni relative ai numeri di identificazione personale (PIN) associati ai conti di credito e di debito. Nel 2008, Verizon Business ha rilevato un’esplosione di attacchi mirati ai dati PIN.
Questi attacchi basati sul PIN colpiscono il consumatore in modo peggiore rispetto alla classica truffa per contraffazione della firma della carta di credito. Gli investigatori hanno rilevato che la frode da PIN porta a un prelievo di denaro contante direttamente dal conto del consumatore – sia che si tratti di un conto corrente, sia di un conto di deposito o di un’altra tipologia di conto – e per il consumatore è molto difficile provare che si tratta di una transazione fraudolenta.
Il maggior valore monetario offerto dai dati relativi ai PIN ha generato una fase di innovazione nelle metodologie di attacco. I criminali hanno escogitato nuovi metodi e sviluppato nuovi strumenti, come per esempio il memory-scraping malware, al fine di sottrarre questi dati di valore.
La distribuzione geografica dell’origine delle violazioni indica una forte attività nei Paesi dell’Europa Orientale, Asia Orientale e Nord America. Dallo studio del 2009 si evince infatti che l’82 percento degli attacchi esterni ha origine in queste regioni.
Agli agenti investigativi Tippett ha ricordato: “L’Europa dell’Est è un noto paradiso per le organizzazioni di criminali informatici, che si sono resi responsabili di gran parte delle violazioni nel 2008.”
“Abbiamo raccolto molte prove che evidenziano come le attività dolose originate in Europa Orientale siano opera del crimine organizzato”, ha detto. Ha inoltre aggiunto che “Gli sforzi fatti in collaborazione con le forze dell’ordine hanno portato all’arresto in almeno 15 casi nel 2008.”
Il maggior incremento si è registrato nel settore dei servizi finanziari
Come rilevato negli anni tra il 2004 e il 2007, le violazioni di dati studiate nel 2008 sono avvenute ai danni di una vasta gamma di organizzazioni. Sebbene il settore delle attività di vendita al dettaglio continui a essere il più colpito e renda conto di un terzo dei casi totali, l’aumento più evidente si è registrato nel settore dei servizi finanziari, in cui gli attacchi sono più che raddoppiati, arrivando al 30 percento. Va inoltre segnalato che 9 su 10 degli oltre 285 milioni di record compromessi appartengono al settore finanziario.
Questo aumento delle violazioni di dati nel settore finanziario riflette la recente tendenza dell’attività criminale informatica, concentrata soprattutto sull’acquisizione di dati PIN da rivendere al mercato nero. “Le aziende che offrono servizi finanziari – dice Tippett – sono state individuate e sono diventate vittima di attacchi molto determinati, sofisticati e purtroppo ben riusciti nel corso del 2008.”
Le aziende del settore alimentare, indicate come le seconde più colpite nel primo studio, nel 2008 sono scese al terzo posto con una percentuale passata dal 20 al 14 percento.
È inoltre cresciuto il numero di accertamenti effettuati dalla squadra investigativa di Verizon Business al di fuori degli Stati Uniti, arrivando a oltre un terzo dei casi totali del 2008. Oltre alle violazioni che richiedono un vasto lavoro di investigazione negli Stati Uniti, molti attacchi hanno colpito organizzazioni in Canada ed Europa, mentre il numero dei casi continua ad aumentare in Brasile, Indonesia, Filippine, Giappone e Australia. Considerando che i criminali continuano a prendere di mira bersagli facili a livello internazionale, è lecito trovare motivo di maggior preoccupazione nelle economie emergenti, sopratutto per quanto riguarda i dati dei consumatori.
Tippett ha aggiunto “Il nostro compito non si semplifica affatto: la quantità totale delle informazioni nel mondo cresce continuamente e permea qualunque cosa facciamo e in qualunque posto ci spostiamo. Mentre la maggior parte degli attacchi è piuttosto comune, i criminali si stanno adattando alle nostre attuali strategie di protezione e inventano nuovi sistemi per recuperare dati di valore.”
Consigli per le aziende
Lo studio del 2009 indica che azioni semplici, se eseguite con diligenza e costanza, possono dare ottimi risultati. Sulla base delle conclusioni relative a circa 600 violazioni su oltre mezzo miliardo di dati compromessi dal 2004 al 2008, il Verizon Business RISK team raccomanda di:
• Modificare le credenziali predefinite. La maggior parte dei criminali si introduce negli archivi aziendali sfruttando le credenziali predefinite. E’ pertanto importante cambiare nome utente e password regolarmente e assicurarsi che fornitori facciano altrettanto.
• Evitare la condivisione di credenziali. Oltre a cambiare le credenziali predefinite, le organizzazioni dovrebbero assicurarsi che le password siano univoche e non condivise con altri utenti, né utilizzate su diversi sistemi. Ciò risulta particolarmente problematico quando le risorse vengono gestite esternamente.
• Revisione degli user account. Anni di esperienza suggeriscono alle organizzazioni di rivedere gli user account regolarmente. Tale esame dovrebbe consistere in una procedura di conferma che gli account attivi sono validi, necessari, configurati correttamente e dotati di privilegi adeguati.
• Effettuare application testing e code review. Attacchi tramite SQL injection, cross-site scripting, bypass dell’autenticazione e sfruttamento di variabili di sessione determinano quasi la metà dei casi studiati di violazioni da parte di hacker. Il web application testing non è mai stato importante quanto ora.
• Applicare le patch in modo completo. Tutte le azioni di hacking e malware che hanno sfruttato la vulnerabilità per compromettere i dati erano vecchie di sei mesi o più; ciò significa che applicare patch tempestivamente non è la risposta, ma applicarle in modo completo e adeguato lo è.
• Assicurarsi che in caso di conclusione del rapporto di lavoro l’ufficio Risorse Umane utilizzi procedure efficaci per la chiusura degli account. Le credenziali di impiegati che hanno lasciato recentemente l’azienda sono state utilizzate in diversi casi di violazione interna della sicurezza nell’ultimo anno. Le aziende dovrebbero assicurarsi che siano attive procedure complete e formali di conclusione rapporto con gli impiegati in modo che vengano disattivati gli account utente e rimossi tutti i permessi d’accesso.
• Abilitare Application Log e monitoraggio. Gli attacchi si muovono sempre più verso l’application layer. Le aziende dovrebbero avere politiche standard di log-review che richiedano la revisione di tali dati non solo per log di rete, di sistema operativo e di firewall, ma che includano anche servizi di accesso remoto, applicazioni Web, database e altre applicazioni critiche.
• Dare una definizione di “sospetto” e “anomalo” (per poi cercare ciò che può esserlo). Gli attacchi sempre più mirati e sofisticati spesso avvengono ai danni di organizzazioni che archiviano grandi quantità di dati di valore per la comunità criminale. Le organizzazioni dovrebbero essere preparate a difendersi da queste eventualità e a rilevare attacchi molto determinati, ben organizzati e mirati.
“Questo studio – ha concluso Tippet – mostra chiaramente che non si tratta di misure di sicurezza sofisticate o complesse. Tutto si riassume nell’assicurasi che si rispettino le regole di base, dalla pianificazione all’implementazione e al controllo dei dati.”
Una copia completa del “2009 Data Breach Investigations Report” è disponibile al link http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf
