In un recente studio vengono analizzati i dati ricavati da oltre 600 milioni di sistemi in tutto il mondo e vengono offerte soluzioni per mitigare gli effetti degli attacchi sia mirati sia generali come il malware Conficker
Sono quasi 220 milioni le infezioni rilevate negli ultimi due anni e mezzo in tutto il mondo dal worm Conficker: è quanto emerge dal Security Intelligence Report volume 12 (SIRv12), presentato oggi da Microsoft Corp. Il Worm Conficker si è così trasformato in una delle principali minacce sempre presenti per le aziende.
Secondo il Microsoft Security Intelligence Report volume 12 (SIRv12), i rilevamenti trimestrali del worm Conficker sono aumentati di oltre il 225% dall’inizio del 2009. Solo nel quarto trimestre del 2011, è stata segnalata la presenza di Conficker su 1,7 milioni di sistemi in tutto il mondo. Lo studio ha analizzato i motivi alla base della diffusione di Conficker nelle organizzazioni e ha dimostrato che il 92% delle infezioni provocate da questo worm sono dovute a eccessiva semplicità o furto delle password, mentre nel restante 8% dei casi sono state sfruttate vulnerabilità per le quali è disponibile un aggiornamento della sicurezza.
“Conficker rappresenta uno dei principali problemi relativi alla sicurezza che dobbiamo affrontare, nonostante siano disponibili gli strumenti necessari per difenderci” – ha dichiarato Tim Rains, Director di Microsoft Trustworthy Computing. “È essenziale che le organizzazioni si concentrino sulle norme di sicurezza fondamentali per potersi proteggere dalle minacce più comuni”.
Il Microsoft Security Intelligence Report ha inoltre rivelato che molte delle minacce spesso definite APT (Advanced Persistent Threats) non sono in realtà più avanzate o sofisticate di altri tipi di attacchi. Nella maggior parte dei casi, questi attacchi sfruttano vettori noti, quali punti deboli o password rubate e vulnerabilità per le quali sono disponibili aggiornamenti della sicurezza, ma il successo che continuano a ottenere è dovuto principalmente all’insistenza e alle determinazione nell’utilizzo di varie tattiche per danneggiare l’obiettivo. Questi attacchi possono essere quindi definiti, secondo il SIRv12 come attacchi mirati effettuati da determinati avversari e non ATP.
“Spesso, definire avanzate le minacce informatiche può risultare fuorviante e distrarre l’attenzione delle organizzazioni dall’importanza della gestione dei problemi di sicurezza di base per impedire alle minacce più comuni di infiltrarsi nei sistemi”, afferma Rains. “La maggior parte degli attacchi non si basa su tecniche o tecnologie nuove e superavanzate come il termine APT potrebbe suggerire, ma si limita a sfruttare password troppo semplici o rubate e vulnerabilità per le quali è disponibile un aggiornamento della sicurezza e a utilizzare il social engineering”.
Per garantire a clienti e aziende la maggior protezione possibile, Microsoft ha stilato una lista di norme di sicurezza di base da applicare come l’uso di password complesse, il mantenimento di sistemi aggiornati grazie agli update disponibili per tutti i prodotti, il ricorso a software antivirus forniti da fonti attendibili e l’investimento nei prodotti più recenti, caratterizzati da una protezione software di maggiore qualità. I sistemi Windows 7 e Windows Server 2008 R2 registrano il più basso tasso di infezione rispetto a qualsiasi altro sistema operativo Windows precedente. Nella seconda metà del 2011, Windows 7 Service Pack 1 per i sistemi a 32 bit presentava una probabilità di infezione tre volte inferiore rispetto a Windows Vista Service Pack (SP) 2 e quattro volte inferiore rispetto a Windows XP SP3. Le probabilità di infezione di Windows Server 2008 R2 erano del 30% inferiori rispetto a Windows Server 2003 SP2.
Infine, Microsoft raccomanda di prendere in considerazione i servizi cloud come risorsa aziendale: il provider delle soluzioni di cloud computing gestisce infatti gran parte delle procedure e dei processi relativi alla protezione e necessari per mantenere i sistemi aggiornati, inclusa l’installazione degli aggiornamenti per la sicurezza. Le aziende e i clienti che devono gestire la protezione dei propri ambienti di elaborazione possono usufruire dei servizi cloud per ridurre le attività richieste in quest’area.
Come sottolineato da Scott Charney, Corporate Vice President di Microsoft Trustworthy Computing, nel discorso tenuto durante RSA 2012, Microsoft consiglia alle aziende un approccio più olistico alla gestione dei rischi, al fine di proteggersi da attacchi sia generali che mirati:
• Prevenzione: applicare le norme di sicurezza fondamentali e prestare la massima attenzione alla gestione della configurazione e all’applicazione tempestiva degli aggiornamenti della sicurezza.
• Rilevamento: effettuare un monitoraggio accurato ed eseguire analisi avanzate per identificare le minacce. Seguire gli eventi legati alla sicurezza e rivolgersi a fonti di security intelligence attendibili.
• Contenimento: se l’organizzazione colpita ha configurato il proprio ambiente sulla base degli attacchi mirati effettuati da determinati avversari, è possibile contenere le attività degli autori degli attacchi e quindi guadagnare tempo per individuare, rispondere e attenuare gli attacchi stessi. Per contenere un attacco, occorre progettare modelli di amministrazione dei domini in grado di ridurre l’accessibilità alle credenziali degli amministratori e applicare le tecnologie disponibili, ad esempio la crittografia di rete basata su IPsec, per limitare l’interconnettività non necessaria su rete.
• Ripristino: è importante elaborare un piano di ripristino efficiente, supportato da risorse adeguatamente preparate per rispondere alle richieste di assistenza, e disporre di un comitato di crisi che definisca le priorità di risposta e organizzi esercitazioni per verificare le capacità di ripristino dell’azienda in diversi scenari di attacco.
Microsoft elabora il Security Intelligence Report due volte l’anno per mantenere il settore informato sul mutevole scenario delle minacce e per fornire ai clienti suggerimenti attuabili, che consentano di offrire a tutti esperienze di elaborazione più sicure e affidabili. SIRv12, il report più recente, esamina i dati relativi alle minacce online sulla base delle nuove informazioni ricavate nel periodo luglio-dicembre 2011 e delle analisi dei dati rilevati da più di 100 Paesi/regioni di tutto il mondo. Ulteriori informazioni sul Microsoft Security Intelligence Report Volume 12 sono disponibili all’indirizzo http://www.microsoft.com/sir.
