Rilasciato dai Security Lab del gruppo americano il nuovo rapporto sullo stato della sicurezza 2015
Shellshock, Heartbleed e Poodle, solo per fare qualche nome. Tutti termini diventati popolari anche al di fuori del ristretto ambito degli esperti di sicurezza informatica. Minacce che abbiamo imparato a conoscere nei mesi scorsi. Un mix micidiale di tecniche nuove e altre più rodate. “Malware in evoluzione sequenziale e proattiva” lo definisce Emiliano Massa, Sr. Director Regional Sales South EMEA Websense. “Capace di mettere in ginocchio colossi bancari e assicurativi, giganti dell’entertainment e della grande distribuzione. In grado di far leva su standard obsoleti ancora molto diffusi come Bash, OpenSSL, SSLv3”. Tecnologie deboli che minano quella stessa infrastruttura che contribuiscono a sostenere. Lasciandoci pericolosamente esposti a minacce anche gravi. Una situazione fluida. Fotografata e contestualizzata però dal Threat Report 2015, rilasciato dai Security Lab Websense. “Un’analisi ancora più accurata e approfondita grazie ad una base di dati ancora più estesa. 900 milioni di endpoint worldwide. Fonti che raccolgono una mole sterminata di info. Pronta per essere incrociata da più di 100 ricercatori in campo – suddivisi tra UK, USA e Asia – con le analitiche interne e le info provenienti da terze parti” afferma Massa. Un report che consente di ottenere immediatamente un quadro esaustivo della situazione. Una finestra di visibilità su quelle che sono le tendenze di sicurezza da tenere d’occhio.
Otto quelle individuate da Websense, suddivise in due macrocategorie; la prima connessa alle minacce generate dal comportamento delle persone. E l’altra più tradizionale in cui sono illustrate le tendenze più recenti relative all’impiego di tecniche d’attacco e della tecnologia utilizzata. “Ci troviamo in una fase in cui solo le minacce che continueranno ad evolversi saranno quelle destinate a durare” osserva Massa. Malcode che non segue il tradizionale schema d’attacco (kill chain) formalizzato da Websense lungo sette step principali. “Cambiamenti repentini nel comportamento che possono mettere fuori uso le difese esistenti. Prendiamo lo spam. Se una certa attività avviene in una fase non prevista, disorienta lo staff di sicurezza” spiega Massa. Una sorta di darwinismo digitale. Che prolifera su un ecosistema di software obsoleti e tecnologie superate, le cui vulnerabilità sono documentate e conosciute. Un meccanismo rodato ed efficace. “Le versioni più obsolete di taluni software come Java non vengono patchate tempestivamente. Spesso neppure per negligenza. Ma solo perché l’unica compatibile con l’applicativo legacy è proprio quella superata. Anche per questo, periodicamente assistiamo al ritorno di vecchie tecnologie d’attacco come i macrovirus” conferma Massa. Minacce che seppur datate continuano comunque a provocare danni. E per le quali mancano ancora competenze all’altezza della sfida. “Servono più di 10 anni di esperienza nel settore per fare fronte alla pericolosità delle minacce” osserva Massa.
Dove l’elemento umano è importante almeno quanto quello tecnologico. “La sicurezza del dato è soprattutto un problema comportamentale. Il problema sta tra la sedia e la tastiera” scherza ma solo fino a un certo punto Luca Mairani, Sr. Sales Engineer Websense. Per il quale chiudere il gap di sicurezza significa mettere in condizione l’azienda di vedere tutte le situazioni in cui il dato non è protetto. “Si tratta di ragionare su quel che è possibile coprire. E analizzare il rischio sostenibile”. In questo senso, Triton APX rappresenta l’elemento chiave per innalzare il livello di sicurezza complessivo. “Fino ad oggi la risposta da parte delle aziende è stata piuttosto limitata” ammette Massa. Soprattutto perché prima di arrivare al deployment della soluzione sono necessarie una serie di attività e in primo luogo la Data Classification, vale a dire l’attribuzione di un certo valore ai singoli file. L’approccio proposto da Websense è un altro. E lavora a livello comportamentale. “La nostra soluzione effettua una serie di controlli che vanno a snidare ogni comportamento anomalo: utilizzo di cifratura non convenzionale, flussi di dati in uscita al di fuori della normale attività lavorativa, comportamenti sospetti. Ma anche l’individuazione di figure deboli nell’architettura organizzativa. Elementi questi che possono essere monitorati e indagati” afferma Mairani.
