Il recente Data Breach Investigations Report (DBIR) conferma l’avverarsi di gran parte delle previsioni
Lo scenario
Quali minacce hanno dominato lo scenario della sicurezza lo scorso anno? Un indizio: 45 milioni di dollari di bottino, un’organizzazione criminale con ramificazioni in almeno 27 paesi, dalla Gran Bretagna al Canada, dal Giappone alla Russia. Per la procura di New York “il colpo del secolo”. Ci riferiamo naturalmente all’assalto ai bancomat (sistemi ATM) che ha messo in allarme le polizie di mezzo mondo con indagini alle quali stanno collaborando anche le autorità del nostro Paese.
“Dal punto di vista tecnico non si è trattato di nulla di eccezionale. Il problema è che il numero di truffe come queste è destinato ad aumentare” afferma Marc Spitler, senior risk analyst, RISK intelligence, Verizon Enterprise Solutions. Come documenta il Data Breach Investigations Report (DBIR) di Verizon, player globale per la fornitura di servizi di comunicazione a banda larga, wireless e wireline e di soluzioni per la sicurezza su piattaforme per mobilità, cloud e networking strategico, già oggi questi attacchi sono predominanti. Dal report si apprende infatti che nel 2012 il 75% delle perdite di dati documentate hanno avuto origine da attacchi mossi per ragioni economiche, seguite a notevole distanza (il 19% dei casi analizzati) dalla sottrazione di dati pregiati (informazioni confidenziali e classificate; segreti commerciali, proprietà intellettuale, dati finanziari ecc.) condotta da attori affiliati a entità statuali che finanziano il cyberspionaggio.
Tecniche d’attacco
Secondo Verizon, l’hacking è la metodologia di attacco più utilizzata, responsabile di poco più della metà degli incidenti di sicurezza censiti nel rapporto. Seguono malware (40%), attacchi fisici (35%), social engineering (29%). Poiché è difficile fornire una definizione di hacking che sia condivisa da tutti, va sottolineato lo sforzo compiuto dagli estensori dello studio di attribuire a ogni specifica figura criminale (attivisti, criminali, spie) coinvolta in azioni che si possono ricondurre al termine, obiettivi e tattiche specifiche (rispettivamente utilizzo di metodologie conosciute e consolidate di attacco e rodate; attacchi complessi e calcolati; impiego di tool avanzati e mezzi ingenti a disposizione) individuandone anche a livello geografico incidenza e diffusione. Così ad esempio apprendiamo che nella stragrande maggioranza degli attacchi (75%) il cybercrime finanziario origina dagli USA e dall’Europa orientale (Russia, Bulgaria, Romania), mentre la Cina è il Paese dal quale si dipartono le campagne di spionaggio di stampo governativo più efficaci.
Punti deboli
I punti deboli dei sistemi IT si confermano i sistemi di autenticazione, policy di sicurezza inadeguate, indisponibilità di tecnologia all’altezza, mancanza di consapevolezza e di cultura della sicurezza da parte del personale. “Le difficoltà delle imprese a gestire l’ampiezza e l’intensità delle minacce è nota. Mancano risorse e competenze. Spesso poi le aziende non dispongono della tecnologia adatta per fronteggiare le minacce” constata Spitler. Il rapporto documenta infatti che quando l’unica difesa è rappresentata da sistemi di autenticazione basati solo sulla coppia user/password, nell’80% dei casi gli attacchi hanno successo senza che ci sia bisogno d’impiegare credenziali rubate, oppure sfruttare tecniche d’attacco conosciute come backdoor, trojans e keylogger.
Tempi di risposta
Dopo quanto tempo ci si rende conto che i propri sistemi sono stati bucati? Secondo il rapporto, nel 62% dei casi passano mesi prima che ciò avvenga e addirittura anni in almeno il 4% degli incidenti analizzati. A dare l’allarme nel 69% dei casi sono partner e collaboratori dell’organizzazione colpita. Ma in almeno un caso su cinque è ancora il proprio personale ad allertare l’help desk o direttamente i servizi informativi; spesso considerati l’anello debole della catena, in realtà non è raro che siano i primi a segnalare il comportamento anomalo di un programma. Nel 9% dei casi, infine, la presenza di una vulnerabilità o di una fuga di dati avviene grazie alla segnalazione di un utilizzatore esterno dei servizi dell’organizzazione. “In genere le vittime non scoprono il problema in modo autonomo. A comunicarlo sono spesso le forze dell’ordine oppure un vendor di sicurezza. Soprattutto nei casi di spionaggio, le indagini degli inquirenti determinano la scoperta della fuoriuscita di dati in organizzazioni collegate” rileva Spitler. Infine, contrariamente a quanto comunemente si crede, il rapporto evidenzia che solo il 14% degli attacchi vede coinvolti insider a fronte di una schiacciante preponderanza (92%) delle perdite di dati quali diretta conseguenza di un attacco esterno.
Giunto alla sua sesta edizione, il Report Verizone offre un’istantanea dello stato di salute della rete partendo da una base di dati imponente: più di 47.000 incidenti di sicurezza analizzati, 621 episodi di sottrazione di dati documentati grazie al contributo di 19 organizzazioni esterne (CERT, forze dell’ordine, istituti di ricerca e vendor di sicurezza).
Il rapporto è reperibile qui. Approfondimenti e analisi offerti dai più noti esperti di sicurezza sono disponibili sul Verizon Secuity Blog.
