Cybersecurity

La Top 5 delle minacce enterprise previste per il 2014

18 Giugno 2014

Quando si ripensa agli anni passati dal punto di vista della sicurezza informatica, si nota una chiara tendenza che non mostra alcun segno di rallentamento. La tendenza è che anno dopo anno si verificano contemporaneamente sempre più attacchi il cui grado di sofisticazione continua a evolvere.
Inoltre, un ecosistema Cybercrime-as-a-Service (CCaaS) ormai maturo permette praticamente a chiunque di entrare nel campo.
Combinando tutto questo con il crescente costo delle difese e con il fatto che molte soluzioni risultano efficaci solo parzialmente, appare chiaro come la promessa della sicurezza informatica stia pian piano svanendo.

Potremmo discutere a lungo dei vari fattori che stanno portando a perdere la battaglia, come la tendenza della società a privilegiare la comodità rispetto alla sicurezza o la mentalità "tanto non può succedere a me", ma magari questo potrà essere il tema di un altro post. Piuttosto, consideriamo gli eventi notevoli per la sicurezza avvenuti negli ultimi anni in modo da prevedere le cinque principali minacce che le aziende si troveranno molto probabilmente a dover affrontare nel corso del 2014.

Innanzitutto occorre notare che queste previsioni non sono presentate in alcun ordine particolare: si tratta semplicemente di cinque eventi di interesse aziendale di cui probabilmente capiterà di leggere nel corso del prossimo anno, ciascuno di essi corredato dalle ragioni che ne supportano la previsione.

Ransomware per aziende

Ai primi del 2013 era stato scoperto un nuovo genere di programma ransomware denominato Cryptolocker che presentava alcune novità assai significative e altamente preoccupanti. A differenza dei ransomware precedenti, che conservavano la chiave di decifrazione all'interno dell'eseguibile binario, Cryptolocker mantiene la chiave sul proprio network di server C&C (Comando & Controllo) utilizzandone una diversa per ogni nuova infezione. Questo accorgimento rende praticamente impossibile decifrare i file modificati dall'infezione.
L'altro grosso cambiamento riguarda il fatto che Cryptolocker non concede molto tempo per poter pagare il riscatto (di solito intorno ai 300 dollari) lasciando solo 72 ore prima che la chiave di decifrazione venga distrutta. Tattiche come queste hanno fatto di Cryptolocker il ransomware più avanzato e aggressivo mai scoperto sinora, per quanto il suo focus resti saldamente sugli utenti individuali come evidenziato dalla sua scelta di diffondersi mediante messaggi spam.
Sulla base delle innovazioni tattiche e del successo di Cryptolocker, tuttavia, sarà solo questione di tempo prima che siano le aziende a diventare l'obiettivo di forme di attacco di questo tipo. Se molte persone sono disposte a pagare oltre 300 dollari per ottenere nuovamente l'accesso ai propri file personali, possiamo solo immaginare quanto potrebbe essere chiesto a un'azienda perché possa ripristinare tutti i propri dati. Un milione di dollari potrebbe essere una cifra non così irrealistica.

Cloud violati

Anche se le infrastrutture cloud esistono da tempo, il 2013 ne ha visto diffondersi ampiamente l'adozione da parte di aziende intenzionate a risparmiare denaro e funzionare con maggiore efficienza. Mentre il cloud propone una serie di vantaggi, la sicurezza non è sempre tra questi e non tutti i cloud sono uguali agli altri. Nei casi in cui le aziende optano per infrastrutture cloud pubbliche, si affidano alle misure di sicurezza implementate dal provider del servizio. Il cloud estende la superficie di attacco, aumenta i possibili vettori e riduce il controllo che un'azienda può esercitare per prevenire un attacco. Ovviamente c'è sempre l'opzione di un cloud privato, ma per la maggior parte delle aziende è un'alternativa troppo costosa e/o sovradimensionata rispetto alle esigenze effettive.
Diffondendosi la pratica di utilizzare servizi cloud, questi diverranno un obiettivo ideale per gli attacchi dei cybercriminali. Si pensi che sarebbe sufficiente violare un solo provider di servizi cloud per ottenere probabilmente accesso a tutti i dati di decine – se non centinaia o persino migliaia – di aziende.

Tattiche avanzate di phishing mobile

Il phishing non è certo cosa nuova, tuttavia l'utilizzo di questo vettore di attacco continua a crescere a ritmi da record mentre le tattiche impiegate continuano a evolvere. Nel 2013 abbiamo assistito a nuovi attacchi che hanno coinvolto il contatto umano, per telefono o di persona. Si tratta di attacchi waterhole, che identificano e compromettono i siti Web che più probabilmente vengono visitati dai bersagli primari; e di attacchi mobili, che vanno dagli SMS di phishing fino alle pubblicità fasulle. Esiste poi la massa di spam per phishing, e all'estremo opposto l'attacco di spear-phishing ultrapreciso. Il problema è che il phishing è efficace perché presta particolare attenzione al lato umano e al desiderio delle persone di dare fiducia a coloro che conoscono. Quando questi attacchi sono diretti contro un'azienda, tutto quel che occorre fare è convincere un solo individuo – e una ricerca ha dimostrato che per ottenere questo risultato sono sufficienti solo circa 15 bersagli.
E per quanto riguarda l'ambiente mobile? Con una forza lavoro che continua a spostarsi verso dispositivi e piattaforme mobili, altrettanto lo faranno le tattiche usate dagli attaccanti. Il settore mobile è maturo per un attacco dato che la user experience è focalizzata intorno alla comodità anziché alla sicurezza. In combinazione con l'accesso one-touch e l'assenza di autenticazione, è facile capire perché si possano prevedere nuove tattiche di phishing avanzate dirette a compromettere i dispositivi mobili.

APT dedicate all'ambiente mobile

Il 2013 ha visto una massiccia migrazione verso gli smartphone e i sistemi operativi mobili oltre a una diffusissima adozione del modello BYOD (Bring Your Own Device) nelle aziende, tendenze di cui la comunità dei cybercriminali ha preso buona nota. Lo scorso anno il team di ricercatori Webroot ha scoperto oltre 1 milione di app Android pericolose, ovvero una crescita del 1000% rispetto all'anno precedente. Ma non è necessario che la violazione di un dispositivo mobile abbia inizio da una app. Abbiamo osservato alcuni hack per siti Web che modificano le loro pagine solamente per i dispositivi mobili, una tattica che permette di evadere il rilevamento ma anche una prova del fatto che l'ambiente mobile sta assumendo un'importanza primaria. Inoltre nei mercati underground sono comparsi numerosi nuovi servizi dedicati al settore mobile: SMS flooding, creazione di app pericolose, tool per la creazione di reti botnet mobili, e persino credenziali di sviluppatori legittimi che possono essere usate per pubblicare app illecite sui principali market come Google Play.
Dal momento che i dispositivi mobili contengono tante informazioni e ben poca sicurezza o capacità di autenticazione, è facile prevedere che diventeranno sempre più spesso l'obiettivo di nuovi attacchi.

Dispositivi mobili usati per qualche importante violazione

Anche l'ultima previsione riguarda l'ambiente mobile, e le ragioni sono ampiamente espresse nelle due previsioni precedenti. Esiste una chiara tendenza verso l'adozione dei dispositivi mobili personali sul posto di lavoro, ma essa non trova riscontri nella sensibilizzazione dei dipendenti, nelle policy o nella sicurezza. La realtà è che il modello BYOD può essere implementato correttamente solo proteggendo quattro aree chiave: le app, il Web, i dati e i dispositivi. Garantendo sicurezza a questi elementi, i dispositivi personali possono essere usati a scopo personale e collegarsi senza rischi anche alle reti aziendali.
Il problema tuttavia è che la maggior parte delle aziende adotta il modello BYOD senza pensare preventivamente a pianificarne l'uso, a formare i dipendenti o a definire policy adatte. Questa assenza di regole in combinazione con la mancanza di funzioni di sicurezza sui dispositivi mobili porterà prima o poi a qualche violazione eclatante.
Cosa può fare dunque un'azienda per fermare queste minacce? La formazione dei dipendenti allo scopo di sensibilizzarli su questo genere di attacchi e sulle relative conseguenze è un buon passo iniziale. Anche le soluzioni per la sicurezza si sono evolute con una maggiore consapevolezza delle minacce e, nel caso di Webroot, sfruttano la potenza di un ampio pubblico nel cloud per identificare rapidamente i nuovi rischi.

(Tratto dal Blog di Webroot
 

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.