Business

Rapporto Clusit sulla sicurezza, qualche riflessione

06 Maggio 2019

Nelle scorse settimane è uscito il rapporto Clusit 2019 sulla sicurezza ICT in Italia ed è stato “presentato” nel corso del Security Summit di Milano.
 
Il rapporto Clusit è il frutto del lavoro di un pool di esperti che analizzano e confrontano gli attacchi di carattere "informatico" avvenuti negli ultimi sedici semestri e a partire da questi dati provano a fornire interpretazioni e ragionamenti sulle minacce presenti oggi per cercare di delineare delle tendenze in atto e, auspicabilmente, provare a intuire delle contromisure efficaci.
 
Il rapporto può essere richiesto gratuitamente all’indirizzo https://clusit.it/rapporto-clusit/

Consiglio a tutti di leggere il rapporto, tuttavia per chi non ha tempo e voglia può trovare qui sotto o in questo epsiodio del podcast alcuni spunti di riflessione. 

Quello che segue non vuole essere un “riassunto” ma un commento personale e uno stimolo alla riflessione.
 
A livello globale il 2018 si può sicuramente classificare come un annus horribilis per il numero di attacchi rilevati, ma quello che secondo me è impressionante non è tanto il numero di attacchi ma la velocità con cui essi crescono.

Mentre nell'arco del biennio 2017-2018 (con un’accelerazione sensibile nell’ultimo anno) il numero di attacchi gravi (e di pubblico dominio) è cresciuto del +37,7%, la crescita registrata nel biennio 2015-2016 era stata “solo” del +3,8%, ovvero nell’ultimo biennio il tasso di crescita del numero di attacchi gravi è aumentato di 10 volte rispetto al precedente.
In sintesi, le attività criminali legate alla rete crescono alla velocità di 10X.
 
Dal punto di vista della tipologia e distribuzione degli attacchi emerge chiaramente che al primo posto assoluto c'è il cybercrime, anche se le attività di spionaggio hanno registrato, proprio nel 2018, il loro massimo storico

Grafico clusit 1
 

Chi viene attaccato?

Se qualcuno pensa che la sua attività e la sua azienda possono essere immuni, si sbaglia di grosso.

Infatti il report indica chiaramente che il bersaglio più comune non è un particolare settore merceologico o una particolare categoria di aziende: all'interno del report viene indicato come bersaglio preferito un'entità chiamata “multiple targets”.

Ossia una realtà indistinta di settori merceologici che fa pensare che gli attacchi siano in massima parte rivolti indistintamente a tutte le attività.

Un quinto di tutte le attività di attacco è rivolto a “chiunque”, ossia si spara nel mucchio.
 
Grafico clusit 2
 

Le tecniche di attacco

L’anno peggiore di sempre per la sicurezza, si diceva, ma quali sono le tipologie di attacco che vanno per la maggiore?
Grafico Clusit 3
È stato ancora il malware “semplice”, prodotto industrialmente e a costi sempre decrescenti il principale vettore di attacco nel 2018, in crescita del 31% rispetto al 2017.

Un'altra tendenza da tenere presente è che, se è vero che l’offerta tecnologia per la sicurezza sta facendo passi da gigante, è anche vero che i “cattivi” non stanno a guardare: l'incremento dell’utilizzo di tecniche di attacco sconosciute (+47% rispetto allo scorso anno) dimostra che i cybercriminali sono pronti ad aggirare le barriere di difesa che noi continuiamo a mettere in piedi.

Scendendo nel dettaglio della categoria Malware il report del Clusit riporta uno spaccato interessante.

Grafico Clusit 4

Se gli attacchi Ransomware si sono pressoché stabilizzati, all’interno di questa categoria i Cryptominers, inesistenti in passato, nel corso del 2018 sono arrivati a rappresentare il 14% del totale.

Altro numero interessante (e allarmante) è che l’utilizzo del malware per le piattaforme mobile negli ultimi dodici mesi ha rappresentato quasi il 12% del totale.
Da segnalare la crescita del 57% rispetto all’anno precedente degli attacchi sferrati con tecniche di phishing e social engineering su larga scala, ancora a testimonianza della logica sempre più “industriale” degli attaccanti.
 
 

Focus sull’Italia

Dopo il picco raggiunto nel 2017, gli attacchi di tipo “ransomware” iniziano ad avere una leggera flessione: il motivo legato a questo rallentamento è dovuto in parte alla nascita di nuove contromisure a protezione delle macchine, in parte agli attaccanti che hanno spostato la loro attenzione sul crypto-jacking.

Questa nuova generazione di malware che avevamo già iniziato a vedere con lo scorso report del Clusit, è in grado di utilizzare la capacità di calcolo delle macchine infettate per generare (in gergo mining “estrarre”) cryptovalute come Bitcoin, Monero o Ethereum.
 
Grafico Clusit 5
La vera novità per l’Italia è la grande quantità di software malevoli che non possono essere classificati in nessuna “categoria nota”, il che ne rende anche particolarmente difficile l’individuazione.

Questo è perfettamente in linea con quanto visto a livello globale e conferma ancora una volta, se mai ce ne fosse bisogno, che il nostro Paese non è diverso dagli altri.

Oltre al diffusissimo Wannacry e ai suoi derivati, nel 2018 la palma come primo classificato va a Zeroacces.

Definito come “rootkit”, è un virus che, una volta preso, dirotta il browser web verso pagine che promuovono programmi malware o altro. È anche in grado di veicolare altri tipi di malware specifici e di nascondersi alle scansioni dell’antivirus tradizionale. Infine blocca l’accesso ai siti in cui viene indicato come rimuoverlo in modo che la vittima abbia difficoltà a “chiedere aiuto”.

Interessante, e preoccupante, è la diffusione di Gozi e Ramnit. Questi ultimi due che insieme coprono il 15% dei malware totali, sono malware specifici per il mercato finanziario e sono in grado intercettare credenziali legate all’home banking trasmettendo quindi agli attaccanti username e password di accesso alla banca della vittima.
 
 
 

Da dove arrivano gli attacchi?

Oggi la maggior parte del software malevolo è costituita da un “agente” che si installa sugli endpoint che resta in attesa di come procedere dai cosiddetti Command and Control (C&C) server.

Si tratta di sistemi compromessi utilizzati per l’invio dei comandi alle macchine infette da malware (bot) utilizzate per la costruzione delle botnet che poi portano gli attacchi veri e propri.

È confermato che anche quest’anno ben oltre la metà dei centri di C&C relativi a macchine infette si trovano negli Stati Uniti (52%). Tale dato è però in calo rispetto all’anno precedente e si nota come i centri C&C stiano crescendo in maniera importante anche in Europa (+24% rispetto all’anno 2017).
 
Grafico Clusit 6
 
 

A proposito di attacchi e rogne, qualcuno se le va a cercare…

Nonostante i frequenti richiami a mettere in sicurezza reti e sistemi, esiste ancora un impressionante numero di dispositivi che espongono servizi direttamente su Internet privi anche di livelli minimi di protezione.

Ciò significa che queste macchine sono facilmente attaccabili e esposte a rischi elevati.

I dati del 2018 riportano circa 58.000 macchine che espongono servizi critici direttamente su Internet, anche se si osserva una contrazione del 18% del numero totale di host esposti rispetto al 2017.

Al primo posto troviamo Telnet, protocollo utilizzato per la gestione di host remoti, accessibile da riga di comando, al secondo posto troviamo SMB, utile per la condivisione di file e stampanti nelle reti locali ma che, se esposto su internet, può essere utilizzato per accedere ai documenti e file condivisi.
Di rilievo è anche la quantità di macchine che espongono RDP, utilizzato per la connessione remota. Se vuoi approfondire questo tipo di attacchi, ti consiglio questo articolo.
 

Attacchi DDOS (Distributed Denial of Service)

Un attacco DoS (Denial of Service) è un attacco volto a bloccare un computer, una rete o anche solo un particolare servizio.

Nel 2018 sono state rilevate oltre 9.300 anomalie riconducibili a possibili attacchi DDoS diretti verso i Clienti Fastweb, un buon +32% rispetto allo stesso periodo del 2017 (si parla di clienti Fastweb perché questi sono dati riportati da Fastweb).

Gli attacchi di DDoS, facilmente comprensibili per il grande pubblico, risultano spesso essere efficaci dal punto di vista dell’attaccante ma non particolarmente efficienti. Dopotutto si tratta di una prova di forza che richiede un uso di risorse significative.

Ecco perché, pur senza negare il problema degli attacchi di DDoS, il mercato mostra la necessità di difendersi da differenti tipologie di attacco, meno evidenti e più sottili. Ciò è dovuto al proliferare di differenti attacchi “low and slow” che non richiedono grandi risorse ma hanno come risultato quello di massimizzare l’impatto dell’attaccante.
 

Chi sono i più colpiti da attacchi DDOS

Come si vede dal grafico successivo, il fenomeno riguarda un esteso numero di settori tra i quali i più esposti risultano essere le istituzioni governative (soprattutto Ministeri e Pubbliche Amministrazioni centrali) che sono obiettivo nel 30% dei casi, a seguire il mondo dei servizi, quindi i mercati Finance e Insurance.
 
Grafico Clusit 7
 
 

Conclusioni

Gli attacchi sono sempre più frequenti e di sempre maggiore gravità.

L’intelligenza artificiale e il machine learning giocheranno un ruolo significativo nel prossimo futuro, non perché le macchine saranno più intelligenti degli uomini, ma semplicemente perché la quantità di dati da analizzare è tale che, senza le macchine, sarebbe impossibile.

Parallelamente è necessaria una presa di coscienza collettiva (awareness) del fenomeno che non può più essere relegato a “è una cosa degli informatici” perché l’informatica è pervasiva sia in ambito professionale, sia in ambito personale. 

Se vogliamo trovare qualcosa di positivo in questo mare di attacchi, segnaliamo alcune stime: le figure che si occupano di sicurezza in azienda dovrebbero aumentare del 40% mentre le richieste di personale addetto alla compliance dovrebbero aumentare del 35%. Un piccolo aiuto alla crescita dell’occupazione.

Chiudo queste mie riflessioni riportando due virgolettati che faccio “miei” perché li sposo appieno.

“Saranno le prossime scelte in ambito di sicurezza cibernetica a determinare le probabilità di sopravvivenza della nostra attuale società digitale”, afferma Andrea Zapparoli Manzoni, membro del Board di Clusit. “Al cuore della questione c’è una criticità che è sia culturale che economica: abbiamo costruito la nostra civiltà digitale senza tenere conto dei costi correlati alla sua tutela e difesa, secondo un modello di business che non li prevede, se non in modo residuale e, ove possibile, li evita o li minimizza. Di conseguenza queste risorse non sono disponibili, e oggi nel mondo si investe per la cyber security un decimo di quanto si dovrebbe ragionevolmente spendere.”

Infine riporto un paragrafo del rapporto Clusit preso da una sezione curata da Akamai.

“I temi trattati finora saranno sicuramente di interesse anche per il 2019 in quanto nessuno di essi è esaurito o risolto. Gli attacchi di DDoS continueranno ad esistere, gli utenti a usare le stesse password, gli attaccanti a cercare metodi più efficaci per fare soldi.
Un tema futuro ma che sta ponendo le basi già da qualche anno è relativo a un cambio di approccio alla sicurezza aziendale in generale.
La vecchia visione era ed a volte è tuttora basata sul concetto che vede i buoni dentro la rete aziendale e i cattivi fuori.
I trend di mercato degli ultimi anni relativi all’uso dei servizi cloud e degli utenti in mobilità, tuttavia, hanno portato a fenomeni che non possono più essere gestiti con il vecchio paradigma. Se ci pensiamo bene, i dati aziendali si stanno spesso spostando fuori, nel cloud.
Così come gli utenti, sempre meno in numero a lavorare solo dall’ufficio e non dal loro cellulare o in mobilità, le applicazioni e la loro modalità di fruizione. Chi e cosa rimane all’interno dei confini aziendali?
In questo nuovo contesto il paradigma di “Zero Trust” prende sempre più piede e sarà sicuramente trainante nei prossimi anni.
I principi fondamentali sono: si assuma che l’ambiente sia ostile, non si distingua tra utenti interni ed esterni, non si assuma “trust” (da cui il nome), si eroghino applicazioni solo a device e utenti riconosciuti e autenticati, si effettuino analisi dei log e dei comportamenti utente.
In pratica occorre trattare tutti gli utenti nello stesso modo, utenti della stessa azienda o esterni, che siano nel perimetro della rete aziendale o meno, che i dati a cui vogliono accedere siano dentro l’azienda o da qualche parte nel cloud.
Il rovesciamento del paradigma è forte e richiederà anni per la sua completa adozione che prevede meccanismi di autenticazione, autorizzazione e controllo che non sempre sono già implementati. Ma sarebbe un errore non iniziare fin da subito a conoscere l’argomento e iniziare le opportune valutazioni.”

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.