Il numero complessivo degli attacchi informatici nel 2013 resta invariato rispetto al 2012 ma la loro gravità aumenta in modo significativo sia per valore economico sia per quantità di dati sottratti. La fotografia è scattata dal Rapporto Clusit 2014 che verrà presentato a Milano il prossimo 18 marzo in occasione del Security Summit.
Lo studio, che si riferisce ad un campione di oltre 2800 incidenti noti avvenuti negli ultimi 36 mesi, indica come il Cybercrime sia la causa della maggior parte degli attacchi (oltre il 50%) nel 2013, con una crescita del 258% in due anni, e come attività di Hacktivism e Cyber Espionage siano in costante aumento, con una crescita del 22,5% e del 131% rispetto al 2012.
Per quanto riguarda la distribuzione delle vittime, nel 2013 si assiste ad un aumento di attacchi verso il settore governativo (+7,5%) e ad una crescita numericamente consistente (+83%) di attacchi verso il settore Banking/Finance, che passa dal 5% del totale nel 2012 al 9% nel 2013. Appaiono per la prima volta nel campione attacchi noti contro Infrastrutture Critiche, che si posizionano al 3% del totale, ed attacchi verso altri due settori, quello Automotive (principalmente con finalità di spionaggio industriale) e quello delle Ong (principalmente con finalità di spionaggio politico o di Hacktivism).
Sul fronte classificazione degli attacchi in base alle tecniche utilizzate, nel 2013 spiccano l’ulteriore incremento della categoria DDoS, l’aumento di attacchi basati su Account Cracking e soprattutto della categoria Apt (Advanced Persistent Threats) che passa dal 1% del 2012 al 6% del 2013. La principale macro-famiglia di tecniche di attacco rilevate l’anno scorso è relativa allo sfruttamento di vulnerabilità note o di misconfigurazioni dei sistemi bersaglio, che rappresentano circa un quarto dei casi analizzati (22%), con una crescita dell’87% rispetto al 2012. La crescita di attacchi complessi realizzati tramite tecniche miste di tipo Apt passa dal 1% al 6% del totale, mentre le tecniche di attacco basate su Sql Injection (il 19% nel 2013) e l’utilizzo di semplice malware (tipicamente in connessione con attività di phishing o con attacchi realizzati infettando siti web) sono in flessione. I vettori di attacco più semplici da sfruttare, ovvero SQLi, DDoS e Vulnerabilities, nel 2013 rappresentano ancora il 58% del totale, contro il 69% dell’anno precedente.
Per la prima volta, il Rapporto Clusit si avvale anche di dati relativi agli attacchi (di qualsiasi dimensione ed impatto) rilevati dal Security Operations Center di Fastweb, che ha acconsentito a condividere con Clusit una dimensione statistica del fenomeno.
In base a quanto rilevato dal Soc di Fastweb, che è in grado di monitorare e difendere da attacchi e minacce sia l’infrastruttura Ict aziendale sia quella dei clienti, la maggior parte delle minacce (81%) arriva tramite software malevoli utilizzati principalmente per due tipologie di attività: crimine e spionaggio industriale, mentre gli attacchi DDoS crescono in maniera esponenziale rispetto agli scorsi anni e costituiscono il 14% degli eventi noti. Il 60% degli attacchi rilevati è dovuto ad azioni di cybercrime ed il 24% ad azioni di spionaggio industriale volto a sottrarre informazioni. Le azioni dimostrative, portate avanti tramite attacchi informatici (Hacktivism), costituiscono solamente il 16%.
Pur essendo quasi impossibile riuscire a capire quale sia l’origine esatta di un attacco, è stato analizzato il dato che più gli si avvicina, cioè la localizzazione dei server utilizzati come centri di controllo (Command and Control). I risultati confermano che la maggior parte di questi attacchi (50%) ha come origine l’Asia. L’Europa costituisce la seconda origine (30%) mentre Stati Uniti e Medio Oriente sono rispettivamente al terzo e quarto posto (10% ognuno).
Il Rapporto Clusit 2014 contiene anche i risultati di una survey che ha coinvolto ben 438 aziende e che ha consentito di analizzare le tendenze del mercato italiano dell’Ict Security, individuando le aree in cui si stanno orientando gli investimenti di aziende e PA. In particolare, nel 2013, il 42% dei vendor intervistati ha rilevato una crescita negli investimenti, mentre il 40% ha riscontrato un mercato stazionario rispetto all’anno precedente. Solo il 6,7% delle aziende utenti della sicurezza dichiara di aver ridotto gli investimenti nella security rispetto al 2012, il 66,6% dichiara di non aver variato il budget rispetto all’anno precedente e il 27% circa di aziende utenti dichiara di aver aumentato i propri investimenti.
