Destruction of service. Sono loro, i DeOS, i nuovi tipi di attacchi sferrati non per colpire, ma distruggere: impedendo a chi si difende di ripristinare i propri sistemi e dati. Il termine lo ha coniato Cisco in occasione del rilascio del Midyear Cybersecurity Report (MCR) che rivela, appunto, la nuova metodologia di attacco informatico.
Gran parte dei trend legati alla sicurezza esplorati nel report sono legati ai DeOS. Ad esempio, gli attaccanti stanno evolvendo e innovando le campagne ransomware e DDoS in modo che siano realmente in grado di distruggere le reti delle aziende. Così facendo, viene danneggiata anche la capacità dell’azienda di riprendersi dall’attacco.
“Come mostrano i recenti incidenti WannaCry e Nyetya, i nostri avversari stanno diventando sempre più creativi nel modo di architettare i loro attacchi – dice Steve Martino, Vice President and Chief Information Security Officer, Cisco -. Mentre la maggior parte delle imprese ha intrapreso misure per migliorare la sicurezza a seguito di una violazione, le imprese di tutti i settori sono costantemente in lotta con chi effettua gli attacchi. L’efficacia della sicurezza inizia colmando le lacune più evidenti e rendendo la sicurezza una priorità”.
Nella loro battaglia per guadagnare tempo e spazio per agire, gli avversari cercano continuamente nuovi modi per eludere i sistemi di rilevamento, di solito cambiando velocemente approccio quando la tattica utilizzata non funziona. Come spiegato nel report, stanno facendo un cambio di rotta abbandonando gli strumenti più recenti per tornare a quelli più vecchi, ad esempio allontanandosi dagli exploit kit e riutilizzando attacchi di tipo social engineering, come i “Business email compromise” (BEC).
Emerge inoltre che l’Internet of Things e la sua miriade di dispositivi e sistemi con numerose debolezze pronte per essere sfruttate, avranno un ruolo centrale nel far sì che l’impatto di queste campagne sia maggiore. La misurazione dell’efficacia delle procedure di sicurezza di fronte a questi attacchi è fondamentale. E in questo Cisco garantisce tempi di rilevamento delle minacce (“time to detection” TTD) unici. Da novembre 2015, il tempo medio di rilevamento Cisco (TTD) è diminuito da 39 ore a circa 3,5 ore registrate nel periodo tra novembre 2016 e maggio 2017.
I ricercatori Cisco hanno osservato come si è evoluto il malware durante la prima metà del 2017 e hanno individuato nuove modalità con cui gli avversari stanno personalizzando le loro tecniche di distribuzione, di offensiva e di evasione. L’approccio è sempre più quello di spingere le vittime ad attivare una minaccia cliccando un collegamento o aprendo un file dannoso. Stanno inoltre sviluppando un tipo di malware ‘fileless’ che risiede nella memoria ed è più difficile da rilevare o investigare perché si cancella al riavvio del dispositivo. Infine, gli avversari si basano su infrastrutture anonime e decentrate, come il servizio di proxy Tor, per oscurare le attività di comando e controllo.
Per combattere gli attacchi odierni frutto di ablità sempre maggiori, le imprese devono affrontare la sicurezza con un atteggiamento proattivo. Cisco consiglia di mantenere le infrastrutture e le applicazioni aggiornate in modo che gli aggressori non possano sfruttare le vulnerabilità note, combattere la complessità adottando una difesa integrata, limitare gli investimenti a silos. E ancora, rendere il management consapevole dei rischi, dei vantaggi e degli impatti economici per poi trasferire la consapevolezza all’intera azienda, stabilire metriche chiare. Usare i dati analizzati per convalidare e migliorare le pratiche di sicurezza.
