Un approccio “collettivo” per per difendersi dagli attacchi informatici. E’ questo l’avvertimento che emerge dal Cisco 2015 Annual Security Report, secondo cui i criminali informatici sono diventati più abili nello sfruttare le lacune nella sicurezza per eludere i controlli e nascondere le attività dannose. “Chi si occupa della difesa deve migliorare costantemente l’approccio alla protezione delle loro aziende e per salvaguardarle da attacchi informatici sempre più sofisticati – spiegano gli esperti di Cisco – Queste problematiche vengono ulteriormente complicate dalle condizioni geopolitiche dei criminali informatici e dai requisiti in conflitto imposti dalle leggi locali nel rispetto della sovranità, localizzazione e cifratura dei dati”.
Tre trend principali individuati da Cisco. Lo spam Snowshoe è tra i metodi di attacco preferiti e con cui il criminale informatico invia un ridotto volume di spam a un’elevata serie di indirizzi IP per evitare il rilevamento, creando un’opportunità per sfruttare in diversi modi gli account compromessi. Si affinano i metodi di Exploit Web, ora “nascosti” in bella vista: gli exploit kit, ampiamente utilizzati, vengono debellati dalle aziende in breve tempo. Per questo motivo, i criminali informatici utilizzano kit meno conosciuti per condurre i propri attacchi con successo – un modello di business sostenibile poiché non attira troppo l’attenzione. Si diffondono sempre di più le combinazioni dannose. Flash e JavaScript non sono mai stati di per se sicuri ma con le innovazioni nel rilevamento e la difesa i criminali informatici si sono adattati portando avanti exploit che combinano le debolezze di entrambi. Con la condivisione degli exploit tramite due diversi file – uno Flash e uno JavaScript – diventa più difficile per i dispositivi di sicurezza individuare e bloccare gli exploit e analizzarli con strumenti di ingegneria inversa (reverse engineering).
In questo quadro gli utenti sono nel mezzo. Non solo sono dei bersagli ma, inconsapevolmente, favoriscono gli attacchi informatici. Dagli studi condotti da Cisco è emerso che nel 2014 i criminali informatici non si focalizzano più sulla compromissione di server e sistemi operativi ma tentano di sfruttare l’utente mentre utilizza browser e posta elettronica. Gli utenti che scaricano da siti compromessi hanno contribuito ad un aumento del 228% degli attacchi a Silverlight oltre a un aumento del 250% dello spam e degli exploit malvertising.
Questi trend fanno il paio con i risultati del Cisco Security Capabilities Benchmark Study, che ha intervistato i Chief Information Security Officers (Ciso) e Security Operations (SecOps) di 1700 aziende in nove paesi. Lo studio ha mostrato un crescente divario nella percezione che i team di sicurezza hanno delle loro funzionalità di sicurezza. In particolare, secondo lo studio, il 75% dei Ciso ritiene che i propri strumenti per la sicurezza siano estremamente efficienti. Tuttavia, meno del 50% degli intervistati utilizza strumenti standard come l’applicazione di patch e la configurazione per prevenire violazioni alla sicurezza e garantire che siano utilizzate le versioni più recenti. L’anno scorso, Heartbleed è stato il punto di riferimento tra le vulnerabilità, e ancora oggi il 56% dei tutte le versioni OpenSSL installate sono vecchie di quattro anni. E ciò indica chiaramente che i team di sicurezza non applicano le patch.
Mentre i team di sicurezza ritengono che i loro processi siano ottimizzati – e gli strumenti efficaci – in realtà la loro sicurezza necessità di essere migliorata.
In conclusione, secondo i dati della ricerca, è tempo che il top management abbia un ruolo attivo nella definizione delle priorità e delle aspettative di sicurezza. Il “Security Manifesto” di Cisco, un insieme formale di criteri di protezione come base per ottenere sicurezza, può aiutare il top management, i team di sicurezza e gli utenti di un’organizzazione a capire meglio e rispondere alle numerose sfide che minano la sicurezza informatica. È utile per le aziende che vogliono adottare un approccio alla sicurezza più dinamico e essere più flessibili e innovative della concorrenza.
“La sicurezza ha bisogno di un approccio collettivo, dove ognuno contribuisce, dal top management al singolo individuo. Un tempo ci preoccupavamo degli attacchi DoS, oggi della distruzione dei dati. Una volta ci preoccupavamo del furto degli indirizzi IP, oggi del fallimento dei servizi critici – spiega John N. Stewart, senior vice president, chief security and trust officer di Cisco: I nostri avversari sono sempre più abili, sfruttano le nostre debolezze e nascondo i loro attacchi in bella vista. La sicurezza deve fornire protezione per tutta la durata di un attacco e la tecnologia è progettata proprio per questo scopo. I servizi online devono essere pensati con questo tipo di reattività, e tutto ciò deve essere fatto adesso con l’obiettivo di proteggere il nostro futuro. Mai come oggi sono necessarie capacità di leadership, cooperazione e responsabilità”.
Per Jason Brvenik, Principal Engineer, Security Business Group di Cisco “i criminali informatici sono diventati più abili nello sfruttare i punti deboli nella sicurezza”. “Abbiamo visto che il 56% di tutte le versioni di OpenSSL sono vulnerabili a Heartbleed e che i principali attacchi sfruttano solo l’1% delle vulnerabilità in un dato momento – dice il manager – Nonostante ciò, meno della metà degli intervistati tra i team di sicurezza utilizza strumenti come l’applicazione delle patch e la gestione delle configurazioni per prevenire violazioni della sicurezza. Anche con le migliori tecnologie di sicurezza, è necessaria eccellenza nei processi per proteggere le organizzazioni e gli utenti da attacchi sempre più sofisticati”.
