Il livello successivo

8 previsioni sulla sicurezza per il 2017

Le persone che prenderanno coscienza del panorama delle minacce del 2017 diranno che si tratta di un terreno tanto familiare quanto inesplorato. Dopo tutto, mentre le nostre previsioni per il 2016 si sono realizzate, hanno semplicemente aperto le porte ad aggressori più esperti consentendogli di esplorare una superficie di attacco persino più ampia. Nel 2016 è esploso il fenomeno delle estorsioni online, il guasto di un dispositivo smart ha effettivamente causato dei danni, la necessità dei Data Protection Officer (DPO) è diventata sempre più pressante, mentre le violazioni dei dati sono più comuni che mai.

Nel 2017 saremo chiamati ad affrontare nuove sfide. Le attività ransomware si diversificheranno prendendo strade diverse: più complete, grazie alla creazione di un numero maggiore di varianti; più approfondite, in quanto verranno lanciati attacchi mirati ben pianificati; più ampie, poiché le minacce colpiranno obiettivi non desktop come cellulari e dispositivi smart. È probabile che in futuro attacchi semplici ma efficaci, come i Business Email Compromise (BEC), godranno del favore dei cybercriminali, mentre inizieremo a vedere attacchi Business Process Compromise (BPC) sempre più duri, come il colpo da 81 milioni di dollari alla Bangladesh Bank. Verrà scoperto e sfruttato un numero maggiore di vulnerabilità Apple e Adobe. Perfino gli innocui congegni smart avranno un ruolo negli attacchi massicci DDoS (Distributed Denial-of-Services), mentre i dispositivi IIoT (Industrial Internet of Things) diventeranno il bersaglio di coloro che metteranno in atto le minacce. Si avvicina il momento dell'implementazione di un Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) e mentre le imprese si muovono con difficoltà per modificare i processi necessari a ottenere la conformità, i costi amministrativi per i soggetti coinvolti sono destinati ad aumentare in modo esponenziale, anche mentre lottano con attori di minacce di livello mondiale, che sono intenzionati a infiltrarsi nelle loro reti per i motivi più vari. Si tratta di minacce digitali di livello successivo che richiedono soluzioni anch'esse di livello successivo.

Trend Micro opera nel settore della sicurezza da oltre due decenni. Il nostro monitoraggio in tempo reale del panorama delle minacce, insieme alle analisi del nostro team Forward-Looking Threat Research (FTR), ci ha consentito di comprendere i diversi elementi di spinta che determinano il modo e la direzione in cui il panorama si muove. Continuate a leggere per scoprire cosa ci riserva il 2017 e oltre.

1
Nel 2017 la crescita del ransomware subirà un momento di stasi, mentre i metodi di attacco e gli obiettivi si diversificheranno.
Per il 2017 prevediamo una crescita del 25% nel numero di nuove famiglie ransomware.

Abbiamo accuratamente previsto che il 2016 sarebbe stato l'anno delle estorsioni online. La catena di attacco ransomware, che combina svariati metodi di diffusione, criptazione indecifrabile e logiche di scareware, ha trasformato questa truffa classica in un infallibile generatore di profitti per i cybercriminali. Il ransomware come servizio, una trappola in cui un operatore ransomware "affitta" le proprie infrastrutture a cybercriminali, ha incoraggiato anche i soggetti privi di preparazione tecnica a partecipare. Inoltre, nel 2016, parte del codice ransomware è stato condiviso con il pubblico, consentendo agli hacker di generare le proprie versioni della minaccia. Nel periodo da gennaio a settembre, tali varianti hanno generato un picco sbalorditivo di crescita del 400% nel numero di famiglie ransomware.


Numero annuo di famiglie ransomware
Proiezione 2017
Figura 1: numero annuo di famiglie ransomware, compresa la proiezione 2017

Per il 2017 prevediamo una crescita del 25% nel numero di nuove famiglie ransomware, dato che si traduce in una media di 15 nuove famiglie scoperte ogni mese. Sebbene il punto massimo sia stato raggiunto nel 2016, un periodo di stabilizzazione spingerà i criminali in gara a diversificare le proprie attività, colpendo un numero maggiore di potenziali vittime, piattaforme e obiettivi di grandi dimensioni.

Prevediamo, inoltre, che il ransomware sia destinato a diventare una componente sempre più comune delle violazioni dei dati. Per prima cosa i cybercriminali provvederanno a sottrarre i dati riservati per venderli sui mercati clandestini, installando successivamente il ransomware per tenere in ostaggio i server dati e raddoppiare così i profitti.

È probabile che il ransomware destinato ai dispositivi mobili seguirà lo stesso percorso di quello per desktop, considerato che gli utenti di tali dispositivi rappresentano ora un obiettivo proficuo e non ancora sfruttato. I terminali informatici non desktop come i sistemi PoS (Point-of-Sale) o ATM (sportelli bancari automatici) potrebbero essere bersagli per attacchi a scopo di estorsione.

Attualmente ha poco senso prendere in ostaggio i dispositivi smart, in quanto lo sforzo per attaccarli supera i possibili profitti. Per esempio, è più facile e meno costoso sostituire una lampadina smart hackerata che pagarne il riscatto. D'altro canto, gli aggressori che minacciano di prendere il controllo dei freni di una macchina mentre si trova in autostrada potrebbero ottenere un profitto, ma anche in questo caso gli sforzi necessari per eseguire un simile attacco non lo rendono un mezzo di estorsione praticabile.

È ora più chiaro alle aziende che subire un attacco ransomware è diventata una possibilità realistica e un'interruzione costosa dell'attività. Gli attacchi ransomware (contro gli ambienti industriali) e IIoT causeranno un danno maggiore, poiché gli attori delle minacce potranno ottenere più denaro in cambio del ripristino online della base di produzione, per esempio, o riportando le temperature della struttura entro range più sicuri.

Sebbene non esista una bacchetta magica in grado di proteggere i potenziali obiettivi dagli attacchi ransomware nel 100% dei casi, conviene bloccare la minaccia alla fonte tramite soluzioni gateway web o e-mail. Analogamente, la tecnologia machine learning rappresenta un complemento solido alla sicurezza multilivello in grado di rilevare anche un ransomware unico e appena creato.

2
I dispositivi IoT giocheranno un ruolo più importante negli attacchi DDoS, i sistemi IIoT negli attacchi mirati.
Prevediamo che i cybercriminali utilizzeranno malware simili a Mirai negli attacchi DDoS (Distributed Denial-of-Services).

Le migliaia di webcam che le persone non hanno pensato di proteggere sono diventate il "fortino" per l'attacco Mirai DDoS che ha messo fuori uso importanti siti Web. I dispositivi connessi, come agenti dormienti, sono innocui fino a che non vengono attivati dai cybercriminali. Prevediamo che, nel 2017, un numero maggiore di cyber attacchi sarà indirizzato verso l'Internet of Things (IoT) e alle sue infrastrutture centrali e frontali. I cybercriminali potrebbero utilizzare router aperti per attacchi DDoS massicci o un singolo veicolo connesso per mettere in scena attacchi altamente mirati.

Prevediamo che i cybercriminali utilizzeranno malware simili a Mirai negli attacchi DDoS (Distributed Denial-of-Services). Dal 2017 in poi, i siti di servizi, di notizie, societari e politici verranno sistematicamente colpiti da traffico HTTP massiccio per denaro, come forma di indignazione o come leva per richieste specifiche.

Sfortunatamente, prevediamo anche che i fornitori non reagiranno in tempo per impedire il verificarsi di tali attacchi. In effetti, nel caso dell'attacco Mirai, i richiami delle webcam sono stati attivati dal fornitore che, tuttavia, non ha richiesto con tempestività i riesami del codice sui dispositivi connessi non colpiti, ma ancora controllabili. Di conseguenza, esisterà sempre una potente superficie di attacco a disposizione degli attori delle minacce.


Figura 2: la botnet Mirai non ha avuto bisogno di un server DNS per mettere offline un obiettivo, ma ha escluso dai siti un'intera fascia di utenti. In teoria, le botnet IoT sono in grado di amplificare gli attacchi DDoS e causare danni maggiori.

Allo stesso modo, mentre l'IoT aumenta l'efficacia degli ambienti industriali come la manifattura e il settore della generazione di energia, gli attori di minacce proseguiranno sulla linea degli attacchi BlackEnergy per perseguire i propri fini. Insieme a un aumento significativo nel numero di vulnerabilità del sistema di controllo di supervisione e acquisizione dati SCADA (30% del numero totale di vulnerabilità individuate da TippingPoint nel 2016), la migrazione all'IIoT introdurrà pericoli e rischi inediti per le organizzazioni e i consumatori.

Questi pericoli possono essere affrontati proattivamente dai fornitori che vendono dispositivi e apparecchiature smart implementando cicli di sviluppo focalizzati sulla sicurezza. Per impedire tutto ciò, gli utenti IoT e IIoT devono simulare questi scenari di attacco per individuare e proteggere i punti deboli. Una tecnologia di difesa della rete di un impianto industriale deve, per esempio, essere in grado di rilevare ed escludere pacchetti di rete maligni tramite sistemi di prevenzione delle intrusioni nella rete (IPS).

3
Nel 2017 la semplicità degli attacchi Business Email Compromise porterà a un aumento nel volume delle truffe mirate.
Prevediamo che questa semplicità renderà gli attacchi BEC, in particolare le frodi CEO, una modalità di attacco più attraente per i cybercriminali

Mirando alle divisioni finanziarie in tutto il mondo, l'attacco BEC cerca di hackerare un account e-mail o indurre un dipendente a trasferire fondi sul conto di un cybercriminale. Non c'è nulla di speciale in questo attacco, tranne forse la ricerca per ottenere informazioni sul modo migliore di generare un'e-mail credibile, ma anche per questo è sufficiente una domanda ben congegnata da un motore di ricerca.

Prevediamo che questa semplicità renderà gli attacchi BEC, in particolare le frodi CEO, una modalità di attacco più attraente per i cybercriminali. La truffa è facile ed economica perché non richiede infrastrutture complesse. Tuttavia, l'esborso medio per un attacco BEC riuscito è 140.000 dollari, il prezzo di una casa di piccole dimensioni. La perdita totale stimata a causa degli attacchi BEC in due anni è pari a 3 miliardi di dollari. A confronto, l'esborso medio per un attacco ransomware è 722 dollari (attualmente 1 Bitcoin), che potrebbe arrivare fino a 30.000 dollari nel caso venga colpita la rete di un'azienda.

Anche la relativa velocità del pagamento favorirà questo aumento. Sulla base delle nostre ricerche sugli attacchi BEC, utilizzando i casi Predator Pain, gli aggressori sono stati in grado di intascare 75 milioni di dollari in soli sei mesi (PDF/ingl.). Nel frattempo l'operato più lento della giustizia quando si tratta di crimine transfrontaliero aumenterà l'attrattiva di questa minaccia. Per esempio, ci sono voluti oltre due anni prima che un cittadino nigeriano venisse arrestato per aver truffato alcune società nel 2014.

Figura 3: confronto degli esborsi medi per impresa in caso di attacchi ransomware e BEC

Sebbene l'attacco BEC risulti particolarmente difficile da rilevare, in quanto queste e-mail non contengono payload o elementi binari maligni, le aziende dovrebbero essere in grado di bloccare tali minacce alla fonte utilizzando soluzioni gateway Web ed e-mail. Queste tecnologie di sicurezza saranno in grado di individuare il traffico anomalo e i comportamenti o i componenti dei file maligni, anche se difendersi dalle truffe BEC rimarrà difficile fino a quando le vittime continueranno a consegnare volontariamente il loro denaro ai cybercriminali. Le società devono implementare politiche stringenti per le transazioni normali e straordinarie, che comprendano livelli di verifica e soglie nel caso di somme ingenti (per le quali dovrà essere richiesta un'ulteriore approvazione), prima di eseguire i trasferimenti.

4
Gli attacchi BPC guadagneranno consensi tra i cybercriminali alla ricerca di obiettivi nel settore finanziario.
Prevediamo che gli attacchi BPC andranno oltre i reparti finanziari, anche se i trasferimenti di fondi rimarranno l'obiettivo più comune.

Il colpo alla Bangladesh Bank ha causato perdite fino a 81 milioni di dollari. A differenza degli attacchi BEC, che dipendono da un comportamento umano erroneo, questo colpo è stato reso possibile da una comprensione più profonda del modo in cui gli istituti più importanti elaboravano le loro transazioni finanziarie. Chiamiamo questa categoria di attacchi "BPC", acronimo di Business Process Compromise.

Prevediamo che gli attacchi BPC andranno oltre i reparti finanziari, anche se i trasferimenti di fondi rimarranno l'obiettivo più comune. I possibili scenari comprendono l'inserimento in un sistema di ordini d'acquisto in modo da consentire ai cybercriminali di ricevere i pagamenti indirizzati ai fornitori effettivi. Analogamente, l'inserimento in un sistema di consegna dei pagamenti può portare a trasferimenti di fondi non autorizzati. I cybercriminali possono inserirsi in un centro di consegna e dirottare merci preziose a un indirizzo diverso. Tutto ciò si è già verificato in un caso isolato nel 2013, quando il sistema di controllo dei container nel porto di Anversa fu hackerato per contrabbandare droga.

Anche se i cybercriminali che mettono in atto gli attacchi BPC sono all'esclusiva ricerca di denaro, invece di seguire motivi politici o di intelligence, i metodi e le strategie utilizzate in questi attacchi e in quelli mirati saranno simili. Se mettiamo a confronto i pagamenti per attacchi ransomware a reti aziendali (il più esoso registrato finora nel 2016 ammonta a 30.000 dollari), la resa media degli attacchi BEC (140.000 dollari) e il guadagno potenziale derivante dagli attacchi BPC (81 milioni di dollari), è facile capire perché i cybercriminali, o persino altri attori di minacce come gli Stati canaglia bisognosi di fondi più cospicui, saranno più che desiderosi di intraprendere questo percorso.


Figura 4: attacchi BEC e BPC a confronto

Quando vengono attaccati i processi aziendali, le imprese dispongono di una visibilità limitata dei rischi associati. La sicurezza si focalizza solitamente sulla possibilità di garantire che i dispositivi non vengano hackerati. I cybercriminali sfrutteranno appieno questa presa di coscienza tardiva. Le tecnologie di protezione come il controllo delle applicazioni sono in grado di bloccare l'accesso a terminali mission critical, mentre la protezione degli endpoint deve essere in grado di rilevare i movimenti laterali maligni. Pratiche e politiche solide relative all'ingegnerizzazione sociale devono anch'esse far parte della cultura di un'organizzazione.

5
Adobe e Apple supereranno Microsoft per quanto riguarda le scoperte di vulnerabilità delle piattaforme.
Prevediamo che verrà scoperto un numero maggiore di falle software nei prodotti Adobe e Apple, oltre che in quelli Microsoft.

Nel 2016 per la prima volta Adobe ha superato Microsoft in termini di scoperte di vulnerabilità. Tra le vulnerabilità rivelate attraverso l'iniziativa Zero Day nel 2016, ci sono state 135 vulnerabilità nei prodotti Adobe e 76 in quelli Microsoft. Il 2016 è stato anche l'anno più importante per Apple® in termini di vulnerabilità, in quanto, fino a novembre, ne sono state scoperte 50 che si sommano alle 25 dell'anno precedente.

Prevediamo che verrà scoperto un numero maggiore di falle software nei prodotti Adobe e Apple, oltre che in quelli Microsoft. A parte il fatto che gli acquisti di PC Microsoft sono diminuiti negli ultimi anni, perché un numero sempre più elevato di utenti preferisce smartphone e tablet per utilizzo professionale, anche gli strumenti di mitigazione e i miglioramenti nella sicurezza messi in atto dal fornitore renderanno più difficile agli aggressori poter individuare un numero maggiore di vulnerabilità nei suoi sistemi operativi.


Figura 5: vulnerabilità Microsoft, Adobe e Apple rivelate dall'Iniziativa Zero-Day

La scoperta delle vulnerabilità Adobe porterà inevitabilmente allo sviluppo di exploit che potranno essere integrati in exploit kit. Gli exploit kit continueranno a far parte del panorama delle minacce, ma i cybercriminali potrebbero trovare per essi un utilizzo diverso dal semplice trasporto dei ransomware. L'impiego degli exploit kit è diminuito dopo l'arresto del creatore dell'Angler Exploit Kit, ma come è successo per BlackHole e Nuclear, altri exploit kit ne prenderanno il posto.

Il software Apple sarà anch'esso oggetto di abusi, poiché un numero maggiore di utenti acquista prodotti Mac. Gli acquisti statunitensi dei Mac sono aumentati, consentendo ad Apple di ottenere una quota di mercato maggiore rispetto all'anno precedente (ingl.). Sommato ai miglioramenti nella sicurezza Microsoft, questo aumento indirizzerà l'attenzione dei cybercriminali verso alternative non Microsoft. Inoltre, poiché Apple non supporta più iPhone® 4S, assisteremo a un aumento di exploit per le falle oggetto di patch nelle versioni supportate che verranno utilizzati per individuare vulnerabilità simili a cui non potranno più essere applicate le patch nelle versioni non supportate.

La schermatura delle vulnerabilità è l'unico modo per proteggersi in modo proattivo e affidabile dalle vulnerabilità a cui non possono essere applicate patch e zero-day. Mentre gli exploit sono un fatto reale per molte aziende, in special modo per quelle che scelgono ancora di utilizzare un software non supportato, legacy oppure orfano, il ruolo della schermatura delle vulnerabilità diventa particolarmente importante quando sono coinvolti software altamente popolari e ampiamente usati come i prodotti Apple e Adobe. Gli utenti dei prodotti Apple e Adobe dovrebbero proteggere anche gli endpoint e i dispositivi mobili dai malware che sfruttano queste vulnerabilità.

6
La cyberpropaganda diventerà una regola.
L'aumento della penetrazione Internet ha dato l'opportunità alle parti interessate di utilizzare Internet come strumento libero in grado di influenzare l'opinione pubblica affinché si orienti in una direzione o in un'altra.

Nel 2016, quasi la metà (ingl.) della popolazione mondiale (46,1%) è connessa a Internet, attraverso smartphone, dispositivi informatici tradizionali o Internet point. Ciò significa che un numero sempre maggiore di persone dispone, attualmente, di un accesso facile alle informazioni, indipendentemente dalla loro fonte o credibilità.

L'aumento della penetrazione Internet ha dato l'opportunità alle parti interessate di utilizzare Internet come strumento libero in grado di influenzare l'opinione pubblica affinché si orienti in una direzione o in un'altra. Il risultato delle recenti tornate elettorali in diversi Paesi riflette il potere dei social media e delle varie fonti di informazioni online quando si tratta di processi decisionali relativi alla politica.

Recentemente, abbiamo assistito all'utilizzo di piattaforme come WikiLeaks per la propaganda, con materiali altamente compromettenti fatti filtrare attraverso il sito solo una settimana prima delle elezioni statunitensi. Nel nostro monitoraggio continuo dell'underground cybercriminale, abbiamo notato anche script kiddies che pubblicizzavano i guadagni ottenuti grazie a notizie false legate alle elezioni e che sostenevano di ricavare 20 dollari al mese orientando il traffico verso contenuti diffamatori falsificati riguardanti i candidati elettorali. Esistono inoltre gruppi di cyber agenti dedicati e pagati per postare materiale di propaganda sui siti di social media come Facebook e LinkedIn e che sfruttano il filtro del contenuto elettronico delle piattaforme per moltiplicare la visibilità dei loro contenuti.

La mancanza di un controllo approfondito dell'accuratezza delle informazioni, combinata ai soggetti che condividono in modo avido tali notizie e desiderano condizionare le persone che mostrano convinzioni opposte o intendono semplicemente supportare le proprie idee, ha portato alla popolarità di questi contenuti falsi e meme. Tutto ciò complica la distinzione tra i fatti reali e gli elementi falsi, soprattutto per gli utenti di Internet casuali e non esperti.

Dobbiamo ancora analizzare l'impatto diretto della mossa di Facebook e Google di eliminare la pubblicità di siti che pubblicano notizie false e quella di Twitter di espandere la funzione Mute in modo che gli utenti possano isolare attacchi o conversazioni offensive.

Le imminenti elezioni in Francia e Germania e i conseguenti sviluppi simili al ritiro del Regno Unito dall'Unione Europea (UE), noto anche come Brexit, saranno influenzati da ciò che verrà condiviso e fatto utilizzando i mezzi elettronici. Probabilmente assisteremo all'utilizzo di informazioni più sensibili in attività di cyberpropaganda derivate da operazioni di spionaggio come PawnStorm.

Le entità che hanno la capacità di orientare l'opinione pubblica utilizzando questo mezzo in maniera strategica saranno in grado di produrre risultati che li favoriscono. Nel 2017 vedremo un uso, un abuso e un uso improprio ancora maggiore dei social media.

7
L'implementazione del Regolamento generale sulla protezione dati e il rispetto della conformità aumenteranno i costi amministrativi in tutte le organizzazioni.
Prevediamo che il GDPR obbligherà le società interessate a implementare dei cambiamenti nelle politiche e nei processi aziendali, con un aumento significativo dei costi amministrativi.

Il regolamento GDPR (Global Data Protection Regulation), la risposta dell'UE alla pressante richiesta di privacy dei dati, influenzerà non soltanto gli stati membri dell'Unione europea, ma tutti gli enti a livello mondiale che registrano, elaborano e conservano i dati personali di cittadini UE. Una volta che sarà entrato in vigore, nel 2018, in caso di non conformità, le imprese potranno essere multate fino al 4% degli utili globali della società.

Prevediamo che il GDPR obbligherà le società interessate a implementare dei cambiamenti nelle politiche e nei processi aziendali, con un aumento significativo dei costi amministrativi. Il regolamento GDPR richiede, tra gli altri, i seguenti cambiamenti:

  • La presenza di un DPO diventerà obbligatoria. Secondo le nostre previsioni, meno della metà delle aziende avrebbe assunto un DPO (Data Protection Officer) entro la fine del 2016. Tale previsione si è rivelata accurata e comporta che un'importante e nuovissima voce legata all'assunzione, alla formazione e al mantenimento di un dipendente di grado superiore sarà inserita nelle spese societarie.
  • Gli utenti devono essere informati dei loro diritti recentemente definiti e le società devono assicurarsi che gli utenti stessi siano in grado di esercitarli. Questo cambio di paradigma, cioè il fatto che i cittadini UE siano i titolari dei propri dati personali e quindi le informazioni raccolte siano semplicemente "in prestito", avrà un effetto sugli interi flussi di lavoro connessi ai dati.
  • Devono essere raccolti solo i dati minimi necessari per utilizzare un servizio. Le imprese dovranno rivedere le loro pratiche di raccolta dati per adeguarsi.

Questi cambiamenti obbligheranno le imprese a condurre revisioni complete dell'elaborazione dati per garantire o stabilire la conformità e isolare i dati UE da quelli del resto del mondo. Sarà particolarmente difficile per le multinazionali che dovranno considerare la creazione di sistemi di archiviazione dati completamente nuovi dedicati esclusivamente ai dati UE. Queste aziende dovranno anche riesaminare le clausole relative alla protezione dati dei loro partner di cloud storage. Le imprese dovranno investire in una soluzione di protezione dati completa, includendo la formazione dei dipendenti, al fine di applicare la conformità al regolamento GDPR.

8
I cybercriminali metteranno in campo nuove tattiche di attacco mirato in grado di aggirare le attuali soluzioni anti-elusione.
Prevediamo che questa curva di apprendimento comporterà l'utilizzo di un numero maggiore di metodi principalmente volti a eludere la maggior parte delle moderne tecnologie di sicurezza sviluppate negli ultimi anni.

Le campagne di attacchi mirati sono state documentate per la prima volta circa un decennio fa. Con il tempo, gli attori delle minacce sono diventati più esperti, mentre le infrastrutture di rete sono rimaste fondamentalmente le stesse. Osservando i movimenti e le capacità degli aggressori di adattare i propri strumenti, le tattiche e le procedure (TTP) per essere in grado di prendere di mira diverse organizzazioni in diversi Paesi, prevediamo l'emergere di tecniche nuove e inattese in futuri attacchi mirati.

Prevediamo che questa curva di apprendimento comporterà l'utilizzo di un numero maggiore di metodi principalmente volti a eludere la maggior parte delle moderne tecnologie di sicurezza sviluppate negli ultimi anni. Gli autori delle minacce, per esempio, utilizzavano tipicamente elementi binari, successivamente sono passati ai documenti e ora stanno utilizzando script e file batch. Inizieranno a compiere un numero maggiore di rilevamenti sandbox deliberati per verificare se una rete spinge file sconosciuti a una risorsa sandbox e prenderanno di mira o inonderanno le sandbox. Prevediamo inoltre che le virtual machine (VM) escape diventeranno componenti di grande valore per le catene di exploit avanzati. I bug delle VM escape avranno altre applicazioni di attacco nel cloud oltre all'elusione sandbox.

Questi miglioramenti tecnici sul fronte degli aggressori determineranno maggiori richieste da parte dell'IT o da chi gestisce la sicurezza. Questi dovranno individuare le tecnologie di protezione in grado di aiutarli a ottenere una visione e un controllo completi della propria rete e del flusso dati nella sua totalità, identificando non solo gli indicatori della compromissione (IoC), ma anche quelli dell'attacco al suo attivarsi.

Le minacce sconosciute possono essere nuove varianti di minacce note ed esistenti o elementi assolutamente sconosciuti e non ancora scoperti. Le soluzioni di sicurezza che utilizzano la tecnologia machine learning possono essere utilizzate come protezione contro le prime, mentre il sandboxing sarà in grado di gestire le altre. Invece di affidarsi a una sola strategia di sicurezza, la tecnologia multilivello transgenerazionale sviluppata attraverso un'ampia esperienza ottenuta dal monitoraggio, dalla risposta e dalla creazione di misure proattive contro gli attacchi mirati sarà estremamente importante nel combattere questi tipi di campagne.






Come affrontare al meglio gli attacchi frontali?

Il machine learning non è una tecnologia di sicurezza nuova, ma si propone come elemento cruciale nel combattere le minacce ransomware note e sconosciute e, tra gli altri, gli attacchi degli exploit kit. La tecnologia machine learning viene implementata attraverso un sistema stratificato con input forniti da uomo e computer attraverso algoritmi matematici. Questo modello viene quindi applicato al traffico di rete consentendo a una macchina di prendere decisioni rapide e accurate sul fatto che il contenuto della rete, file e comportamenti, sia maligno o meno.

Le imprese devono inoltre prepararsi con una protezione comprovata contro le tecniche anti-elusione che gli attori delle minacce introdurranno nel 2017. Questa sfida richiede una combinazione di diverse tecnologie di sicurezza (molto diversa dall'approccio del tipo "bacchetta magica") che dovrebbero essere disponibili nella rete per formare una difesa connessa contro le minacce. Tecnologie come:

  • Anti malware avanzato (oltre al blacklisting)
  • Antispam e antiphishing in corrispondenza dei gateway web ed e-mail
  • Web reputation
  • Sistemi di rilevamento delle violazioni
  • Controllo delle applicazioni (whitelisting)
  • Filtro del contenuto
  • Schermatura contro le vulnerabilità
  • Reputazione app mobili
  • Prevenzione intrusioni host e network-based
  • Protezione firewall host-based

Anche se oggi la maggior parte delle minacce può essere rilevata dalle suddette tecniche che operano congiuntamente, per poter individuare minacce zero-day e sconosciute, le aziende devono utilizzare il monitoraggio del comportamento e dell'integrità, oltre al sandboxing.

L'Internet of Thinghs presenta rischi ed elementi di convenienza. Gli utenti dei dispositivi smart devono imparare a proteggere i propri router prima di consentire a un qualsiasi dispositivo smart di accedere a Internet attraverso tali router. Quando acquistano un nuovo dispositivo smart devono prendere in considerazione anche l'elemento sicurezza. Il dispositivo permette l'autenticazione o consente modifiche delle password? Può essere aggiornato? È in grado di criptare le comunicazioni di rete? Presenta porte aperte? Il fornitore mette a disposizione aggiornamenti del firmware?

Le imprese che raccolgono dati dai cittadini dell'Unione europea devono aspettarsi un aumento delle spese amministrative mentre sono alle prese con importanti modifiche ai processi e assumono dei Data Protection Officer per essere conformi al regolamento GDPR. Una revisione completa della strategia di protezione dati di una società contribuirà anch'essa al superamento degli audit.

Queste nuove sfide richiedono un nuovo punto di vista riguardo alla protezione degli endpoint, un approccio transgenerazionale alla sicurezza che combini comprovate tecniche di rilevamento delle minacce per individuare quelle note e quelle sconosciute con tecniche di protezione avanzate come il controllo delle applicazioni, la prevenzione degli exploit e l'analisi comportamentale, il rilevamento di sandbox e la tecnologia machine learning ad alta fedeltà.

La formazione dei dipendenti, per contrastare gli attacchi di ingegneria sociale e fornire loro informazioni sulle minacce più recenti come le BEC, completerà la "cultura sulla sicurezza" necessaria a rafforzare le difese di un'impresa per il 2017 e oltre.

Scarica il report (PDF/ingl.)