Trend Micro - Securing Your Journey to the Cloud

one site fits all
Cambi di paradigma: Previsioni di Trend Micro sulla sicurezza per il 2018


Cambi di paradigma


Abilità e risorse: sono questi sono i due elementi che compongono l'arsenale di un aggressore. Un aggressore, tuttavia, non può tentare di violare la sicurezza o addirittura compiere attacchi sofisticati senza prima trovare punti deboli in un sistema. Attacchi massicci di malware, violazioni tramite e-mail, dispositivi hackerati e servizi interrotti: per poter essere compiute, tutte queste aggressioni richiedono una vulnerabilità nella rete, legata alla tecnologia o alle persone.

Connettività e interazioni più frequenti su reti non sicure sono ormai un dato di fatto. Purtroppo, la scarsa implementazione delle tecnologie aumenta la probabilità che le minacce si concretizzino. La disponibilità di protezione dove e quando serve sarà alla base della sicurezza in un panorama delle minacce in continuo mutamento.

Nel 2018, le estorsioni digitali saranno al centro del modello di business della maggior parte dei cybercriminali, i quali saranno indotti ad adottare altri schemi operativi che consentiranno loro di ottenere guadagni potenzialmente molto alti. Le vulnerabilità dei dispositivi IoT amplieranno la superficie di attacco, man mano che questi si integreranno sempre più con ambienti intelligenti. Le truffe Business Email Compromise obbligheranno un numero crescente di aziende a sborsare il proprio denaro. L'epoca delle notizie false e della cyberpropaganda convivrà con le vecchie tecniche dei cybercriminali. Le applicazioni di machine learning e blockchain da un lato manterranno le promesse, dall'altro faranno nascere insidie. Le aziende dovranno far fronte alla sfida di adeguarsi alle direttive del Regolamento Generale sulla Protezione dei Dati (GDPR) in tempo utile per la sua applicazione. Non soltanto le imprese saranno esposte a innumerevoli vulnerabilità, ma le falle presenti nei processi interni saranno sfruttate per sabotare la produzione.

Sono queste le minacce che dovremo affrontare nel 2018. Queste costituiranno un'ulteriore prova del fatto che il tempo in cui le minacce venivano affrontate con le soluzioni di sicurezza tradizionali è ormai finito. Man mano che gli ambienti diventano sempre più interconnessi e complessi, le minacce ridefiniscono il modo in cui dovremmo guardare alla sicurezza.

Trend Micro ha esaminato le minacce attuali ed emergenti, nonché gli approcci alla sicurezza adottati. Continua a leggere per scoprire come prendere decisioni informate in merito alle aree di interesse per la sicurezza che avranno un ruolo di primo piano nel 2018.

Nel 2018 il modello di business del ransomware continuerà a essere uno dei pilastri del crimine informatico, ma si affermeranno anche altre forme di estorsione digitale.

Per il 2017 avevamo previsto che i cybercriminali avrebbero diversificato il ransomware in altri metodi di attacco. In effetti, nel corso dell'anno si sono verificati incidenti come gli attacchi di rete WannaCry e Petya, che si sono propagati rapidamente, gli attacchi spam Locky e FakeGlobe, diffusisi altrettanto velocemente, e gli attacchi Watering Hole di Bad Rabbit contro i Paesi dell'Europa orientale.

Non ci aspettiamo che il ransomware possa scomparire in tempi brevi. Al contrario, è facile prevedere che nel corso del 2018 ci saranno altri attacchi, anche se si stanno sempre più diffondendo altri tipi di estorsione digitale. I cybercriminali hanno fatto ricorso all'uso di dati convincenti come arma, per costringere le vittime a pagare. Con il ransomware come servizio (RaaS) che viene tutt'ora offerto nei forum underground, insieme ai bitcoin come metodo sicuro di riscossione del riscatto, i cybercriminali sono attratti sempre più da questo modello di business.

Maturità del ransomware come catalizzatore per le campagne di estorsione digitale

Se è vero che l'evoluzione delle tattiche dei cybercriminali nel corso degli anni costituisce un segno premonitore, i cybercriminali punteranno direttamente ai soldi, invece di indurre gli utenti a rendere note le proprie credenziali. Le prime minacce online puntavano con decisione su infostealer e sul malware per dirottare le transazioni bancarie e rubare informazioni private. Successivamente, le minacce hanno iniziato a mascherarsi da soluzioni antimalware (FAKEAV), inducendo gli utenti a scaricare il software e a pagare per riottenere l'accesso ai computer caduti nella trappola. Da quel momento in poi ha iniziato a farsi strada l'emulazione del comportamento del ransomware FAKEAV.

L'attuale successo delle campagne di ransomware, in particolare per quanto riguarda l'estorsione, indurrà i cybercriminali a ottenere consistenti profitti prendendo di mira le persone in grado di garantire il massimo guadagno possibile. Gli aggressori continueranno a ricorrere alle campagne di phishing, con le quali le e-mail contenenti ransomware vengono recapitate in massa affinché una certa percentuale di utenti cada vittima degli attacchi. Punteranno molto in alto, prendendo di mira un'unica azienda, che magari si trova in un ambiente IIoT (Industrial Internet of Things), scatenando un attacco ransomware che creerà disagi nelle operazioni e interesserà la linea di produzione.Abbiamo già assistito a questi comportamenti, in seguito ai massicci attacchi di WannaCry e Petya, e non passerà molto tempo prima che questo diventi l'obiettivo principale della minaccia.

Le estorsioni avranno gioco facile anche dopo l'attuazione del regolamento GDPR. I cybercriminali potrebbero prendere di mira i dati privati tutelati dal regolamento e chiedere alle aziende di pagare un somma di denaro per l'estorsione, piuttosto che rischiare di incorrere in multe fino al 4% del fatturato annuo. Le aziende dovranno pagare il prezzo del riscatto che i cybercriminali potranno stabilire, acquisendo informazioni finanziarie pubbliche e definendo le possibili sanzioni massime imposte dal GDPR alle aziende. Ciò determinerà un aumento dei tentativi di violazione e delle richieste di riscatto. Inoltre, prevediamo che il GDPR verrà usato come tattica di ingegneria sociale allo stesso modo in cui in passato furono usate le violazioni di copyright e gli allarmi della polizia, da FAKEAV e dalle campagne di ransomware.

Gli utenti e le imprese possono contrastare questi tentativi di estorsione digitale utilizzando soluzioni di gateway ed e-mail efficaci come prima linea di difesa. Le soluzioni che prevedono elevate capacità di machine learning, monitoraggio del comportamento e schermatura delle vulnerabilità impediscono alle minacce di raggiungere l'obiettivo. Queste capacità sono particolarmente vantaggiose nel caso di varianti di ransomware che muovono verso un recapito senza file, in cui non sono presenti payload dannosi o binari che possono essere rilevati dalle soluzioni tradizionali.

I cybercriminali studieranno nuovi modi per violare i dispositivi IoT, per trarne un guadagno.

I massicci attacchi DDoS (Distributed Denial-of-Service) Mirai e Persirai che hanno violato dispositivi IoT, come videoregistratori digitali (DVR), telecamere IP e router, hanno già fatto capire quanto questi dispositivi connessi possano essere vulnerabili e creare disagi. Di recente, si è scoperto che Reaper, la botnet IoT basata sul codice Mirai, viene usata sempre più spesso come strumento per violare dispositivi, anche di produttori diversi.

Prevediamo che, a parte l'esecuzione di attacchi DDoS, i cybercriminali utilizzeranno i dispositivi IoT per creare proxy in grado di offuscare la loro posizione e il traffico Web, considerando che le forze dell'ordine di solito, per effettuare le loro indagini di carattere penale e legale, fanno riferimento agli indirizzi IP e ai registri. Ammassare una vasta rete di dispositivi anonimizzati (con credenziali predefinite e praticamente senza registri) potrebbe fungere da punto di partenza per i cybercriminali che desiderano facilitare le loro attività all'interno della rete violata.

Dovremmo inoltre aspettarci più vulnerabilità IoT sul mercato, dato che molti, se non la maggior parte dei produttori, commercializzeranno dispositivi progettati in modo non sicuro. Questo rischio sarà aggravato dal fatto che applicare patch ai dispositivi IoT potrebbe non risultare semplice come applicarle a un PC. Un dispositivo non sicuro al quale non è stato applicato un programma correttivo o che non è stato aggiornato alla versione più recente potrebbe diventare il punto di accesso alla rete centrale. L'attacco KRACK ha dimostrato che anche la connessione wireless stessa potrebbe risultare problematica per la sicurezza. Questa vulnerabilità colpisce la maggior parte, se non tutti, i dispositivi che si connettono al protocollo WPA2, il che solleva degli interrogativi sulla sicurezza della tecnologia 5G, destinata ad affermarsi negli ambienti connessi.

Dispositivi che saranno presi di mira dai cybercriminali per creare disagi

Con centinaia di migliaia di droni che entrano nello spazio aereo degli U.S.A., la prospettiva di sorvegliare i veicoli aerei può risultare scoraggiante. Prevediamo che i resoconti di incidenti o collisioni riguardanti i droni siano solo all'inizio, in quanto è già stato appurato che gli hacker hanno avuto accesso a computer, hanno trafugato informazioni sensibili e hanno dirottato le consegne. Allo stesso modo, i dispositivi domestici pervasivi come gli altoparlanti wireless e gli assistenti vocali possono consentire agli hacker di determinare le posizioni delle abitazioni e tentare di penetrare al loro interno.

Inoltre, prevediamo che nel 2018 si verificheranno dei casi di biohackeraggio, tramite dispositivi indossabili e medicali. I rilevatori di attività biometriche, come i sistemi di monitoraggio del battito cardiaco e le fasce fitness possono essere intercettati per raccogliere informazioni sugli utenti. Anche i pacemaker hanno evidenziato delle vulnerabilità che possono essere sfruttate per lanciare attacchi potenzialmente fatali.

I responsabili dell'adozione e gli organi preposti al controllo dovrebbero essere consapevoli del fatto che non tutti i dispositivi IoT dispongono della sicurezza integrata, per non parlare di quella rafforzata. I dispositivi possono essere violati, a meno che i produttori non effettuino regolarmente valutazioni dei rischi e controlli di sicurezza. Inoltre, gli utenti sono responsabili dell'impostazione dei dispositivi affinché questi siano sicuri, il che può consistere semplicemente nel cambiare le password predefinite e installare regolarmente gli aggiornamenti del firmware.

Nel 2018 le perdite globali derivanti da truffe di Business Email Compromise saranno superiori a 9 miliardi di dollari.

Secondo l'FBI, le truffe BEC sono state segnalate in oltre cento Paesi e hanno fatto registrare un notevole aumento, pari al 2.370%, delle perdite rilevate tra gennaio 2015 e dicembre 2016. Questi dati non devono sorprendere, in quanto le truffe BEC stanno ai cybercriminali come i furti con scasso stanno ai criminali "offline". Le truffe BEC sono veloci, richiedono poca preparazione e possono far conseguire grandi guadagni a seconda del bersaglio, come lasciano supporre le perdite ufficiali di 5 miliardi di dollari.

Prevediamo che gli incidenti BEC non potranno che aumentare nel 2018, provocando perdite a livello mondiale superiori ai 9 miliardi di dollari*. Continueremo ad assistere a truffe BEC che prendono di mira i dirigenti di azienda per indurli a trasferire somme di denaro. Abbiamo constatato la tendenza all'aumento dei tentativi di attacco con frode agli Amministratori Delegati. È anche interessante notare che, invece di installare keylogger, i truffatori BEC si dedicano al phishing all'interno di file PDF e siti, in quanto le spese necessarie per i servizi di crittografia sono inferiori a quelle dei keylogger. Attraverso il phishing i cybercriminali sono comunque in grado di violare gli account, ma a un costo inferiore.

La semplicità con la quale è possibile venire a conoscenza della gerarchia di un'azienda (questo tipo di informazioni talvolta è disponibile al pubblico sui social media e sui siti Web aziendali) e la brevità delle e-mail consentono di impossessarsi del denaro con relativa facilità. Sulle imprese incombe tuttavia un'altra minaccia di natura finanziaria, che si prevede verrà utilizzata dai cybercriminali che desiderano perpetrare truffe a lungo termine: il Business Process Compromise (BPC). Con il BPC, i cybercriminali imparano a conoscere i processi aziendali, in particolare il reparto finanziario, con l'obiettivo di modificare i processi interni (magari tramite le vulnerabilità della catena di fornitura aziendale) e di trovare una "miniera d'oro". Tuttavia, considerato che è necessaria una pianificazione a lungo termine e un lavoro maggiore, vi sono minori probabilità che nel 2018 il BPC riesca ad affermarsi, a differenza delle truffe BEC, che sono molto più semplici.

Una truffa BEC può essere sventata, se i dipendenti sono formati in modo adeguato, in quanto si basa sull'ingegneria sociale. Le aziende dovrebbero implementare rigidi protocolli sui processi interni, specialmente quando effettuano un qualsiasi tipo di transazione. Le piccole e medie imprese, come pure le grandi imprese, dovrebbero effettuare verifiche multiple, tramite le quali un altro canale di comunicazione consolidato, come quello telefonico, è a disposizione per effettuare un duplice controllo. Per bloccare le minacce BEC potrebbero essere disponibili anche soluzioni Web e gateway che consentono di rilevare con precisione le tattiche di ingegneria sociale e i comportamenti ingannevoli.

*9 miliardi di dollari sono basati sul calcolo della media mensile delle perdite riferite da giugno a dicembre 2016, moltiplicandola quindi per 12. Ciò presuppone solo che vi sia una crescita piatta degli incidenti e delle vittime dovuti alle truffe BEC.

Le campagne di cyberpropaganda verranno raffinate mediante le tecniche collaudate di vecchie campagne spam.

Il triangolo di una notizia falsa consiste in: motivazioni sulle quali si basa la propaganda, social network che fungono da piattaforma per il messaggio e strumenti e servizi utilizzati per consegnare il messaggio. Nel 2018 prevediamo che la cyberpropaganda si diffonderà tramite le tecniche più comuni, ossia quelle che una volta venivano usate per diffondere spam tramite e-mail e Web.

I kit fai da te (DIY) sotto forma di software, ad esempio, possono eseguire lo spamming automatico sui social media. Per l'ottimizzazione dei social media (SMO) è stata adottata anche l'ottimizzazione dei motori di ricerca (SEO) black hat, con una base di centinaia di migliaia di utenti in grado di fornire traffico e numeri a diverse piattaforme. Dalle e-mail di spear-phishing inviate ai ministeri degli esteri all'uso palese dei documenti per screditare le autorità, il contenuto dubbio può diffondersi liberamente e generare movimenti di opinione o addirittura vere e proprie proteste.

Inoltre, le informazioni create ad arte possono mettere le aziende in cattiva luce e addirittura comprometterne le prestazioni e la reputazione. I ricercatori stanno addirittura studiando strumenti di manipolazione audio e video che consentano di creare video realistici per rendere ancor più labile la linea di confine tra ciò che è autentico e ciò che è falso. Le campagne politiche manipolate continueranno ad adottare tattiche subdole e a spostare deliberatamente la percezione pubblica, adottando strumenti e servizi facilmente reperibili sui mercati non ufficiali.

È probabile che le prossime elezioni politiche non saranno immuni dai tentativi di influenzare il risultato elettorale mediante notizie false. L'interesse sarà notevole, anche sulla scia delle elezioni americane di mezzo termine, in quanto i social media possono essere utilizzati per amplificare i messaggi divisivi, come nel caso delle presunte ingerenze nelle ultime elezioni presidenziali U.S.A. e della "fabbrica di troll" che si nasconde dietro un influencer su Twitter.

Ogni volta che una notizia falsa viene pubblicata e ripubblicata, essa diventa familiare per i lettori che ritrovano lo stesso contenuto e la prendono per vera. Distinguere le notizie false da quelle vere risulterà difficile, in quanto i propagandisti utilizzano vecchie tecniche che si sono rivelate efficaci e affidabili.

Le notizie false e la cyberpropaganda continueranno a funzionare nel tempo, in quanto non esiste un modo affidabile per rilevare o bloccare i contenuti manipolati. I siti dei social media, in particolare Google e Facebook, hanno già attuato un giro di vite sulle notizie fasulle che si propagano attraverso feed e gruppi, ma finora questa iniziativa ha avuto uno scarso impatto. Stando così le cose, il vaglio finale della veridicità delle notizie dipenderà comunque dagli utenti. Tuttavia, finché gli utenti non saranno stati istruiti a segnalare le notizie false, esse continueranno a circolare nella rete e a essere fruite da lettori ignari e poco attenti.

Gli autori delle minacce sfrutteranno le tecnologie di machine learning e blockchain per espandere le loro tecniche di elusione.

Conoscere l'ignoto. Questa è una delle promesse fondamentali del machine learning, il processo attraverso il quale i computer vengono addestrati, ma non programmati intenzionalmente. Pur essendo una tecnologia relativamente nuova, il machine learning ha un enorme potenziale. Tuttavia, è già evidente come il machine learning potrebbe non essere il punto di partenza e di arrivo dell'analisi dei dati e dell' identificazione dei significati. Il machine learning permette ai computer di elaborare tantissimi dati. Ciò significa che la sua qualità e accuratezza dipendono dal contesto fornito dalle fonti.

Guardando al futuro, il machine learning diventerà un componente fondamentale delle soluzioni di sicurezza. Se da un lato offre molte possibilità di prendere decisioni più circostanziate e mirate, dall'altro pone una questione importante: il machine learning può essere superato dai malware?

Abbiamo scoperto che il ransomware CERBER utilizza un loader che alcune soluzioni di machine learning non sono in grado di rilevare a causa del modo in cui il malware è strutturato per non apparire dannoso. Questo aspetto risulta particolarmente problematico per il software che utilizza il machine learning (il quale analizza i file senza alcuna esecuzione o emulazione), come nel caso del ransomware UIWIX (un copycat WannaCry), nel quale non era presente nessun file che il machine learning di pre-esecuzione avrebbe potuto rilevare e bloccare.

Magari il machine learning è uno strumento potente, ma non è infallibile. Mentre i ricercatori stanno già esaminando le possibilità offerte dal machine learning per il monitoraggio del traffico e identificando i possibili exploit zero-day, non è irrealistico supporre che i cybercriminali utilizzeranno la stessa capacità per proseguire con la ricerca degli exploit zero-days. È anche possibile ingannare i motori di machine learning, come ha dimostrato la leggera manipolazione della segnaletica stradale che è stata riconosciuta in modo diverso dalle auto a guida autonoma. I ricercatori hanno già dimostrato come i modelli di machine learning presentino dei punti ciechi, che possono essere sfruttati dai malintenzionati.

Anche se il machine learning contribuisce sicuramente a migliorare la protezione, crediamo che non debba assumere il controllo dei meccanismi di sicurezza. Va considerato come un ulteriore livello di sicurezza nell'ambito di una strategia di difesa capillare, non una soluzione definitiva. Una difesa a più livelli con protezione end-to-end, dal gateway all'endpoint, sarà in grado di combattere sia contro le minacce alla sicurezza conosciute che sconosciute.

Un'altra tecnologia emergente, pronta a rimodellare le imprese, è la blockchain. La tecnologia blockchain ha avuto un notevole successo nell'ambito delle criptovalute digitali e come forma di sicurezza "infallibile". Attualmente, numerose iniziative con al centro la blockchain sono già in fase di realizzazione, dalle startup ai giganti del settore tecnologico e finanziario fino a interi governi, con l'obiettivo di rivoluzionare i modelli di business.

La blockchain funziona grazie al consenso necessario tra i partecipanti, il che rende difficile apportare modifiche o alterazioni non autorizzate. Tanti più trasferimenti avvengono, quanto più la serie diventa complessa e poco chiara. Allo stesso modo, questa mancanza di chiarezza può essere vista come un'opportunità da parte di cybercriminali che vogliono migliorare i vettori dei loro attacchi. Sono già riusciti a colpire la blockchain in occasione dell'attacco Ethereum DAO, che ha valutato una perdita di valuta digitale superiore a 50 milioni di dollari.

Come le tecnologie più promettenti che a un certo punto venivano ritenute sicure, il machine learning e la blockchain meritano grande attenzione.

Molte aziende compiranno azioni definitive a riguardo del General Data Protection Regulation solo dopo che verrà avanzata la prima azione legale

Il GDPR entrerà in vigore a maggio 2018 e avrà un notevole impatto sulla gestione dei dati delle aziende che gestiscono i dati dei cittadini UE, anche se queste aziende si trovano al di fuori dell'Europa. Dalla nostra ricerca è emerso che la maggior parte dei dirigenti di livello C (57% del campione ) non si è ancora adeguato al regolamento GDPR, mentre alcuni di loro non sanno cosa siano le PII (informazioni di identificazione personale) e non si preoccupano delle potenziali sanzioni pecuniarie.

I ritardatari considereranno il GDPR sono quando gli organi preposti al controllo imporranno delle sanzioni. I responsabili della protezione dei dati sulla privacy possono interferire con i processi aziendali impedendo alle aziende di elaborare determinati dati. C’è anche la possibilità che vengano portate avanti delle azioni legali, sia da parte delle autorità che dei cittadini stessi.

Ad esempio, Equifax, la credit reporting agency americana, avrebbe dovuto pagare una multa molto elevata, in quanto sarebbero stati interessati anche alcuni consumatori britannici, se la violazione fosse avvenuta dopo l'entrata in vigore del GDPR e non avesse segnalato il caso prima di quando ha deciso di farlo. Una sanzione di notevole entità sarebbe stata inflitta anche a Uber, la multinazionale dei trasporti, che ha dato notizia di una violazione dei dati oltre un anno dopo il fatto. La non conformità con notifica di violazione comporterà multe da parte degli organi preposti al controllo fino a 20 milioni di euro oppure fino al 4% del fatturato annuale globale dell'azienda, con riferimento all'anno finanziario precedente, considerando l'importo maggiore tra i due.

Le aziende che a un certo punto prenderanno atto dell'entrata in vigore del GDPR, pertanto, si renderanno conto dell'importanza di avere a disposizione un funzionario preposto alla protezione dei dati (DPO) dedicato, in grado di gestire l'elaborazione e il monitoraggio dei dati. I DPO sono particolarmente necessari nelle aziende e nei settori in cui vengono gestiti dati sensibili. Le aziende dovranno rivedere la loro strategia in materia di sicurezza dei dati, compresa la classificazione della loro natura e distinguendo i dati dell'UE da quelli associati al resto del mondo.

Gli altri Paesi dovranno recuperare il terreno perduto rispetto ai regolamenti in materia di dati, grazie a un ambito di ampia portata e a sanzioni più severe in caso di inadempienza. La U.S. Food and Drug Administration (FDA) ha già riconosciuto diverse autorità europee di regolamentazione dei farmaci per migliorare le proprie ispezioni. L'Australia si sta attrezzando per varare le proprie leggi di notifica delle violazioni dei dati sulla base della legge Privacy Amendment (Notifiable Data Breaches) Act 2017, mentre la legge Data Protection Bill del Regno Unito è in fase di aggiornamento per renderla conforme alle leggi UE dopo la Brexit. Nel frattempo, l'accordo UE-U.S.A. sulla protezione della privacy dovrà dimostrare la sua applicabilità nonostante le riserve espresse dall'UE.

Le applicazioni e le piattaforme aziendali saranno a rischio manipolazione e vulnerabilità

Nell'ambiente odierno, in cui l'industria 4.0 rende i sistemi e i processi di produzione cyberfisici sempre più interconnessi e definiti dal software, i rischi possono provenire da diverse aree. L'idea di avere un gemello digitale, una copia virtuale o una simulazione della produzione o del processo del mondo reale permette alle imprese di affrontare i problemi di performance che possono presentarsi nelle risorse fisiche reali. Tuttavia, è possibile che la rete di produzione possa essere infiltrata da malintenzionati con l'intento di manipolare il sistema e causare interruzioni operative e danni. Manipolando il gemello digitale stesso, questi malintenzionati possono far sembrare legittimi i processi di produzione, mentre di fatto sono stati modificati.

Inoltre, anche i dati sulla produzione trasmessi direttamente (o indirettamente) tramite i sistemi di esecuzione della produzione (MES) a SAP o altri sistemi di pianificazione delle risorse aziendali (ERP) corrono il rischio di essere violati. Se un dato manipolato o un comando errato viene inviato a un sistema ERP, le macchine possono essere sabotate ed eseguire azioni sbagliate, come ad esempio consegnare un numero impreciso di forniture, trasferire denaro e persino sovraccaricare i sistemi.

I sistemi aziendali non saranno gli unici a essere presi di mira; prevediamo che nel 2018 le falle nella sicurezza continueranno a essere presenti nelle piattaforme Adobe e Microsoft. Tuttavia, l'aspetto interessante sarà il rinnovato interesse verso le vulnerabilità di browser e server.

Per anni e anni sono state prese di mira le vulnerabilità di noti plug-in di browser come Adobe Flash Player, Oracle Java e Microsoft Silverlight. Tuttavia, prevediamo che nel 2018 i punti deboli dei motori JavaScript torneranno a essere quelli dei moderni browser. Dai problemi di arresto anomalo di Google Chrome V8, alle problematiche derivanti dal fatto che Chakra di Microsoft Edge è un software open source, le vulnerabilità dei browser basati su JavaScript nel 2018 saranno ancora più diffuse, considerato l'ampio uso dello script sul Web.

Inoltre, gli aggressori si concentreranno ancora di più sull'utilizzo delle vulnerabilità lato server per diffondere payload dannosi. Prevediamo che l'uso del Server Message Block (SMB) e degli exploit Samba, che diffondono ransomware, sarà ancora più marcato nel 2018. Le vulnerabilità SMB, in particolare, possono essere sfruttate senza alcuna interazione diretta con l'utente. In effetti, una vulnerabilità SMB è stata utilizzata nell'exploit EternalBlue che ha paralizzato molte reti Windows durante gli attacchi ransomware WannaCry e Petya. Allo stesso modo, l'exploit Samba open-source su Linux è in grado di sfruttare le vulnerabilità del protocollo SMB.

Gli attacchi contro i processi di produzione tramite SAP ed ERP significano che le imprese dovranno dare la priorità alla sicurezza delle relative applicazioni. L'accesso alle applicazioni dovrà essere gestito e monitorato, per evitare qualsiasi accesso non autorizzato.

È opportuno che utenti e imprese controllino regolarmente la presenza di aggiornamenti software e applichino le patch non appena vengono rese disponibili. Tuttavia, poiché gli amministratori possono incontrare difficoltà per la distribuzione immediata degli aggiornamenti, è consigliabile integrare nei sistemi la protezione dalle vulnerabilità, in modo tale che le piattaforme siano protette contro le vulnerabilità non ancora protette da patch e quelle zero day. Inoltre, le soluzioni di rete dovrebbero proteggere i dispositivi collegati da potenziali intrusioni attraverso patch virtuali e monitoraggio proattivo del traffico Web.



Affrontare la sicurezza nel 2018

Considerata l'ampia gamma di minacce nel panorama attuale e in quello che si prospetta per il 2018, dalle vulnerabilità al ransomware, passando per lo spam e gli attacchi mirati, l'azione migliore che aziende e utenti possono fare è ridurre al minimo i rischi di violazione, a tutti i livelli.

Migliore visibilità e difesa della sicurezza a più livelli per le imprese

Per combattere le minacce dilaganti e per proteggersi contro quelle future, le aziende dovrebbero adottare soluzioni di sicurezza che assicurino visibilità su tutte le reti e che siano in grado di fornire rilevamento e protezione in tempo reale contro vulnerabilità e attacchi. Qualsiasi potenziale intrusione e compromissione delle risorse sarà evitata grazie a una strategia di sicurezza dinamica, che utilizza tecniche intergenerazionali adatte ai diversi tipi di minacce. Tali tecnologie di sicurezza includono:

  • Scansione in tempo reale. Le scansioni attive e automatiche consentono di rilevare il malware con la massima efficienza e migliorano le prestazioni delle macchine.
  • Reputazione di file e Web. Il rilevamento e la prevenzione del malware tramite la reputazione Web, le tecniche anti-spam e il controllo delle applicazioni proteggono gli utenti dagli attacchi ransomware e dagli exploit.
  • Analisi del comportamento. Il malware e le tecniche avanzate che eludono le difese tradizionali vengono rilevati e bloccati in modo proattivo.
  • Machine learning ad alta fedeltà. Gli input umani, aumentati dai dati relativi all'intelligence sulle minacce, consentono rilevamenti rapidi e difese accurate contro le minacce conosciute e sconosciute.
  • Sicurezza degli endpoint. Un sistema di sicurezza che utilizza funzionalità di sandboxing, rilevamento delle violazioni e sensori endpoint per rilevare attività sospette e prevenire attacchi e movimenti laterali all'interno della rete.

Best practice e protezione duratura per gli utenti finali

Disporre di diversi dispositivi e applicazioni per accedere alle informazioni sta diventando sempre più normale, in un mondo sempre più connesso. Indipendentemente dal dispositivo, dall'applicazione o dalla rete, gli utenti saranno in grado di colmare le lacune relative alla sicurezza grazie a configurazioni adeguate:

Modifica delle password predefinite. È opportuno utilizzare password uniche e complesse per i dispositivi intelligenti, in particolare per i router, al fine di ridurre notevolmente le possibilità che gli aggressori violino i dispositivi

Configurare i dispositivi per la sicurezza. Modificare le impostazioni predefinite dei dispositivi per tenere sotto controllo la privacy e implementare la crittografia per impedire il monitoraggio e l'uso non autorizzato dei dati

Applicare tempestivamente le patch. Aggiornare il firmware alla versione più recente (o attivare la funzionalità di aggiornamento automatico, se disponibile) per evitare vulnerabilità dovute alla mancata installazione di patch.

Difendersi dagli attacchi di ingegneria sociale. Fare sempre attenzione alle e-mail ricevute e ai siti visitati, in quanto possono essere utilizzati per spam, phishing, malware e attacchi mirati.

Imprese e utenti hanno una copertura maggiore se le protezioni adottate sono in grado di coprire l'intero ciclo di vita della minaccia, con più livelli di sicurezza. Dalla posta elettronica al gateway Web, fino all'endpoint, avere una difesa connessa contro le minacce garantisce la massima protezione dalle minacce in continua evoluzione del 2018 e oltre.