Trend Micro - Securing Your Journey to the Cloud

one site fits all

Perdite ingigantite, esigenza amplificata di preparazione agli attacchi informatici

X
  • Verifica di sicurezza annuale 2014 di TrendLabs
  • SCARICA IL PDF

2014, L’ANNO PEGGIORE

Il 2014 è stato l’anno delle mega violazioni, delle vulnerabilità refrattarie alle patch e delle fiorenti economie sommerse della criminalità informatica. L’annata ha racchiuso in sé minacce di proporzioni bibliche, le cui conseguenze hanno fatto perdere miliardi alle aziende e sono costate ai clienti una cifra imprecisata in informazioni di identificazione personale smarrite e o rubate.

È stato nel 2014 che il mondo ha assistito alla più grande operazione di hacking, causa di una stratosferica perdita di circa 100 terabyte di dati e di quasi 100 milioni di dollari di danni per Sony Pictures Entertainment Inc. (SPE). “Senza precedenti” e “un crimine senza eguali e ben congegnato” erano sono alcune delle frasi comunemente utilizzate per descrivere la violazione di Sony Pictures in una circolare interna inviata ai dipendenti. L’incidente è stato l’argomento principe sulle prime pagine dei notiziari e ha a sua volta generato altre notizie. I notiziari assomigliavano alle scene di un film, con la vicenda dell’annullamento della distribuzione del film “The Interview” da parte di Sony e i procedimenti di class action avviati dai dipendenti di Sony contro l’azienda. Sono state anzi le azioni legali collettive a fornire i dettagli di ciò è diventato l’intero spettro delle perdite e dell’impatto aziendale di una violazione di sicurezza.

La violazione Sony Pictures non è soltanto un caso esemplare da studiare per le aziende, ma anche per i professionisti IT. Ha dimostrato l’importanza del rilevamento degli intrusi all’interno della rete. La minaccia informatica utilizzata nella violazione, WIPALL, non è eccessivamente sofisticata e per rilevare l’attacco sarebbe bastata una sana conoscenza della rete e delle sue probabili anomalie. Ai professionisti IT viene così rammentato quanto sia cruciale il ruolo di una difesa personalizzata su più livelli all’interno di una rete di grandi dimensioni.

Non dimentichiamo poi come era iniziato il 2014, con la questione non conclusa della violazione dei dati Target nel 2013 che ha interessato più di 100 milioni di clienti. La violazione Target ha segnato l’avvio di uno schema inquietante nell’uso delle minacce informatiche che ha fatto conoscere il 2014 come l’“Anno delle minacce informatiche POS.”

Le violazioni POS stanno per diventare una minaccia massificata, con segnalazioni di incidenti di sicurezza almeno una volta al mese. Gli attacchi POS prosperano grazie alla richiesta continua dei dati delle carte di credito rubate sui mercati sommersi della criminalità informatica. Le nuove varianti delle minacce informatiche POS come Alina sono emerse come evoluzione diretta delle precedenti famiglie di POS RAM scraper come Backoff. Queste nuove varianti sono state usate negli attacchi contro settori di vendita al dettaglio, spedizioni, viaggi e trasporti.

 Cronologia degli incidenti POS RAM Scraping e danni causati nel 2014

Per le aziende prese di mira dalle minacce legate ai POS, le conseguenze possono essere massicce. Anche prima della violazione Sony Pictures e quindi escludendo le perdite, il Ponemon Institute ha rivelato che il costo di una violazione dei dati era già in fase crescente a metà del 2014. Il costo medio pagato per ciascun record smarrito o rubato, contenente informazioni sensibili e riservate, è aumentato di più del 9% passando da 136 dollari nel 2013 a 145 dollari nel 2014.

Ma non sono stati solo i negozianti a trovarsi nei guai. Diversi incidenti legati ai POS nel 2014 hanno dimostrato come i responsabili si siano spostati su obiettivi esterni ai loro soliti centri commerciali o negozi preferendo aeroporti, stazioni della metropolitana e persino parcheggi.

E non aiuta il fatto che molte violazioni di alto profilo siano coadiuvate e assecondate da SQL Injection, Cross Site Scripting (XSS), autenticazione spezzata e altre vulnerabilità prevalenti nelle applicazioni Web. Un numero consistente di utenti digitali è ancora vulnerabile agli attacchi dei criminali che sfruttano i difetti del software più diffuso. Nel 2014 sono state rilevate e segnalate 19 vulnerabilità critiche di applicazioni di grande diffusione come Internet Explorer, Adobe Acrobat/ Reader, Adobe Flash e Java.

Sempre nel 2014 sono emerse numerose e diverse vulnerabilità refrattarie alle patch. Difetti degni di nota come Heartbleed, Shellshock e Poodle hanno messo a rischio di attacchi estesi gli utenti del software e delle piattaforme open source che erano in precedenza considerati sicuri.

“Il software open source ha fama di essere intrinsecamente più sicuro, poiché passa sotto il controllo di più revisori (che hanno quindi maggiori possibilità di individuare eventuali difetti). Ma non è sempre necessariamente così, come hanno dimostrato OpenSSL e Bash”, ha spiegato Pawan Kinger, direttore dei Trend Micro Deep Security Labs.

finestre di esposizione delle vulnerabilitàConfronto delle finestre di esposizione delle vulnerabilità di alto profilo rivelate nel 2014

Anche le vulnerabilità delle piattaforme mobili sono state fonte di grande preoccupazione. Lo scorso anno, i ricercatori hanno scoperto il difetto FakeID, una vulnerabilità capace di consentire alle app dannose di spacciarsi per app legittime che ha colpito circa l’82% degli utenti Android dell’epoca. Analogamente, tutte le versioni Android tranne la 4.4 (KitKat) hanno presentato un difetto complessivo che consente ai criminali informatici di bypassare la Same Origin policy (SOP) di Android. Questo criterio protegge gli utenti Android dagli attacchi di Cross-Site Scripting (UXSS) che possono rubare i dati e i cookie che gli utenti immettono nei siti legittimi. Da allora, la vulnerabilità SOP è stata sfruttata negli attacchi mirati agli utenti Facebook.

In aggiunta al problema del numero crescente di vulnerabilità Android, anche gli utenti iOS hanno le loro belle gatte da pelare. La vulnerabilità iOS Goto Fail ha esposto gli utenti di iOS versione 7 ai criminali informatici che tentavano di ascoltare le sessioni su dispositivo mobile nelle reti condivise.

Abbiamo anche osservato come altri punti deboli dei sistemi mobili mettano a rischio le transazioni bancarie mobili. Attacchi come l’Operazione Emmental hanno infranto la credenza secondo cui l’autenticazione a due fattori tramite SMS è sufficiente a proteggere dalle frodi. Questa specifica operazione ha preso di mira gli utenti di Austria, Svezia, Svizzera e altri paesi europei, concludendo con il Giappone.

Numero di minacce informatiche di banking/finanziarie mobili

Tutte queste vulnerabilità, unite a una cacofonia di vecchio e nuovo tra minacce informatiche, spam e URL dannosi, ha reso più facile ai criminali informatici invadere la vita digitale degli utenti mondiali di Internet. I cattivi continuano a indovinare ciò che è probabile che gli utenti facciano quando usano i social network. Un incremento dell’attività durante le sole feste natalizie ha innescato interessanti esche di social engineering, che hanno condotto a una scoperta inquietante: i ceppi di crypto-ransomware ci sono ancora, si stanno diffondendo in altre regioni e molti di essi di fatto crittografano file anziché fare minacce a vuoto. Ad esempio, gli attacchi di ransomware nella regione EMEA (Europa-Medio Oriente-Africa) hanno utilizzato la consegna di pacchi come un’esca di social engineering durante le feste di Natale per diffondere un file .ZIP infestato dal ransomware. In particolare, la variante ransomware CoinVault è anche stata confezionata con crittografia gratuita per un file per dimostrare alle vittime che i file in ostaggio potevano essere recuperati una volta pagato il riscatto.

Ransomware, minacce informatiche di banking online, app false: tutte queste minacce fanno pensare all’esistenza di economie sommerse della criminalità informatica assetate di informazioni rubate su clienti e aziende. Fiorenti in varie parti del mondo, questi mercati sommersi sono i luoghi in cui hacker e responsabili delle minacce monetizzano le loro campagne e attività dannose online. È un punto di ritrovo virtuale per criminali informatici su Internet dove i malviventi convergono per la compravendita di prodotti e servizi diversi.

Nel 2014, abbiamo assistito allo sviluppo dei prezzi sul mercato globale per i dati personali rubati. Abbiamo osservato come anche i prezzi siano variabili a seconda del mercato. Ad esempio, le credenziali dei conti online in Brasile possono scendere fino a $ 50 mentre in Cina le offerte arrivano a $ 1.627.

Ogni mercato sommerso propone anche una propria specializzazione e i propri servizi distintivi, esclusivi di quel mercato. Il mercato sommerso brasiliano è la più popolare fonte di strumenti per frode bancaria, pagine di phishing e altri prodotti e servizi legati alle frodi. Offre anche servizi di formazione agli aspiranti criminali informatici. Il mercato sommerso russo è noto per i servizi pay-per-install che indirizzano il traffico sui siti dannosi. Nel frattempo, il mercato sommerso cinese vende servizi di attacco DDoS, host/botnet compromessi e altri prodotti e servizi, oltre a strumenti di attacco per dispositivo mobile (software di spamming con SMS, server di SMS e altri).


LE MINACCE CON CUI VIVIAMO

Siamo i testimoni delle tragiche conseguenze dell’incapacità di proteggere i nostri dati digitali. È un costo per tutti in termini di denaro, tempo e vari altri disagi. Acquisite familiarità con le minacce con cui viviamo oggi e sappiate che la consapevolezza è il primo passo verso la protezione.

Trend Micro Smart Protection Network™ ha bloccato un totale di 65.058.972.693 od oltre 65 miliardi di minacce nel 2014.


Di queste minacce, le prime tre famiglie di minacce informatiche sono state SALITY (96 K), DOWNAD (80 K) GAMARUE (67 K). SALITY è una nota famiglia di contaminatori di file, DOWNAD, una famiglia di minacce informatiche worm capaci di sfruttare le vulnerabilità e modificare le voci di registro e GAMARUE, una famiglia con varianti solitamente piazzate da altre minacce informatiche.

Tre famiglie di minacce informatiche nel 3° e 4° trimestre 2014

Attualmente esistono 4.258.825 o 4,3 milioni circa di minacce informatiche Android, circa il triplo del conteggio totale di minacce informatiche Android nel 2013 (1,3 milioni).

Numero cumulativo di minacce informatiche Android per trimestre

 Il numero di minacce informatiche iOS è aumentato dell’80% rispetto al 2013.

Conteggio dei campioni di minacce informatiche iOS

IL COSTO DELLA NONCURANZA

Il 2014 ha messo in luce le ipotesi peggiori dovute alla mancata protezione delle informazioni digitali. È emerso che alcuni sistemi mondiali poggiano su fondamenta precarie date da software con difetti, abitudini digitali non sicure e assenza di attività anti-criminalità informatica.

I consumatori non fanno una piega. Malgrado l’ampia diffusione sulla stampa delle violazioni POS, l’atteggiamento dei consumatori verso la sicurezza è rimasto essenzialmente invariato. In un sondaggio RSA concepito per verificare l’atteggiamento dei consumatori verso lo shopping online e la sicurezza mobile, quasi la metà (45%) ha rivelato di non avere mutato nulla del proprio comportamento nell’uso di carte di debito e credito malgrado la consapevolezza delle violazioni dei sistemi POS dei negozi. Circa 7 intervistati su 10 hanno ammesso di utilizzare la stessa password per più di un dispositivo o sito Web.

“La gente può pensare che le informazioni finanziarie siano i dati più preziosi che possono perdere, ma non è sempre così, afferma il Responsabile delle tecnologie (CTO) Trend Micro Raimund Genes, “Da un certo punto di vista, è più grave se sono i dati personali a venire rubati. Posso cambiare facilmente la mia carta di credito, ma a meno che non traslochi non posso cambiare il mio indirizzo. Né posso cambiare il mio compleanno. Le informazioni di identificazione personale non solo identificano l’utente, ma sono anche spesso difficili, se non impossibili, da cambiare.”

Nel frattempo, le aziende, gli enti pubblici e le organizzazioni che gestiscono enormi quantità di dati sono mastodontici bersagli per gli aggressori. Poiché il costo delle violazioni dei dati è in aumento, le aziende dovrebbero approfittarne per migliorare sensibilmente la propria sicurezza digitale.

A sei mesi dall’inizio dell’anno, un fornitore multinazionale di servizi professionali si è inserito nei dati di 500 dirigenti, esperti di sicurezza e altri del settore pubblico e privato negli USA per scoprire le loro “prassi di sicurezza informatica e lo stato del rischio e della sollecitudine a contrastare le minacce informatiche in evoluzione e gli agenti delle minacce.”

Lo studio ha confermato una verità scomoda che pochi dirigenti sono disposti ad ammettere, e cioè che “mentre gli incidenti di sicurezza informatica si moltiplicano per frequenza e costi, i programmi di sicurezza informatica delle aziende USA non sono in grado di rivaleggiare con la persistenza e l’abilità tecnologica dei loro avversari.”

E allora, che cosa devono fare le aziende?

“Non esiste una soluzione adatta a tutti contro gli attacchi mirati; le aziende devono dotarsi di protezione che possa fornire sensori quando serve, e di personale IT sufficientemente addestrato da riconoscere le anomalie all’interno della rete e agire di conseguenza”, ha dichiarato il Direttore Trend Micro per la sicurezza informatica Ziv Chang.

[Leggete: 7 luoghi dove verificare la presenza di eventuali segnali di un attacco mirato nella vostra rete]

Le forze di mercato sono in movimento a seguito degli effetti su larga scala dello scorso anno. Negli Stati Uniti, sono già in corso di stesura le riforme che dovrebbero spostare il costo della responsabilità nel corso delle violazioni dagli istituti finanziari ai mercanti. Nuove misure come i nuovi standard Europay, MasterCard e Visa (EMV) e gli standard di conformità PCI DSS v3.0 si prevede che aggiornino i sistemi e gli ambienti di pagamento online per proteggersi dagli attacchi legati ai POS.

Inoltre, le ripercussioni di queste violazioni influenzano direttamente il modo in cui il legislatore e i clienti reagiscono alle imprese. A causa delle violazioni, si dice che i clienti delle banche e di altri istituti finanziari siano meno fedeli di quanto non fossero in passato. Ora che l’autenticazione a due fattori è a rischio, cresce la domanda per banche che adottino misure di sicurezza aggiuntive.

“Prendendo in considerazione l’evoluzione delle minacce, le banche devono potenziare i loro processi di verifica per gli utenti online e mobili e implementare l’autenticazione DMARC (DMARC, Domain-based Message Authentication, Reporting and Conformance)”, sostiene Tom Kellerman, Vicepresidente Trend Micro per la sicurezza informatica.

Inoltre, il problema di frammentazione di Android continua a causare ritardi nella fornitura delle patch ai dispositivi mobili, ampliando ulteriormente la finestra di esposizione per un gran numero di utenti Android.

Tutte queste discussioni sulla sicurezza digitale nel 2014 hanno dimostrato quanto possano peggiorare le cose, dalle multinazionali come Sony Pictures ai singoli negozi o alle industrie. A prescindere dalle dimensioni dei dati che gestite, fino a quando sono privi di protezione possono essere un bersaglio dei criminali informatici. Il pericolo è reale ed è ora che le aziende si sveglino.

Poiché i sistemi globali coinvolgono più stakeholder pericolosamente indifferenti, si teme che gli attacchi diventino sempre più sofisticati. Ciò non significa che i criminali informatici smettano di utilizzare le vecchie minacce nei loro attacchi, come si è visto nella violazione Sony e nella scelta del non troppo complesso WIPALL. Al momento, giocare d’azzardo con la sicurezza non è una valida opzione né per i consumatori né per le aziende. Considerati i costi, non c’è molta differenza tra essere noncuranti ed essere incauti.

L’amministrazione pubblica e il settore privato stanno già muovendosi per potenziare le loro misure contro i criminali informatici. Ma attenzione, perché non esiste una pallottola d’argento fatale per bloccare le minacce e promuovere la sicurezza. Un sistema di difesa personalizzato su più livelli in grado di capire a fondo le minacce a specifici bersagli è ancora il modo migliore per consumatori e aziende di garantire la sicurezza.

Verifica di sicurezza annuale 2014 di TrendLabs: perdite finanziarie consistenti e danni irreparabili alla reputazione da perdita di enormi quantità di dati riservati carpiti dagli aggressori sono stati in grande spolvero nel 2014. La gravità degli attacchi e i loro effetti hanno rivelato una cosa: che il rischio di diventare la prossima vittima di un attacco informatico è aumentato.

Il panorama della sicurezza del 2014 è parso essere uno dei più duri in termini di gravità e di impatto. Un sistema di difesa personalizzato su più livelli in grado di capire a fondo le minacce a specifici bersagli è ancora il modo migliore per consumatori e aziende di garantire la sicurezza.

2014, L’ANNO PEGGIORE
Ulteriori informazioni
2014, L’ANNO PEGGIORE
Ulteriori informazioni
Il 2014 è stato l’anno delle mega violazioni, delle vulnerabilità refrattarie alle patch e delle fiorenti economie sommerse della criminalità informatica.
LE MINACCE CON CUI VIVIAMO
Ulteriori informazioni
LE MINACCE CON CUI VIVIAMO
Ulteriori informazioni
Siamo i testimoni delle tragiche conseguenze dell’incapacità di proteggere i nostri dati digitali.
IL COSTO DELLA NONCURANZA
Ulteriori informazioni
IL COSTO DELLA NONCURANZA
Ulteriori informazioni
Il 2014 ha messo in luce le ipotesi peggiori dovute alla mancata protezione delle informazioni digitali.