HP pubblica il Cyber Risk Report 2013 ed evidenzia le principali vulnerabilità delle imprese, per quanto concerne la sicurezza generale. L’azienda fornisce inoltre un’analisi delle minacce attualmente in circolazione e dei pericoli in continua evoluzione. Il rapporto annuale è stato realizzato da HP Security Research e contiene una descrizione dettagliata dei principali fattori che nel 2013 hanno contribuito a espandere la superficie di attacco. Tra questi, una maggiore diffusione dei dispositivi mobili, la proliferazione di software poco sicuro e un aumento dell’uso di Java.
Ecco alcuni aspetti importanti dello studio HP Cyber Risk Report 2013: • Sebbene gli studi sulle vulnerabilità continuino a catalizzare l’attenzione, il numero totale di vulnerabilità dichiarate è diminuito del 6% anno su anno, mentre il numero di vulnerabilità gravi è diminuito per il quarto anno di seguito, registrando un calo del 9%. Benché non quantificabile, il calo può indicare che un maggior numero di vulnerabilità non vengono apertamente dichiarate, bensì comunicate al mercato nero ai fini di uno sfruttamento privato e/o malevolo. • Quasi l’80% delle applicazioni esaminate contenevano vulnerabilità radicate al di fuori del codice sorgente. Anche il software codificato da esperti può essere pericolosamente vulnerabile se configurato in maniera non corretta. • Definizioni incoerenti e variabili di “malware” complicano l’analisi dei rischi. In un esame di oltre 500.000 applicazioni mobili per Android, HP ha rilevato discrepanze significative tra il modo in cui i produttori di motori antivirus e di piattaforme mobili classificano il malware. • Il 46% delle applicazioni mobili studiate utilizzano il criptaggio in maniera scorretta. Dal rapporto di HP emerge come spesso gli sviluppatori di applicazioni mobili non utilizzino il criptaggio per salvare dati sensibili nei dispositivi mobili, ricorrano ad algoritmi deboli o utilizzino in maniera scorretta funzioni di criptaggio più potenti, rendendole inefficaci. • Internet Explorer è risultato il software più studiato dai ricercatori della HP Zero Day Initiative (ZDI) nel 2013, e ha rappresentato più del 50% delle vulnerabilità acquisite dal programma. Questo interesse deriva dal fatto che le forze di mercato attirino l’attenzione dei ricercatori sulle vulnerablità di Microsoft e non riflette la sicurezza generale di Internet Explorer. • Le vulnerabilità risultanti dai mancati test erano le più frequenti e dannose per gli utenti di Java. Gli aggressori infatti aumentavano notevolmente lo sfruttamento di Java mirando contemporaneamente a più vulnerabilità note (e “zero day”) in attacchi combinati per compromettere determinati oggetti d’interesse.
Ecco le principali raccomandazioni degli esperti: • Nel mondo di oggi, sempre più soggetto ad attacchi informatici e dove la domanda di software per la sicurezza è sempre più alta, risulta fondamentale eliminare la possibilità di rivelare involontariamente informazioni che potrebbero tornare a vantaggio dei pirati informatici. • Imprese e sviluppatori devono conoscere le trappole per la sicurezza contenute nei framework e in altri codici di terzi, in particolare per le piattaforme mobili di sviluppo ibride. È necessario mettere in pratica rigide regole per la sicurezza per tutelare l’integrità delle applicazioni e la riservatezza degli utenti. • Eliminare la superficie di attacco è impossibile senza sacrificare la funzionalità, ma una giusta combinazione tra persone, processi e tecnologia può consentire alle imprese di contenere al minimo le vulnerabilità legate alla stessa e ridurre notevolmente il rischio generale. • La collaborazione e lo scambio d’informazioni sulle minacce nell’ambito dell’industria della sicurezza aiutano a conoscere meglio le tattiche degli avversari consentendo di adottare una difesa più attiva, di rafforzare le protezioni offerte dalle soluzioni per la sicurezza e di creare un ambiente generalmente più sicuro.
