I Websense Security Labs rilasciano il Threat Report 2015, lo studio che analizza l’evoluzione delle tendenze di attacco informatico, le tattiche e le vulnerabilità nella difesa. Il rapporto esamina come gli autori delle minacce stiano incrementando funzionalità sempre più efficaci attraverso l’adozione di strumenti all’avanguardia, piuttosto che incrementare la propria competenza tecnica. Catene di redirect, riutilizzo di codice e una miriade di altre tecniche consentono oggi a questi attori di rimanere anonimi, rendendo l’attribuzione sempre più lunga, difficile e in ultima analisi, inaffidabile. L’impiego diffuso di standard obsoleti al posto di opzioni nuove e più sicure continua a lasciare i sistemi vulnerabili ed esposti. Le minacce si espandono nella struttura stessa della rete, a partire dai codici di base Bash, OpenSSL e SSLv3, che contribuiscono a rendere l’infrastruttura fragile.
Charles Renert, vice president of security research di Websense
Le minacce informatiche nel 2014 combinavano nuove tecniche con le vecchie, con conseguenti attacchi altamente evasivi che hanno determinato un rischio significativo per il furto di dati. In un momento in cui malware-as-a-service (MAAS) significa sempre più autori di minacce informatiche, che hanno gli strumenti e le tecniche a disposizione per violare le difese aziendali, la possibilità di effettuare rilevazioni in tempo reale attraverso l’intera catena d’attacco diventa un’assoluta necessità.
Il Threat Report 2015 dei Websense Security Labs ha evidenziato in dettaglio otto principali tendenze comportamentali e tecniche, insieme a informazioni e suggerimenti utili per aiutare i professionisti della sicurezza a pianificare la loro strategia di difesa della rete. Ecco gli aspetti principali:
Fare Cybercrime è diventato più facile: In questa epoca di MAAS, anche autori di minacce del tutto alle prime armi possono creare e sferrare con successo attacchi mirati al furto di dati, a causa di un accesso sempre più semplice all’utilizzo di exploit kit in affitto, Maas, e altre opportunità di acquisto o noleggio di porzioni o di un intero attacco informatico complesso e pluri strutturato. Oltre a un più facile accesso a strumenti all’avanguardia, gli autori di malware sono anche in grado di mescolare nuove tecniche con le vecchie, con la conseguente creazione di tecniche altamente evasive. Così, mentre il codice sorgente e l’exploit potrebbero essere minacce uniche ed avanzate, gran parte delle altre tecniche utilizzate negli attacchi vengono ricliclate e riutilizzate dagli elementi criminali. Ad esempio:
– Nel 2014, il 99,3 per cento dei file malevoli utilizzava un URL di comando e controllo (C&C) che era stato utilizzato in precedenza da uno o più malware. Inoltre, il 98,2 per cento degli autori di malware hanno utilizzato C&C identificato in altri cinque tipi di malware.
Qualcosa di nuovo o Déjà Vu?: gli autori di minacce informatiche sono soliti mescolare tattiche obsolete, quali ad esempio le macro in e-mail indesiderate, con nuove tecniche di evasione. Vecchie minacce vengono “riciclate” all’interno di nuove minacce lanciate attraverso canali e-mail e web, sfidando le difese più robuste. L’Email, il principale vettore di attacco di un decennio fa, rimane un veicolo molto potente per l’invio della minaccia, nonostante il ruolo ormai dominante del web negli attacchi informatici. Ad esempio:
– Nel 2014, l’81 per cento di tutte le email scansite da Websense sono state identificate come malevole. Questo numero è in crescita del 25 per cento rispetto all’anno precedente. Websense inoltre ha rilevato che il 28 per cento dei messaggi e-mail malevoli sono stati inviati prima che una signature anti-virus fosse resa disponibile.
– I Websense Security Labs hanno identificato più di 3 milioni di allegati e-mail con delle macro embedded nei soli ultimi 30 giorni del 2014.
Digital darwinismo – Sopravviveranno le minacce in continua evoluzione: gli autori delle minacce informatiche si sono concentrati sulla qualità dei loro attacchi, piuttosto che sulla quantità. I Websense Security Labs hanno osservato 3.9 milioni di minacce alla sicurezza nel 2014, il 5,1 per cento in meno rispetto al 2013. Eppure, le numerose violazioni di aziende altamente critiche insieme agli ingenti investimenti in security, attestano l’efficacia delle minacce dello scorso anno.
Gli aggressori hanno reinventato la metodologia di attacchi per ridurre la visibilità delle minacce. Lo hanno fatto seguendo in maniera sempre meno lineare la tradizionale catena di attacco (Kill Chain). Gli attacchi sono più difficili da rilevare se alcuni stadi vengono saltati, ripetuti o applicati solo parzialmente, riducendo così la visibilità della minaccia stessa. Un’attività varia fortemente se svolta in una diversa fase della catena di attacco. Così come l’attività di spam si concentra sulle prime fasi della catena, altre fasi della catena subiscono diverse attività malevole. Alcune fasi hanno visto un maggior numero di attività; altre ne hanno rilevate molto meno rispetto all’anno precedente.
– Ad esempio, le e-mail sospette sono aumentate del 25 per cento anno su anno, i dropper file sono diminuiti del 77 per cento, l’attività di call home è aumentata del 93 per cento e l’utilizzo di exploit kit è calato del 98 per cento, mentre l’attività di malicious redirect è rimasta invariata.
Evitare la trappola dell’attribuzione: E’ particolarmente difficile fare una corretta attribuzione di un attacco informatico, data la facilità con cui gli hacker possono falsificare le informazioni, aggirare la registrazione e il monitoraggio o comunque rimanere anonimi. Spesso un’analisi delle stesse prove circostanziali può portare a conclusioni molto diverse. Molto meglio utilizzare tempo prezioso per concentrarsi su come rimediare ad un attacco.
Elevare il QI dell’IT: Con un ammanco mondiale previsto di 2 milioni di professionisti della sicurezza qualificati entro il 2017, a meno di nuovi approcci per l’utilizzo di risorse e l’adozione della tecnologia, è inevitabile che le organizzazioni saranno facilmente sconfitte dai loro avversari criminali.
Insight sugli insider: le minacce interne continueranno ad essere tra i maggiori fattori di rischio per il furto di dati, sia quando derivano da azioni accidentali, sia malevole da parte dei dipendenti.
Infrastrutture fragili: il 2014 ha visto il panorama delle minacce espandersi nell’infrastruttura di rete stessa, ad esempio vulnerabilità nascoste sono state rinvenute all’interno dei codici di base Bash, OpenSSL, SSLv3 e altri che sono stati in uso per decenni.
IoT – Moltiplicatore delle minacce: L’Internet of Things (IoT) aumentera’ esponenzialmente l’esposizione agli attacchi, poichè la crescita di dispositivi connessi è stimata tra 20 e 50 miliardi entro il 2020. IoT offre connettività ed applicazioni inimmaginabili, ma la facilità di implementazione e il desiderio di innovare spesso non tengono conto dei problemi di sicurezza.