Cisco Midyear Security Report, l’evoluzione delle minacce online

Cisco Midyear Security Report

Secondo il Midyear Security Report di Cisco gli attacchi informatici sono sempre più sofisticati e stanno guidando l’evoluzione delle piattaforme adattate da “difensori” e “attaccanti”.
Il recente studio Cisco, che analizza le informazioni sulle minacce e le principali tendenze del settore della sicurezza informatica, punta quest’anno l’attenzione sulla necessità che le aziende riducano i tempi di rilevamento delle minacce (TTD: time to detection) per poter rimediare agli attacchi sofisticati perpetrati da attori sempre più motivati. Il Kit Exploit Angler rappresenta il tipo di minaccia più comune che metterà alla prova le aziende mentre l’economia digitale e l’Internet of Everything (IoE) favoriranno la nascita di nuovi vettori di attacco e opportunità di guadagno per gli hacker.

Lo studio indica, inoltre, come i nuovi rischi connessi con Flash, l’evoluzione di ransomware e le campagne del malware mutante Dridex, contribuiscano a rafforzare la necessità di ridurre i tempi per il rilevamento. Con la digitalizzazione del business e il concretizzarsi dell’IoE, il malware e le minacce diventeranno ancora più pervasivi, aleggiando come un’ombra minacciosa sui tempi medi di rilevamento segnalati dal settore tra i 100 e i 200 giorni. Basti pensare che il TTD medio con Cisco Advanced Malware Protection (AMP) – analisi retrospettiva degli attacchi inclusa – è di 46 ore, posizionandosi ai vertici del mercato.

Cisco Midyear Security Report, l'evoluzione delle minacce online

Stefano Volpi, Area Sales Manager, Global Security Sales Organization (GSSO) di Cisco
Il report lo dimostra chiaramente: gli hacker sono diventati ancora più scaltri e veloci, innovativi e intraprendenti sia che si tratti di attacchi che coinvolgono stati-nazioni, di malware, exploit kit o ransomware. Parallelamente, noi vendor ci stiamo impegnando per combatterli in tempo, prima che i danni di una compromissione assumano criticità rilevanti. Un approccio puramente preventivo si è dimostrato inefficace ed è impensabile accettare un tempo di rilevamento di centinaia di giorni. Le aziende devono investire in tecnologie integrate e con un processo continuativo affinché i tempi di rilevamento e bonifica si riducano a poche ore già oggi e a minuiti nel prossimo futuro. Cisco è certamente all’avanguardia, proponendo, da tempo, una piattaforma integrata in grado di anticipare l’innovazione e la crescita economica a livello globale.

I risultati dello studio sottolineano la necessità da parte delle aziende di implementare soluzioni integrate superando l’approccio che prediligeva l’acquisto di singoli prodotti, di affidarsi a vendor affidabili e di ingaggiare fornitori di servizi di sicurezza per consulenza e assessment. Inoltre, gli esperti geopolitici hanno dichiarato che per sostenere la crescita economica è necessario un framework di governance globale.

Tra i risultati principali dello studio, emergono i seguenti:

– Angler: avversari che strisciano nell’ombra – Angler è attualmente uno dei kit exploit più sofisticati e diffusi grazie al modo innovativo in cui riesce a sfruttare le vulnerabilità di Flash, Java, Internet Explorer e Silverlight. E’ anche in grado di eludere il rilevamento facendo ricorso a una tecnica denominata “domain shadowing”, una delle principali tecniche utilizzate per sfruttare le credenziali di dominio degli utenti.
– Torna l’interesse per Flash – sta aumentando lo sfruttamento delle vulnerabilità di Adobe Flash, come si è potuto vedere nei kit exploit Angler e Nuclear. Ciò è dovuto alla mancanza di patch automatizzate, oltre al fatto che gli utenti stessi tendono a non effettuare gli aggiornamenti immediatamente.
Nel corso del primo semestre 2015, è stato registrato un aumento del 66% nel numero di vulnerabilità Adobe Flash Player segnalate da Common Vulnerabilities and Exposure (CVE) rispetto all’intero 2014. A questo ritmo, Flash sta per raggiungere il record assoluto del numero di CVE segnalate nel 2015.
– L’evoluzione di Ransomware – Ransomware rimane altamente redditizio per gli hacker che continuano a rilasciare nuove varianti. Si tratta di attacchi che sono maturati al punto da essere completamente automatizzati ed eseguiti attraverso il dark web. Per nascondere alle forze dell’ordine le tracce dei pagamenti, i riscatti sono pagati in moneta virtuale, come i bitcoin.
– Dridex: campagne in corso – Dridex: Campagne sul Fly – i creatori di queste campagne mutanti hanno una comprensione sofisticata di come eludere le misure di sicurezza. Tra le loro tattiche di evasione, gli aggressori cambiano rapidamente il contenuto delle e-mail, gli user utilizzati, gli allegati e i contenuti e lanciano nuove campagne, costringendo i sistemi antivirus tradizionali a rilevarli nuovamente.

La corsa all’innovazione tra i fornitori di sicurezza e i loro avversari sta accelerando, esponendo gli utenti finali e le organizzazioni a un rischio maggiore. I vendor devono essere vigili nello sviluppo di soluzioni di sicurezza integrate che aiutino le organizzazioni a essere proattive, con un giusto dosaggio di persone, processi e tecnologia.
Protezione integrata dalle minacce – Le aziende si trovano ad affrontare sfide sempre più impegnative con soluzioni basate su singoli prodotti e devono cambiare approccio prendendo in considerazione un’architettura integrata di difesa dalle minacce basata su un approccio security everywhere, in grado di essere applicata in qualsiasi punto di controllo.

I servizi a colmare il divario – Di fronte ad un mercato della security oggi più frammentato, a un panorama delle minacce quanto mai dinamico e ad una crescente carenza di talenti qualificati, le imprese devono investire in soluzioni di sicurezza efficaci e soprattutto supportate da servizi professionali sostenibili e affidabili.

Framework di governance globale informatico – La governance globale informatica non è pronta a gestire il panorama delle minacce che si sta concretizzando e neppure le sfide geopolitiche. La questione dei confini – come i governi raccolgono dati sui cittadini e le imprese e li condividono tra le giurisdizioni – è un ostacolo importante al raggiungimento di una governance informatica coerente proprio per la limitata cooperazione a livello globale. Un framework di collaborazione governance informatica è quanto mai oggi necessario per sostenere l’innovazione e la crescita economica a livello globale.

Vendor affidabili – per poter essere considerate affidabili le aziende dovrebbero esigere dai propri fornitori di tecnologia una maggiore trasparenza e la capacità di dimostrare i parametri di sicurezza inclusi nei loro prodotti. Ogni azienda, per il proprio settore di appartenenza, dovrebbe portare questo concetto in tutti gli aspetti dello sviluppo dei prodotti a partire dalla catena di approvvigionamento e attraverso tutti i passaggi della catena produttiva. Esigendo, inoltre, che gli aspetti relativi alla sicurezza siano ben chiariti nelle procedure contrattuali.