Florian Malecki, international product marketing director di SonicWall, commenta il Threat Report rilasciato dall’azienda e ci racconta le tendenze più diffuse in ambito security.
– La sicurezza è uno degli elementi fondamentali per garantire l’operatività delle aziende moderne, quali macro trend avete evidenziato nel breve periodo, per quanto riguarda le minacce e gli attacchi più diffusi?
Sarebbe scorretto dire che il panorama delle minacce si è contratto o ampliato nel 2016 – piuttosto sì è evoluto e modificato. Diversamente dagli anni scorsi, SonicWall ha visto il volume di campioni unici di malware raccolti scendere a 60 milioni rispetto ai 64 milioni del 2015, registrando una riduzione del 6,25 percento. I tentativi di attacco malware sono diminuiti per la prima volta in tanti anni passando a 7,87 miliardi dagli 8,19 miliardi del 2015.
Inoltre, l’implementazione di sistemi POS chip-based sembra aver raffreddato l’interesse dei cyber criminali verso gli attacchi POS che hanno registrato una riduzione dell’88% dal 2015.
L’applicazione delle leggi e le cyber investigation hanno portato a una parziale scomparsa di tre exploit kit che spopolavano a inizio 2016—Angler, Neutrino e Nuclear. Mentre il traffico cifrato Secure Sockets Layer/Transport Layer Security (SSL/TLS) ha continuato ad aumentare in volume, indicando un trend complessivo positivo in termini di sicurezza online.
Tuttavia il SonicWall GRID Threat Network ha identificato una crescita esponenziale nel numero di attacchi ransomware che sono passati dai quasi 4 milioni del 2015 a 638 milioni nel 2016, segnando un aumento di 167 volte anno su anno. Questi attacchi sono stati perpetrati tipicamente tramite campagne di phishing e nascosti utilizzando la cifratura SSL/TLS. La crescita del ransomware-as-a-service (RaaS) ha facilitato l’accesso e l’implementazione di ransomware da parte dei cyber criminali.
I team di sicurezza hanno dovuto far fronte anche all’evoluzione di alter minacce. I dispositivi Internet of Things (IoT) sono stati compromessi su larga scala e utilizzati per dare luogo ad attacchi distributed denial-of-service (DDoS) e i cyber criminali hanno trovato nuovi modi per compromettere i device Android con attacchi overlay, nonostante gli aggiornamenti al sistema operativo.
– Il fenomeno ransomware rientra ormai da tempo tra quelli più pericolosi per aziende e utenti finali. Quali meccanismi di attacco vengono utilizzati dai criminali? Avete evidenziato cambiamenti nella strategia di attacco?
La spaventosa crescita del ransomware nel 2016 non assomiglia a nulla di quello che abbiamo visto negli ultimi anni. Il SonicWall Global Response Intelligence Defense (GRID) Threat Network ha identificato una crescita negli attacchi che sono passati da 3,8 milioni nel 2015 a 638 milioni nel 2016. I bassi rischi e l’elevata possibilità di successo lo rende la scelta primaria per tutti coloro che desiderano ricavare dei soldi. Inoltre, la crescente domanda di capacità di attacco da parte di attori globali, ha trasformato il ransomware-as-a-service in un’economia parallela inondando il mercato nero con pacchetti in vendita a importo fisso oppure come percentuale del guadagno.
L’aspetto più interessante della crescita del malware è che indica che comportamento e tattiche degli hacker stanno cambiando. La prima linea di difesa delle imprese è efficace per respingere attacchi diretti e nel tentativo di trovare vettori più interessanti gli hacker hanno sequestrate quella che prima veniva considerate una misura protettiva – cifratura del browser e del traffico email. Questo ha portato a una recrudescenza degli exploit kit che contengono phishing, malicious advertising, worm, downloader e altre minacce integrate in pacchetti cifrati quali pagine web e email private. Utilizzando HTTPS e email encryption, queste minacce possono facilmente accedere alla rete aziendale e rimanervi non identificate da firewall e sistemi di threat monitoring tradizionali. Da questo nasce la domanda di funzionalità deep packet inspection (DPI) e secure socket layer (SSL)/ transport layer security (TLS) da parte delle imprese. Questa esigenza rappresenterà un elemento di differenziazione significativo per i security provider.
Ci sono anche altre minacce: sistema senza patch e un utilizzo sconsiderato di dispositivi esterni continuano a causare problemi. Questa vettori più tradizionali sono ancora efficaci perché le imprese non formano i dipendenti circa l’uso di questi dispositivi aziendali – o anche quelli personali – all’interno della rete aziendale per accedere a contenuti da fonti non autorizzate.
– L’IoT e l’Industry 4.0 stanno aprendo scenari impensabili sino a qualche anno fa, sia in termini di opportunità, sia per quanto riguarda lo sviluppo delle nuove minacce. Quali tendenze avete rilevato in questo settore? Cosa proponete per garantire una difesa proattiva ai vostri clienti?
Con l’integrazione nei componenti chiave delle nostre vite private e lavorative, i dispositivi IoT hanno rappresentato un interessante vettore di attacco per i cyber criminali nel 2016. E sono aumentati per svariati motivi.
Gli sviluppatori IoT e le start-up sono sotto pressione per battere i concorrenti sul mercato e questo ha fatto sì che lanciassero sul mercato dispositivi che non disponevano di avanzate funzionalità di sicurezza. Questa stessa mancanza non prepone all’utente di modificare di password rispetto a quella di default. Inoltre, quando i cyber criminali scoprono una falla nel firmware di un device sono in grado di sfruttarla all’infinito perché raramente il produttore dispone di un team dedicato all’aggiornamento e al patching di questi problemi o informa gli utenti dell’accaduto. Senza normative, line guide o responsabilità per i produttori di dispositivi IoT, questo settore è un vero e proprio parco gioco per i cyber criminali.
Queste falle nella sicurezza hanno permesso ai malintenzionati di lanciare il più esteso attacco distributed denial-of-service (DDoS) della storia nel 2016. Anche se il costo esatto dei numerosi attacchi di alto profile perpetrati nel 2016 non è stato reso noto, si stima che gli attacchi DDoS attacks costino alle aziende in media $22,000 al minuto, con un costo che può arrivare a $100,000 al minuto. Visto che l’attacco DDoS medio dura 6 ore, l’impatto finanziario può essere enorme.
Per evitare che i dispositivi IoT vengano coinvolti in un attacco DDoS, bisogna accertarsi che siano dietro a un next-generation firewall che cerca malware IoT-specifico come Mirai. È inoltre fondamentale segregare tutti i device IoT in rete nel caso uno di essi venga compromesso.
– In ambito mobile, Android figura quale ambiente operativo più attaccato, quali sono le minacce più rilevanti per smartphone e tablet?
Non c’è dubbio che Google ha lavorato molto nel 2016 per eliminare le vulnerabilità e gli exploit sfruttati dai cyber criminali contro Android in passato. Nel primo trimestre abbiamo visto l’adozione lenta ma costante del nuovo sistema operativo Android, Android Marshmallow 6.0, che disponeva di funzionalità di sicurezza aggiuntive, compreso un nuovo approccio alla concessione di permessi, più frequenti patch e cifratura full-disk. Google ha poi lanciato Android 7.0 Nougat, che integrava alter misure di sicurezza.
Tuttavia i malviventi si sono avvalsi di nuove tecniche per superare queste migliorie:
• Hanno sfruttato gli screen overlay per rubare informazioni di login e altri dati. Mentre in passato erano stati utilizzati per chiedere dei riscatti alle vittime di ransomware, nel 2016 le hanno impiegate per mimare schermate legittime e indurre gli utenti a inserire dati sensibili. Quando Android ha risposto con nuove misure per contrastare gli overlay, gli attacker le hanno raggirate chiedendo agli utenti di abilitarne l’uso.
• Il malware HummingBad ha bombardato le vittime di dispositivi Android con un numero infinito di pubblicità. Mentre il focus di HummingBad sembrava essere quello di generare fatturato con ad click accidentali, in realtà il malware dava ai malviventi root access ai dispositivi, dando così luogo alla possibilità di portare avanti attacchi più sinistri.
• DressCode ci ha fatto assaggiare il sapore di un malware Android aziendale. SonicWall ha osservato la minaccia su diverse app Android che utilizzano il protocollo Socket Secure (SOCKS) per stabilire una connessione con il command and control server del malvivente, trasformando il device in un proxy. In questo modo è possibile bypassare i firewall aziendali e accedere a qualunque risorsa connessa al dispositivo compromesso.
– Apple iOS è spesso considerato dagli utenti come “inattaccabile”, che tipologia di minacce avete riscontrato su questo tipo di sistema operativo?
Anche se molti ritengono Apple iOS non attaccabile, in realtà non è così. È più difficile lanciare un attacco efficace su Apple iOS per via della struttura walled garden dell’Apple App Store e di funzionalità software integrate come Erase Data – che elimina tutti i dati sul dispositivo dopo 10 tentativi di password falliti. Anche da un punto di vista economico gli attacchi Android sono molto più profittevoli. Android guida il mercato con circa l’80% di share. Con maggiori possibilità di successo e un maggior numero di target disponibili, gli hacker continueranno a puntare allo sviluppo di malware per Android piuttosto che per Apple iOS.
– Cyber-war, se ne parla sempre più spesso ma la percezione effettiva degli attacchi su scala globale sfugge ai cittadini e alle piccole realtà. Quale osservatore privilegiato, quali sono gli aspetti cruciali di un simile fenomeno che avete potuto constatare?
A mano a mano che la cybersecurity entra in una nuova era di breach prevention automatizzata, e non solo breach detection, le società di sicurezza potrebbero iniziare ad avere più successo nella corsa agli armamenti. Ma sta in realtà alle aziende assicurarsi di essere pronte al conflitto. L’obiettivo del SonicWall Annual Threat Report è quello di definire il campo di battaglia affinché imprese e individui possano dare vita a una difesa impenetrabile nel 2017 e oltre.