Verizon ha recentemente pubblicato il suo Data Breach Report 2009, che analizza le minacce informatiche più rischiose per le imprese. Come riconoscerle e soprattutto come difendersi? Ce lo spiega Pietro Riva, Sales Manager Southern Europe di Verizon Business.
1. Come giudica il livello generale di sicurezza informatica nelle Pmi italiane?
Come molte aziende in tutto il mondo, anche quelle italiane si trovano oggi ad affrontare tre principali sfide relative alla sicurezza: protezione dell’infrastruttura; protezione dei dati; risoluzione dei problemi relativi a governance, rischi e compatibilità.
2. Il Business Supplemental Data Breach Report 2009 elaborato da Verizon evidenzia gli attacchi più diffusi in azienda. Quali i rischi concreti per le imprese e quali le soluzioni per difendersi dalle prime 5 minacce?
L ‘ ultimo rapporto redatto dagli esperti di sicurezza di Verizon Business intitolato 2009 Supplemental Data Breach Investigations Report: An Anatomy of a Data Breach offre alle aziende un quadro senza precedenti dei 15 attacchi più comuni e delle modalità in cui di solito si svolgono.
Per ogni tipo di attacco il rapporto fornisce scenari del mondo reale, segnali d’allarme, descrizione di come viene orchestrato l’attacco, la modalità di intrusione, quali informazioni sono state acquisite, quali risorse sono state bersaglio di intrusi, quali settori vengono normalmente colpiti e quali sono le contromisure efficaci. In totale il rapporto descrive circa 150 modi per riconoscere e combattere le minacce alla sicurezza.
Di seguito, i cinque principali tipi di attacco identificati e classificati in base alla frequenza e le soluzioni di sicurezza che possono proteggere da tali attacchi.
1) Keylogging e spyware: malware progettato specificamente per raccogliere, monitorare e registrare di nascosto le azioni di un utente di sistema. Soluzioni: limitare i diritti amministrativi degli utenti; firma del codice; uso di CD live boot; password uniche; antivirus e antispyware; firewall personali; filtro e blacklist del contenuto Web; filtro del traffico in uscita (questi strumenti spesso inviano dati all’esterno attraverso porte, protocolli e servizi occasionali); monitoraggio HIDS (Host IDS) o dell’integrità; politiche di esplorazione del Web; training sulla consapevolezza della sicurezza.
2) Backdoor o comando/controllo: strumenti progettati per funzionare in modo nascosto che forniscono accesso remoto o garantiscono il controllo (o entrambe le cose) di sistemi infettati. Soluzioni: filtro del traffico in uscita (questi strumenti spesso inviano dati all’esterno attraverso porte, protocolli e servizi occasionali); blacklist di indirizzi IP (si consideri il blocco di aree di indirizzi di grandi dimensioni se non hanno alcuno scopo aziendale legittimo); monitoraggio HIDS (Host IDS) o dell’integrità; limitare diritti amministrativi degli utenti; firewall personali; strumenti di prevenzione della perdita dei dati; antivirus e antispyware (anche se una personalizzazione avanzata rende gli antivirus meno efficaci, abbiamo scoperto un backdoor che viene riconosciuto solo da uno dei quaranta fornitori di antivirus messi alla prova); politiche di esplorazione del Web.
3) SQL injection: tecnica d’attacco utilizzata per sfruttare il modo in cui le pagine Web comunicano con i database back-end. Soluzioni: pratiche di sviluppo sicure; convalida dell’input (tecniche di escaping e whitelist); utilizzare stored procedure comuni o con parametri; aderire ai principi del numero minimo di privilegi per gli account dei database; rimozione dei servizi non necessari; protezione avanzata dei sistemi; disabilitazione dell’output dei messaggi del database al client; scansione delle vulnerabilità delle applicazioni; test di penetrazione; firewall delle applicazioni Web.
4) Abuso di accesso al sistema/privilegi: abuso deliberato e dannoso di risorse, accesso o privilegi concessi dall’organizzazione a un singolo. Soluzioni: applicare i principi del numero minimo di privilegi; separazione dei compiti; rotazione dei compiti; procedure per eliminare le credenziali dei dipendenti che lasciano l’azienda (ad esempio disattivazione dell’accesso e rivendicazione dei beni aziendali); ridurre al minimo le opportunità di collusione; regole per il tempo di utilizzo; revisione periodica dell’accesso degli utenti; segregazione delle reti; filtro del traffico in uscita; strumenti di prevenzione della perdita dei dati; politiche di utilizzo accettabile che riflettano la tolleranza dei rischi (ad esempio, in caso di requisiti elevati di sicurezza, limitare l’utilizzo di email personali da risorse aziendali e altro ancora); utilizzare account utente univoci.
5) Accesso non autorizzato tramite credenziali di default: casi in cui un intruso accede al sistema o a una periferica protetta tramite password e username standard e preconfigurati (noti a molti). Soluzioni: modificare le credenziali di default (prima della distribuzione); eliminare o disabilitare l’account di default; esaminare le password di default conosciute (dopo la distribuzione); rotazione delle password (perché consente di imporre la modifica di quella di default); inventario dei servizi amministrativi remoti (in particolare di quelli utilizzati da terzi). Per le terze parti: contratti (che definiscano requisiti delle password); prendere in considerazione la condivisione dei compiti amministrativi; esaminare le password di default conosciute (per risorse supportate da terzi). Spesso le password di default vengono utilizzate per ottenere un iniziale punto di ingresso. Gli intrusi sfruttano poi un controllo dell’accesso debole per spostarsi all’interno della rete e trovare dati e sistemi importanti. Di conseguenza, fare riferimento alle soluzioni elencate alla voce Accesso non autorizzato tramite ACL deboli o non configurati correttamente per limitare questa attività.
3. A che punto è la lotta al Phishing? Le aziende hanno imparato a riconoscere le email pericolose?
Gli attacchi phishing variano notevolmente in base a tipo, tattiche e obiettivi. L’email è il mezzo principale ma non l’unico. Alcuni attacchi richiedono che le informazioni vengano inviate tramite risposte ai messaggi ricevuti mentre altri indirizzano i destinatari a un sito Web. Spesso, vengono ampiamente diffusi come Spam, ma esistono tipi mirati come “spear phishing” (rivolti a una particolare organizzazione) o “whaling“” (rivolti a persone importanti o dirigenti).
I dati più a rischio sono credenziali di autenticazione e dati personali. Negli scenari di violazione aziendale, l’obiettivo è solitamente il dipendente. Gli utenti sono l’obiettivo del Phishing, ma lo scopo è ottenere accesso ad altre informazioni o account esterni.
Gli attacchi phishing sono difficili da individuare data la natura quasi tecnica e la capacità di sfruttare le debolezze umane. Tuttavia sono spesso presenti validi indicatori di un attacco di questo tipo, quali comunicazioni non richieste e insolite, istruzioni per fornire informazioni o per effettuare operazioni contrarie alle politiche aziendali, richieste al di fuori del normale flusso di lavoro, grammatica mediocre, un falso senso di urgenza e log email.
I dipendenti possono essere ragguagliati del formato delle email di phishing sospette tramite training interni e politiche e procedure aziendali riguardanti le azioni ufficiali da intraprendere al momento della ricezione. Sono inoltre utili per rilevare questi attacchi training generali sulla consapevolezza della sicurezza, politiche e procedure ben definite, politiche relative all’uso delle email per le funzioni amministrative (ad esempio richieste di modifica delle password e così via) e client di posta configurati per rendere le email html in formato di testo e programmi antispamming.
4. Quali danni può recare l’utilizzo in ufficio di strumenti come instant messenger e social network?
Abbiamo esaminato anche casi relativi all’Istant Messaging (IM), dove ad esempio un dipendente ha collaborato con una parte esterna per mettere in atto una violazione. L’IM è di rado il vettore del malware. Verizon Business non ha mai esaminato violazioni che coinvolgessero i social network.
5. Oltre all’adozione di adeguate soluzioni software e hardware, quali consigli darebbe a una piccola impresa per rendere più sicuri i propri sistemi?
I nostri consigli non rappresentano in alcun modo una strategia esauriente per la protezione dei dati aziendali e certamente non possono garantire che non vi saranno rischi. Sono piuttosto una conseguenza dell’esperienza ricavata dall’esame delle centinaia di violazioni e hanno lo scopo di sottolineare aree problematiche specifiche e comuni a molte organizzazioni all’interno del numero di casi dai noi preso in considerazione:
– Revisione account utente. Questo controllo è correlato ai due consigli precedenti, ma vale la pena esaminarlo singolarmente. Le credenziali di default e condivise, un numero crescente (e un numero notevole di record persi) di violazioni che coinvolge privilegi sconosciuti e anni di esperienza ci hanno portato a credere nell’importanza di controllare gli account utente con regolarità. La revisione dovrebbe consistere in una procedura formale di verifica che gli account attivi siano validi, necessari, configurati correttamente e dotati dei privilegi adeguati (preferibilmente del numero minimo di privilegi).
– Procedure di eliminazione credenziali per le risorse umane. Numerose violazioni dell’ultimo anno sono state il risultato di attività dannose da parte di un dipendente che aveva appena lasciato l’azienda o in procinto di farlo. Ogni impresa deve disporre di una politica completa per eliminare le credenziali dei dipendenti che lasciano l’azienda, tale che identifichi le parti responsabili di tale procedura, definisca i diversi elementi che la compongono e i controlli per l’eliminazione dei dati, garantendo il recupero di tutte le proprietà dell’impresa e, in particolare, stabilisca un processo per disabilitare rapidamente gli account utente e rimuovere tutte le autorizzazioni di accesso.
– Strategie di gestione patch più intelligenti. Per ogni vulnerabilità sfruttata da attacchi di hacker e malware nel 2008, la patch necessaria per impedire la violazione era disponibile già almeno sei mesi prima dell’incidente. In realtà, tutte le patch tranne una erano già in circolazione da un anno o anche più. Sebbene sembri logico concludere che le imprese applichino le patch con velocità sufficiente, in realtà disponevano di cicli di applicazione patch ben al di sotto dei sei mesi. I 48 problemi rilevati nei cinque anni di questo studio hanno molto più a che fare con la portata che con la velocità. Le imprese otterrebbero maggiori vantaggi spostando le risorse dall’applicazione rapida delle patch all’applicazione più coerente e globale.
– Abilitazione Application Log e monitoraggio. Riteniamo che molte organizzazioni focalizzino l’attenzione di queste attività di registrazione sui log di rete, di sistema operativo, IDS e di firewall, ma che trascurino servizi di accesso remoto, applicazioni Web, database e altre applicazioni critiche. I log possono rappresentare un set di dati importante per rilevare, ridurre al minimo ed esaminare le violazioni.
