“Se una vigile e provvida paura è la madre della sicurezza”, come sosteneva Edmund Burke, è però opportuno non cedere a un incontrollato allarmismo in materia di sicurezza informatica, diventando piuttosto coscienti e preparati sui cyber rischi. Ci aiuta a farlo David Gubiani, Security Engineering Manager Italy di Check Point , con cui abbiamo parlato di minacce e difesa dai malware più diffusi, per i sistemi informatici aziendali, in ambito mobile e cyberspionaggio.
=> Guida alla sicurezza dei dati in azienda
Situazione Italiana
Sulla base dei dati di threat intelligence contenuti nella ThreatCloud World Cyber Threat Map – che monitora come e dove si svolgono i principali cyberattacchi a livello mondiale e in tempo reale – Check Point ha stilato a ottobre una ranking list in cui l’Italia è risultata il quarantesimo Paese più attaccato al mondo, quarta in Europa dopo Lussemburgo, Polonia e Grecia. E le previsioni per il 2016 non sono incoraggianti: Gubiani parla di:
“ondate di minacce, con tecniche ed exploit in continua evoluzione, utilizzate dai criminali per colpire le aziende italiane”.
Al riguardo, Check Point ha stilato la classifica delle minacce informatiche e dei trend 2016
- Malware Sniper e shotgun: malware “su misura” riescono a superare le barriere di organizzazioni specifiche con metodi di spear phishing e social engeneering subdoli e raffinati, al fine di sottrarre dati target.
- Verso il mobile: gli attacchi ai dispositivi mobili continueranno a diffondersi, offrendo una via di accesso diretta e potenzialmente lucrativa sui dati personali e aziendali.
- Attacchi a infrastrutture chiave: in aumento gli attacchi ai sistemi SCADA che controllano processi e infrastrutture critiche, che sempre più connesse (invece che opportunamente segregate) faranno aumentare la superficie d’attacco.
- IoT, smart devices e wearable (smartwatch & Co.): piuttosto diffusi ma non adeguatamente protetti, potrebbero costituire occasione di furto di dati sensibili (testi, audio e/o video) e aumentare il rischio di uso improprio o fraudolento.
- Auto e trasporti: nel 2015 è emerso l’hacking sulle automobili, tramite cui il software del veicolo viene colpito da hijack e l’hacker ne assume il controllo; un trend destinato a consolidarsi anche in virtù dei diversi gadget e sistemi connessi presenti sui mezzi di trasporto pubblico.
- Cloud, ambienti virtualizzati e nuovi SO: qualsiasi innovazione tecnologica richiede una specifica attenzione lato security perché, mentre gli utenti hanno meno familiarità con questi sistemi, i cybercriminali li studiano per “bucarli” ancor prima che arrivino sul mercato.
- Threat prevention: sofisticazione e personalizzazione di malware già esistenti e di zero-day che riescono a eludere le tecnologie di sandboxing tradizionali in favore di sandbox CPU.
Al Safer Internet Day (9 Febbraio) Eurostat ha inoltre rivelato che in Europa un utente su quattro ha dovuto affrontare un problema di sicurezza (virus, dati personali sottratti o rubati, frodi con perdite finanziarie online, limitazione nell’uso di servizi web come e-shopping o e-banking…). L’Italia, con il 28%, si colloca nella metà bassa della classifica: negli ultimi cinque anni ha visto dimezzare gli attacchi virus (il 24%) ma comunque resta sopra la media UE (21%).
=> Il Piano di Governo sulla Sicurezza Informatica
Conoscere per difendere
Check Point Software Technologies monitora continuamente la rete mondiale mediante attività di threat intelligence attraverso la ThreatCloudTM. Inoltre, studia il comportamento dei malware noti, meno noti e di nuova concezione, per informare con bollettini e aggiornare le appliance/software di tutti i clienti.
La rete di sensori comprende honeypot spesso localizzati presso clienti ISP o altri nodi strategici, per monitorare il traffico e servire da esca per attacchi da studiare. Alcuni automatismi collegati agli honeypot nella rete Check Point effettuano un primo reverse engineering, ma il lavoro principale e svolto dai circa 1000 ricercatori che utilizzano apposite tecnologie di sandboxing, reverse engineering, code emulation e modellizzazione del malware per capirne il comportamento.
Oltre al codice di esecuzione, sono importanti le istruzioni di Command&Control verso eventuali “IP di servizio” che possono servire per ricevere ulteriori comandi o funzionare da “drop zone” (area calderone dove i malware depositano le info sottratte, n.d.r.).
Per ogni minaccia/malware studiata, si crea una firma per bloccare successive occorrenze dello stesso tipo o famiglia e il risultato si segnala alle autorità.
L’analisi completa può richiedere da poche ore a una settimana o più, in base alla complessità del codice malevolo.
Ogni bollettino contiene descrizione del comportamento e azioni di remediation da implementare, talvolta sono indicate anche utility per la ripulitura del malware dalle dll o dai file interessati.
Il DB dei threat in Cloud è aggiornato costantemente con i risultati di analisi e studi sul malware e lo stesso vale per gli apparati di rete Check Point presso i clienti. Eventuali endpoint, invece, sono aggiornati in modo schedulato.
I servizi di threat intelligence sono disponibili per i soli clienti Check Point mentre il confronto con i tecnici ed esperti dal Blog Check Point è gratuito e aperto a tutti.
Il cyberspionaggio
Check Point ha evidenziato anche attività di cyberspionaggio internazionale mediante analisi e divulgazione sul gruppo “Rocket Kitten”, con possibili legami con il Corpo delle Guardie della Rivoluzione Islamica Iraniano, il cui obiettivo era (e forse è ancora, n.d.r.) colpire organizzazioni e privati in Medio Oriente, Europa e Stati Uniti, utilizzando malware strategici e campagne di phishing. Ulteriore ipotesi è che seguisse la linea di interessi dell’intelligence nazionale, per carpire dati sensibili ai loro obiettivi.
=> Sicurezza nelle PMI a misura di Budget IT
Il problema principale dopo una notizia di questo genere, osserva Gubiani, è che la maggior parte delle PMI non ha ancora ben chiaro il rischio di cyberspionaggio e di come si ripercuota su tutte le aziende. Piuttosto che pensare “non è mai successo alla mia azienda perché dovrebbe accadere ora?”, bisogna capire che in realtà accade spesso di sfruttare altre aziende come tramite o che il malware utilizzato per l’attacco primario possa poi essere indirizzato altrove. Basta pensare al recente caso di Hacking Team.
La lezione da imparare è reagire in modo concreto e rapido, con strumenti adatti a fronteggiare i danni visto che le PMI non hanno personale e mezzi propri, con asset e sistemi operativi spesso vetusti e vulnerabili. In caso di attacco, l’impatto del danno potrebbe non essere recuperabile e causare addirittura la chiusura dell’azienda. In un periodo storico in cui le frodi informatiche stanno diventando più remunerative della droga, anche le PMI devono imparare a difendersi in modo appropriato.
Per approfondimenti: Blog Check Point.