Attacchi informatici sempre più difficili da individuare e analizzare. A sottolinearlo gli analisti che nella redazione più aggiornata del Cisco 2015 Annual Security Report che, intervistando Chief Information Security Officers (CISO) e Security Operations (SecOps) di 1700 aziende in nove paesi diversi hanno suddiviso le segnalazioni in due macro cluster di rischio: da un lato le minacce che vengono da malware, virus e infezioniad opera del cybercrime e dall’altro l’incuria dei dipendenti che sempre più spesso costituisce il vero tallone di Achille della sicurezza.
Cybercrime sempre più specializzato
La triade che ha impattato sulla sicurezza delle aziende a livello internazionale? In testa Spam Snowshoe, attacco con cui il criminale informatico invia un ridotto volume di spam a un’elevata serie di indirizzi IP per evitare il rilevamento, creando un’opportunità per sfruttare in diversi modi gli account compromessi.
Seguono gli exploit kit (88%) che sfruttano sempre il canale del web per infiltrare le aziende di attacchi a detoneria.
Flash e JavaScript rimangono un punto dolente per la sicurezza. A fronte dell’innalzamento delle protezioni da parte dei responsabili aziendali, i criminali diventano sempre più elastici e proattivi nel identificare soluzioni che bypassano le protezioni, riuscendo a by passare anche gli strumenti di ingegneria inversa (reverse engineering).
“I criminali informatici sono diventati più abili nello sfruttare i punti deboli nella sicurezza – ha spiegato Jason Brvenik, Principal Engineer, Security Business Group di Cisco –. Abbiamo visto che il 56% di tutte le versioni di OpenSSL sono vulnerabili a Heartbleed e che i principali attacchi sfruttano solo l’1% delle vulnerabilità in un dato momento. Nonostante ciò, meno della metà degli intervistati tra i team di sicurezza utilizza strumenti come l’applicazione delle patch e la gestione delle configurazioni per prevenire violazioni della sicurezza. Anche con le migliori tecnologie di sicurezza, è necessaria eccellenza nei processi per proteggere le organizzazioni e gli utenti da attacchi sempre più sofisticati”.
Utenti distratti o ignoranti
Nella gerarchie delle minacce la mancanza di consapevolezza da parte dei dipendenti aziendali ha un peso rilevante. Gli utenti che scaricano da siti compromessi hanno contribuito ad un aumento del 228% degli attacchi a Silverlight. Solo negli ultimi mesi maladvertising e spam sono cresciuti ambedue del 250%.
Uno dei temi legati ai comportamenti sbagliati degli utenti segnalati dagli esperti sono l’utilizzo di browser non aggiornati (il 10% degli utenti di MS Explorer e il 65% degli internauti che utilizza Google Chrome).
“La sicurezza ha bisogno di un approccio collettivo – ha aggiunto John N. Stewart, senior vice president, chief security and trust officer di Cisco:, dove ognuno contribuisce, dal top management al singolo individuo. Un tempo ci preoccupavamo degli attacchi DoS, oggi della distruzione dei dati. Una volta ci preoccupavamo del furto degli indirizzi IP, oggi del fallimento dei servizi critici. I nostri avversari sono sempre più abili, sfruttano le nostre debolezze e nascondo i loro attacchi in bella vista. La sicurezza deve fornire protezione per tutta la durata di un attacco e la tecnologia è progettata proprio per questo scopo. I servizi online devono essere pensati con questo tipo di reattività, e tutto ciò deve essere fatto adesso con l’obiettivo di proteggere il nostro futuro. Mai come oggi sono necessarie capacità di leadership, cooperazione e responsabilità”.
Condivisione e collaboration tra CISO e SecOps
Gli esperti hanno riscontrato dalle risposte un crescente divario nella percezione che i team di sicurezza hanno delle loro funzionalità. Nel mondo due terzi dei CISO è convinto di aver introdotto in azienda sistemi di protezione altamente efficienti ma non è dello stesso parere il team del SecOps.
Circa il 50% dei CISO, ad esempio, utilizza strumenti standard come l’applicazione di patch e la configurazione per prevenire violazioni alla sicurezza e garantire che siano utilizzate le versioni più recenti e questa strategia non è più sufficiente rispetto alla sofisticazione delle minacce.
Il 55% del SecOPs adotta ancora un metodo consequenziale rispetto a una strategia preventiva, mettendo in quarantena i sistemi mentre eliminano i malware.
La metà delle aziende ha grossissime lacune sul fronte della gestione delle identità e degli accessi.
Gli esperti sottolineano dunque la necessità di adottare best practice condivise, implementando un approccio di tipo collettivo per difendersi dagli attacchi informatici. Chi si occupa della difesa deve imparare che non esiste mai un punto di arrivo ma un processo di miglioramento costante rispetto alla protezione aziendale e alla salvaguardia degli attacchi informatici.