Report annuale di Cisco sulla sicurezza 2014 2 Report annuale di Cisco sulla sicurezza 2014 Riepilogo esecutivo Il problema della fiducia Gli autori di attacchi online e gli altri utenti malintenzionati sfruttano la fiducia delle persone. Approfittano del fatto che in genere gli utenti si fidano dei sistemi, delle applicazioni, delle persone e delle aziende con cui normalmente interagiscono. Il metodo funziona: sappiamo che gli autori degli attacchi escogitano sempre nuovi metodi per inserire il malware nelle reti, sottrarre dati o mettere fuori uso i sistemi importanti senza essere scoperti per molto tempo. Dal furto di password e credenziali con metodi di social engineering alle infiltrazioni invisibili e camuffate eseguibili in pochi minuti, gli autori degli attacchi continuano a sfruttare la fiducia degli utenti per danneggiare persone, aziende o organizzazioni. Il problema della fiducia, tuttavia, va oltre la possibilità dei criminali di sfruttare le vulnerabilità o adescare gli utenti tramite tecniche di social engineering. L'incidenza dei crimini informatici di fatto scalfisce la fiducia degli utenti nei confronti delle organizzazioni pubbliche e delle aziende. Oggi l'affidabilità delle reti viene intaccata sostanzialmente in due modi. In primo luogo i clienti dubitano sempre di più dell'integrità dei prodotti. L'altro aspetto deriva dal fatto che gli autori di crimini informatici sono chiaramente in grado di superare i sistemi di difesa e in questo modo sollevano dubbi sull'affidabilità delle architetture di protezione, autenticazione e autorizzazione delle reti e delle applicazioni. I dati e i risultati della ricerca forniti in questo report di Cisco riguardano i principali problemi di sicurezza, come i cambiamenti del malware, le tendenze delle vulnerabilità e l'aumento dell'incidenza di attacchi DDoS (Distributed Denialof-Service). Vengono inoltre esaminate alcune campagne gli autori degli attacchi continuano a sfruttare la fiducia degli utenti per danneggiare persone, aziende o organizzazioni. condotte contro organizzazioni, aziende, gruppi e settori specifici, illustrando la crescente sofisticatezza dei tentativi di sottrarre informazioni riservate. Il report si conclude con alcuni consigli per esaminare in modo olistico i modelli di sicurezza e ottenere visibilità su tutte le fasi dell'attacco: prima, durante e dopo un attacco. 3 Report annuale di Cisco sulla sicurezza 2014 Risultati principali I risultati principali della ricerca su cui si basa il report annuale di Cisco sulla sicurezza del 2014 sono i seguenti. Gli attacchi contro l'infrastruttura prendono di mira risorse importanti tramite Internet. •G li exploit dannosi consentono di penetrare in server di Web hosting, server dei nomi e data center. Questo suggerisce la formazione di überbot per la ricerca di asset con una buona reputazione e ricchi di risorse. •G li errori di buffer sono una delle principali minacce e rappresentano il 21% delle categorie di minacce CWE (Common Weakness Enumeration). • I rilevamenti di malware stanno aumentando nel settore della produzione di componenti elettronici, in quello agricolo e in quello minerario, con una percentuale media circa sei volte superiore rispetto ai segmenti verticali. Gli autori degli attacchi utilizzano applicazioni attendibili per sfruttare le vulnerabilità del perimetro. • Lo spam continua a diminuire, ma la proporzione di spam con finalità dannose rimane invariata. • Il 91% degli exploit Web riguarda Java. Il 76% delle aziende che utilizzano Cisco Web Security usa Java 6, una versione non supportata e alla fine del ciclo di vita. • Gli attacchi “watering hole” puntano a siti Web di settori specifici per distribuire il malware. Le ricerche condotte su aziende multinazionali dimostrano casi di compromissione interna. Dalle loro reti viene generato traffico sospetto che tenta di connettersi a siti con reputazione dubbia (il 100% delle aziende esegue chiamate a host di malware dannoso). •G li indicatori delle compromissioni suggeriscono che le penetrazioni nelle reti possono passare inosservate per molto tempo. • Il numero degli avvisi sulle minacce è cresciuto del 14% rispetto all'anno precedente; i nuovi avvisi (ovvero, quelli che non costituiscono aggiornamenti di avvisi esistenti) stanno aumentando. •N el 2013 il 99% di tutto il malware per dispositivi mobili aveva come obiettivo i dispositivi Android. Gli utenti Android fanno anche registrare la più alta percentuale di rilevamento (71%) di tutte le forme di malware diffuso tramite il Web. 4 Report annuale di Cisco sulla sicurezza 2014 Contenuto del report Il report annuale di Cisco sulla sicurezza del 2014 esamina quattro aspetti principali della sicurezza. La fiducia Trovare il giusto equilibrio tra fiducia, trasparenza e privacy deve essere una priorità per tutte le aziende e le organizzazioni, perché la posta in gioco è molto alta. A questo proposito, tre fattori rendono ancora più problematici i tentativi dei responsabili della sicurezza di trovare questo equilibrio: •l'ampiezza della superficie esposta agli attacchi •la diffusione e la sofisticatezza dei modelli di attacco •la complessità di minacce e soluzioni. I dati sulle minacce Avvalendosi del più vasto insieme di dati di telemetria dei rilevamenti disponibile, Cisco e Sourcefire hanno analizzato i dati relativi alla sicurezza dello scorso anno e sono arrivati alle seguenti conclusioni: •Gli attacchi contro l'infrastruttura prendono di mira risorse importanti tramite Internet. •Gli autori degli attacchi utilizzano applicazioni attendibili per sfruttare le falle nella sicurezza del perimetro. •Gli indicatori delle compromissioni suggeriscono che le penetrazioni nelle reti possono passare inosservate per molto tempo. 5 Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore In questa sezione, gli specialisti di Cisco Security Intelligence Operations (SIO) esaminano le tendenze del settore della sicurezza che vanno al di là dei dati di telemetria di Cisco, ma che comunque influiscono sulle procedure: i tentativi di accesso “brute-force”, le attività DDoS su vasta scala, la diffusione del ransomware, il maggiore utilizzo del cloud, la carenza di esperti della sicurezza e altre problematiche. I consigli Le principali problematiche delle aziende sono la più ampia superficie esposta agli attacchi, la maggiore diffusione e sofisticatezza dei modelli di attacco e l’aumento del livello di complessità della rete. Molte aziende hanno difficoltà a formulare una visione della sicurezza supportata da una strategia efficace, in grado di utilizzare nuove tecnologie, semplificare l'architettura e le operazioni e aumentare l'efficienza dei team responsabili della sicurezza. Questa sezione spiega come un modello di sicurezza incentrato sulle minacce consenta di tenere sotto controllo tutte le fasi dell’attacco, compresi tutti i vettori di attacco, e di rispondere in qualsiasi momento e in modo continuativo: prima, durante e dopo un attacco. 6 Report annuale di Cisco sulla sicurezza 2014 Metodologia di Cisco per la valutazione del panorama delle minacce Data la rilevanza delle sue soluzioni e l'ampio spettro delle informazioni sulla sicurezza di cui dispone, Cisco svolge un ruolo chiave nella valutazione delle minacce: •16 miliardi di richieste Web sono esaminate ogni giorno tramite Cisco Cloud Web Security •93 miliardi di messaggi e-mail sono analizzati ogni giorno tramite la soluzione Cisco per e-mail in hosting •200.000 indirizzi IP sono valutati ogni giorno •400.000 esempi di malware sono valutati ogni giorno •33 milioni di file endpoint sono valutati ogni giorno tramite FireAMP •28 milioni di connessioni di rete sono valutate ogni giorno tramite FireAMP Queste attività permettono a Cisco di rilevare le seguenti minacce: •4,5 miliardi di messaggi e-mail vengono bloccati ogni giorno •80 milioni di richieste Web vengono bloccate ogni giorno •6.450 rilevamenti in file endpoint vengono effettuati ogni giorno in FireAMP •3.186 rilevamenti in endpoint vengono effettuati ogni giorno in FireAMP •50.000 intrusioni nelle reti vengono rilevate ogni giorno 7 Report annuale di Cisco sulla sicurezza 2014 Sommario La fiducia.. . . . . . . . . . . . . . . . . . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 I nuovi modi di fare business creano nuove vulnerabilità.............................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Gli effetti negativi sulla fiducia.. .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Le principali problematiche della sicurezza per il 2014............................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Sistemi affidabili e trasparenti.. . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 I dati sulle minacce.. ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Aumento degli avvisi sulle minacce.................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Il volume dello spam è in diminuzione, ma lo spam dannoso è ancora una minaccia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Exploit Web: Java al primo posto....................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 BYOD e mobilità: il livello di maturità dei dispositivi favorisce i crimini informatici... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Attacchi mirati: liberarsi degli intrusi persistenti........................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Panoramica del malware: tendenze del 2013......................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Principali bersagli: i segmenti verticali.................................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Le fratture di un ecosistema fragile. . .................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Il traffico dannoso, spesso indizio di attacchi mirati, è rilevato in tutte le reti aziendali. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 La panoramica del settore............................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Tentativi di accesso brute-force: una delle tattiche più diffuse per compromettere i siti Web. . . . . . . . . . . . . . . . . . . . . . . 53 Attacchi DDoS: una vecchia tecnica sempre attuale.. ................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 DarkSeoul.. . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 La carenza di esperti della sicurezza e le lacune delle soluzioni...................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Il cloud come nuovo perimetro......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 I consigli.. . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Obiettivi per il 2014: verificare l'affidabilità e migliorare la visibilità................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Appendice.. . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 I team della sicurezza hanno bisogno di data scientist.. ............................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 L'ecosistema Cisco SIO.................................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Cisco SIO.. . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Nota sul presente documento Software consigliato Il contenuto di questo documento permette di eseguire ricerche e può essere condiviso. Adobe Acrobat 7.0 o versione successiva Questa icona consente di aprire la funzionalità di ricerca in Adobe Acrobat. [ ] Queste icone consentono di condividere il contenuto. 8 Report annuale di Cisco sulla sicurezza 2014 La fiducia Trovare il giusto equilibrio tra fiducia, trasparenza e privacy deve essere una priorità per tutte le aziende e le organizzazioni, perché la posta in gioco è molto alta. 9 Report annuale di Cisco sulla sicurezza 2014 La fiducia I nuovi modi di fare business creano nuove vulnerabilità Gli anelli deboli nella supply chain delle tecnologie sono uno degli aspetti del complesso panorama di minacce e rischi attuale. Un altro aspetto è l'emergenza dell'infrastruttura “any-to-any”, in cui qualsiasi dispositivo, dovunque si trovi, può connettersi a qualsiasi istanza della rete.1 Inoltre, un numero crescente di dispositivi abilitati alla navigazione su Internet (smartphone, tablet e altri tipi) tenta di connettersi ad applicazioni che potrebbero essere in esecuzione altrove, come un cloud SaaS (Software-as-a-Service) pubblico, un cloud privato o un cloud ibrido.2 Persino i servizi di infrastruttura Internet di base sono diventati un bersaglio per gli hacker, che desiderano sfruttare la reputazione, la larghezza di banda, i tempi di attività e la disponibilità continua di server di Web hosting, server dei nomi e data center per portare avanti campagne di attacco di dimensioni sempre più vaste (vedere “Le fratture di un ecosistema fragile” a pagina 43). [ Sebbene le tendenze come il cloud computing e la mobilità stiano riducendo la visibilità e rendendo più complessa la sicurezza, le aziende non possono farne a meno perché sono indispensabili per ottenere un vantaggio competitivo e assicurare il successo del business. Le nuove vulnerabilità si creano perché i team responsabili della sicurezza tentano di allineare soluzioni tradizionali a modi sempre nuovi di fare business. Nel frattempo, i criminali informatici agiscono velocemente per sfruttare le vulnerabilità che le singole soluzioni non integrate non possono risolvere. E ci riescono, perché dispongono delle risorse necessarie per essere più veloci. ] L'infrastruttura Internet di base è diventata un bersaglio per gli hacker. La rete dei criminali informatici si sta espandendo e rafforzando, operando sempre più spesso come una sofisticata rete aziendale legittima. La gerarchia dei criminali informatici è simile a una piramide (vedere la figura 1). La base è composta da opportunisti non tecnici e utenti di “Crimeware-as-a-Service”, le cui campagne hanno come scopo guadagni, rivendicazioni o entrambe le cose. Al livello intermedio della piramide vi sono rivenditori e responsabili della manutenzione dell'infrastruttura: gli “intermediari”. Il vertice è costituito dagli innovatori tecnici: le figure più importanti e più ricercate dalle forze dell'ordine. 10 Report annuale di Cisco sulla sicurezza 2014 La fiducia Quando lanciano i propri attacchi, gli attuali criminali informatici hanno in genere dei chiari obiettivi di business. Sanno di quali informazioni sono alla ricerca o quali risultati intendono raggiungere e conoscono il percorso da seguire per perseguire questi obiettivi. Svolgono ricerche approfondite sui propri bersagli, spesso tramite informazioni pubblicamente disponibili nei social network, e pianificano gli obiettivi in modo strategico. [ Molti dei soggetti che operano nella cosiddetta “economia sommersa” oggi inviano anche malware di sorveglianza per raccogliere informazioni su un ambiente, incluse le tecnologie di sicurezza implementate, in modo da poter condurre attacchi mirati. La ricognizione prima di un attacco è il metodo che consente ad alcuni autori di malware di avere la certezza che il loro malware funzionerà. Una volta penetrato nella rete, questo malware sofisticato può comunicare con i server di comando e controllo all'esterno e diffondersi nell'infrastruttura per portare a termine la propria missione, sia essa il furto di dati vitali o l'interruzione di sistemi critici. FIGURA 1 La gerarchia dei criminali informatici Innovatori tecnici Rivenditori/ responsabili della manutenzione dell'infrastruttura Opportunisti non tecnici/utenti di Crimeware-as-a-Service ] 11 Report annuale di Cisco sulla sicurezza 2014 La fiducia Gli effetti negativi sulla fiducia Le minacce che sfruttano la fiducia nei sistemi, nelle applicazioni, nelle persone, nelle aziende e nelle organizzazioni conosciute sono diventate una costante nel mondo digitale. Alla base di qualsiasi crimine c’è sempre un tentativo di sfruttamento della fiducia: il malware trasmesso agli utenti che esplorano legittimamente siti Web conosciuti; messaggi spam che sembrano inviati da aziende ben note, ma contengono link a siti dannosi; le applicazioni per dispositivi mobili di terze parti scaricate da marketplace noti e che nascondono malware; i dipendenti che sfruttano i propri privilegi di accesso alle informazioni riservate per impossessarsi della proprietà intellettuale delle aziende. Tutti gli utenti dovrebbero partire dal presupposto che nel mondo digitale non ci si possa fidare di nulla e nessuno. Gli esperti della sicurezza agirebbero nell'interesse delle proprie aziende se diffidassero di qualsiasi tipo di traffico di rete3 e non si fidassero ciecamente delle procedure di sicurezza dei loro fornitori o delle supply chain a cui le imprese si rivolgono per le tecnologie. Ciò nonostante le organizzazioni del settore pubblico e privato, i singoli utenti e perfino gli stati vogliono avere la certezza di potersi fidare delle tecnologie che utilizzano ogni giorno. Questa esigenza di fiducia nella sicurezza ha contribuito al Tutti gli utenti dovrebbero partire dal presupposto che nel mondo digitale non ci si possa fidare di nulla e nessuno. miglioramento dei Common Criteria for Information Technology Security Evaluation (Common Criteria), il linguaggio e il framework che consentono ad agenzie governative e ad altri gruppi di definire i requisiti che i prodotti tecnologici devono soddisfare per dimostrare la propria affidabilità. Oggi 26 paesi, tra cui gli Stati Uniti, partecipano al Common Criteria Recognition Arrangement, un accordo multilaterale che garantisce il riconoscimento reciproco dei prodotti valutati da parte degli stati membri. Tuttavia, nel 2013 la fiducia in generale ha subito una battuta d'arresto. Il catalizzatore di questo fenomeno è stato Edward Snowden. L'ex consulente del governo degli Stati Uniti ha rivelato pubblicamente al quotidiano britannico Guardian informazioni riservate ottenute mentre lavorava per la National Security Agency (NSA) statunitense.4 12 Report annuale di Cisco sulla sicurezza 2014 La fiducia Le rivelazioni di Snowden ai media finora includono dettagli sul piano per la sorveglianza elettronica e la raccolta dei dati della NSA, PRISM,5 nonché su un programma distinto NSA-GCHQ6 denominato MUSCULAR, tramite il quale sarebbero state intercettate le reti in fibra ottica che trasportano il traffico dai data center oltreoceano di importanti aziende di servizi Internet.7 Queste e altre rivelazioni di Snowden sulle procedure di sorveglianza da parte del governo statunitense hanno minato i rapporti di fiducia a diversi livelli: tra gli stati, tra l’amministrazione pubblica e le aziende private, tra i cittadini e l’amministrazione pubblica, nonché tra i cittadini e le aziende. Inoltre, hanno naturalmente generato preoccupazione in merito alla presenza, e ai potenziali rischi, sia di vulnerabilità non intenzionali che di “backdoor” intenzionali nei prodotti tecnologici, oltre che rispetto alle procedure adottate dai fornitori per prevenire questi punti deboli e proteggere gli utenti finali. Le principali problematiche della sicurezza per il 2014 [ Lo sgretolarsi della fiducia e la sempre maggiore difficoltà a distinguere i sistemi e le relazioni affidabili da quelli che non lo sono, obbligano le aziende ad affrontare le problematiche che minacciano la loro capacità di gestire la sicurezza: 1 | l'ampiezza della superficie esposta agli attacchi 2 | la diffusione e la sofisticatezza dei modelli di attacco 3 | la complessità di minacce e soluzioni. ] La combinazione di questi problemi genera e aggrava le vulnerabilità che consentono agli autori degli attacchi di lanciare exploit a una velocità superiore a quella con cui le aziende riescono a risolvere i propri punti deboli. Queste minacce e questi rischi sono esaminati più in dettaglio nelle pagine seguenti. 13 Report annuale di Cisco sulla sicurezza 2014 La fiducia 1 | L'ampiezza della superficie esposta agli attacchi Oggi la superficie esposta agli attacchi presenta possibilità illimitate per chi abbia intenzione di violare un ecosistema di sicurezza vasto e fragile. La superficie è aumentata in modo esponenziale ed è destinata a espandersi ulteriormente: non sono mai stati così tanti gli endpoint, i punti d'ingresso e i dati che sfuggono al controllo delle aziende. I dati sono il bottino che la maggior parte degli autori degli attacchi desidera ottenere attraverso le proprie campagne, principalmente per il loro valore economico. Tutti i dati che possono avere un valore sul mercato, si tratti della proprietà intellettuale di un'importante azienda o dei dati sanitari di un singolo individuo, sono desiderabili e pertanto a rischio. Qualsiasi bersaglio il cui valore è superiore ai rischi associati al tentativo di comprometterne la sicurezza è potenzialmente soggetto ad attacchi. Anche le piccole aziende sono a rischio di violazioni. La maggior parte delle imprese, di piccole e grandi dimensioni, è già stata compromessa senza esserne nemmeno consapevole: il 100% delle reti aziendali analizzate da Cisco genera traffico verso siti Web che contengono malware. FIGURA 2 Caratteristiche della tipica minaccia moderna App per Internet e cloud Campus Azienda Rete pubblica Perimetro Data center Il punto d'ingresso dell'infezione è all'esterno dell'azienda Una minaccia avanzata supera la difesa perimetrale La minaccia si diffonde e tenta di sottrarre dati preziosi 14 Report annuale di Cisco sulla sicurezza 2014 La fiducia L'analisi delle caratteristiche della tipica minaccia moderna, illustrate nella figura 2, evidenzia come l'obiettivo ultimo di numerose campagne dei criminali informatici sia raggiungere il data center e sottrarre dati preziosi. In questo esempio l’attacco viene eseguito su un dispositivo all'esterno della rete L'obiettivo ultimo aziendale. Questo causa un'infezione, che si diffonde nella rete di un campus. Questa rete opera come base di attacco di numerose campagne verso la rete aziendale, da cui la minaccia può finalmente dei criminali informatici raggiungere il proprio obiettivo: il data center. è raggiungere il data center e sottrarre dati Data l'espansione della superficie esposta agli attacchi e il rischio associato ai dati di valore elevato, per il 2014 gli esperti preziosi. della sicurezza di Cisco consigliano alle aziende di cercare la risposta a due importanti domande: “Dove risiedono i nostri dati critici?” e “Come possiamo creare un ambiente sicuro per la protezione dei dati, soprattutto quando i nuovi modelli di business come il cloud computing e la mobilità di fatto diminuiscono il potere di controllo?” 2 | La diffusione e la sofisticatezza dei modelli di attacco L'attuale panorama delle minacce non ha niente in comune con quello di appena un decennio fa. Gli attacchi piuttosto semplici che causavano danni contenibili hanno lasciato il posto alle operazioni di crimine informatico moderne, sofisticate, ben finanziate e in grado di causare gravi danni alle organizzazioni. Le aziende sono diventate il bersaglio di attacchi mirati. Questi attacchi sono molto difficili da rilevare, rimangono nelle reti per lunghi periodi di tempo e accumulano risorse di rete per lanciare attacchi altrove. Per coprire tutte le fasi dell’attacco, le aziende devono gestire vari un'ampia gamma di vettori di attacco con soluzioni in grado di operare ovunque la minaccia si manifesti: nella rete, negli endpoint, nei dispositivi mobili e negli ambienti virtuali. “Dove risiedono i nostri dati critici?” e “Come possiamo creare un ambiente sicuro per la protezione dei dati, soprattutto quando i nuovi modelli di business come il cloud computing e la mobilità di fatto diminuiscono il potere di controllo?” Gli esperti della sicurezza di Cisco 15 Report annuale di Cisco sulla sicurezza 2014 La fiducia 3 | La complessità di minacce e soluzioni Sono finiti i tempi in cui gli strumenti anti-spam e il software antivirus aiutavano a proteggere dalla maggior parte delle minacce un perimetro di rete ben definito. Oggi le reti vanno oltre i confini tradizionali, si evolvono continuamente e generano nuovi vettori di attacco: i dispositivi mobili, le applicazioni Web e per dispositivi mobili, gli hypervisor, i social media, i browser Web, gli home computer e perfino i veicoli. Le soluzioni troppo specifiche non riescono a stare al passo con l’evoluzione delle tecnologie e delle strategie degli autori degli attacchi. Questo complica ulteriormente il monitoraggio e la gestione della protezione delle informazioni da parte dei team della sicurezza. L'utilizzo nelle aziende di singole soluzioni disaggregate e di più piattaforme di gestione comporta un aumento delle vulnerabilità. Il risultato è un insieme di tecnologie eterogenee con punti di controllo che non sono stati progettati per lavorare insieme. Questo accresce le probabilità di compromissione delle informazioni sui clienti, della proprietà intellettuale e di altri dati sensibili, mettendo a rischio la reputazione dell'azienda. Le soluzioni troppo specifiche non riescono a stare al passo con l’evoluzione delle tecnologie e delle strategie degli autori degli attacchi. È necessaria una soluzione di sicurezza continuativa in grado di fronteggiare le nuove sfide di un panorama di minacce complesso. Gli attacchi più ostinati non si verificano in un singolo momento, ma sono di tipo continuativo. Di conseguenza, anche le difese di un'azienda devono esserlo. Poiché la complessità delle minacce e delle relative soluzioni ha raggiunto un livello senza precedenti, le aziende devono ripensare la propria strategia di sicurezza. Invece di affidarsi a soluzioni diverse, possono ridurre al minimo la complessità integrando in modo continuativo la sicurezza nell'infrastruttura di rete stessa, per consentire alla rete di: •monitorare e analizzare in modo continuativo i file e identificare i comportamenti dannosi in qualsiasi momento abbiano inizio; •favorire la scalabilità della sicurezza, ampliando la superficie in cui è possibile posizionare i dispositivi di rete; •ridurre i tempi di rilevamento delle minacce grazie alla capacità di controllare più traffico; •offrire alle aziende la possibilità di aggregare informazioni uniche e sensibili al contesto, che non è possibile ottenere solo con i dispositivi specifici per la sicurezza. 16 Report annuale di Cisco sulla sicurezza 2014 La fiducia Il passaggio verso la mobilità e i servizi cloud sta aumentando il carico di lavoro per la sicurezza sugli endpoint e i dispositivi mobili, che in alcuni casi non entrano mai in contatto con la rete aziendale. Di fatto, i dispositivi mobili introducono un rischio per la sicurezza quando vengono utilizzati per accedere alle risorse aziendali: possono connettersi facilmente ai servizi cloud di terze parti e ai computer con stati di sicurezza potenzialmente sconosciuti e al di fuori del controllo aziendale. Inoltre, la sempre maggiore diffusione del malware per i dispositivi mobili aumenta ulteriormente i rischi. Poiché manca perfino la visibilità di base, la maggior parte dei team della sicurezza IT non ha la capacità di identificare le i dispositivi mobili introducono un rischio per la sicurezza quando vengono utilizzati per accedere alle risorse aziendali potenziali minacce associate a questi dispositivi. Gli approcci più innovativi come la capacità continuativa saranno in grado di fare fronte al malware più avanzato, attraverso analisi di big data che aggregano i dati e gli eventi nella rete estesa per fornire maggiore visibilità, anche dopo lo spostamento di un file nella rete o tra endpoint. Questo modello è diverso dalla sicurezza specifica e mirata degli endpoint, in cui i file vengono analizzati in un determinato momento per determinare la presenza di malware. Il malware avanzato può facilmente sfuggire a questa analisi, penetrare rapidamente negli endpoint e diffondersi nelle reti. Sistemi affidabili e trasparenti Data l'ampiezza della superficie esposta agli attacchi, la diffusione e la sofisticatezza dei modelli di attacco e la complessità di minacce e soluzioni, è fondamentale potersi fidare delle informazioni che utilizziamo, oltre che dei sistemi che le rendono disponibili, indipendentemente dal modo in cui accediamo ai servizi in rete. Creare un ambiente di rete realmente sicuro diventa ancora più complesso a causa degli investimenti della pubblica amministrazione e delle aziende nella mobilità, nella Collaboration, nel cloud computing e in altre forme di virtualizzazione. Queste capacità contribuiscono a migliorare la flessibilità, ad aumentare l'efficienza e a ridurre i costi, ma possono anche 17 Report annuale di Cisco sulla sicurezza 2014 La fiducia introdurre ulteriori rischi. Oggi è a rischio anche la sicurezza dei processi di produzione dell’IT, dal momento che il fenomeno dei prodotti IT contraffatti e manomessi è in aumento. Di conseguenza, i leader delle aziende e della pubblica amministrazione considerano la sicurezza informatica e i problemi di credibilità ad essa associati questioni fondamentali. La domanda che i responsabili della sicurezza dovrebbero porsi è: “Cosa faremmo in modo diverso se sapessimo che stiamo per subire un attacco?” Gli autori degli attacchi cercano e sfruttano qualsiasi punto debole della sicurezza nella supply chain delle tecnologie. Le vulnerabilità e le backdoor lasciate intenzionalmente nei prodotti tecnologici possono in ultima analisi fornire l'accesso all'intera rete del cliente. Le backdoor da tempo costituiscono un problema di sicurezza e rappresentano un potenziale pericolo per le aziende, perché esistono al solo scopo di consentire attività nascoste o criminali. Sviluppare sistemi affidabili significa integrare la protezione in modo completo, dall'inizio alla fine del ciclo di vita del prodotto. Cisco Secure Development Life cycle (CSDL)8 propone una metodologia ripetibile e misurabile per integrare la sicurezza fin dalla fase di progettazione, riducendo al minimo le vulnerabilità durante lo sviluppo e aumentando la resistenza dei prodotti in caso di attacco. Poter contare su sistemi affidabili è fondamentale per adottare un approccio mirato al miglioramento continuo della sicurezza, che anticipi e prevenga le nuove minacce. Tali infrastrutture non solo proteggono le informazioni critiche ma, Gli autori degli attacchi cercano e sfruttano qualsiasi punto debole della sicurezza nella supply chain delle tecnologie. soprattutto, contribuiscono a evitare le interruzioni dei servizi di importanza strategica. I prodotti affidabili supportati da fornitori di fiducia consentono agli utenti di ridurre al minimo i costi e i danni per la reputazione generati da accessi non autorizzati alle informazioni, interruzioni dei servizi e violazioni della sicurezza dei dati. I sistemi affidabili, tuttavia, non devono essere confusi con l'immunità dagli attacchi esterni. I clienti e gli utenti dell’IT svolgono un ruolo importante nel mantenere l'efficacia dei sistemi affidabili nella difesa dai tentativi di comprometterne l'operatività. Questo include l'installazione tempestiva degli aggiornamenti e delle patch per la sicurezza, la vigilanza costante per riconoscere i comportamenti anomali dei sistemi e la messa in atto di contromisure efficaci in caso di attacco. 18 Report annuale di Cisco sulla sicurezza 2014 Le principali problematiche dei CISO per il 2014 Nell'attuale panorama delle minacce i CISO (Chief Information Security Officer) hanno la responsabilità sempre più pressante di proteggere diversi terabyte di dati, rispettare rigide normative di conformità e valutare i rischi associati alla collaborazione con fornitori di terze parti, il tutto con budget sempre più limitati e team IT ridotti. I CISO devono svolgere sempre più attività e gestire minacce complesse e sofisticate. I responsabili delle strategie di sicurezza dei servizi di sicurezza di Cisco, che forniscono consulenza ai CISO in merito agli approcci alla sicurezza per le loro aziende, hanno raccolto nell'elenco seguente le problematiche e le sfide più pressanti per il 2014: Gestione della conformità La sfida che accomuna i CISO è forse l'esigenza di proteggere i dati che risiedono in una rete sempre più permeabile, dovendo dedicare al tempo stesso risorse preziose alla conformità. La conformità di per sé non garantisce la sicurezza: rappresenta semplicemente il rispetto dei requisiti minimi di un ambiente regolato. La sicurezza è invece un approccio completo che riguarda tutte le attività aziendali. Affidabilità del cloud I CISO devono prendere decisioni su come gestire le informazioni in Continua alla pagina successiva La fiducia Le tecnologie non restano immobili e nemmeno gli autori degli attacchi. Per assicurare l'affidabilità dei sistemi è necessario coprire l'intero ciclo di vita di una rete, dalla progettazione iniziale alla produzione, l'integrazione dei sistemi, le operazioni quotidiane, la manutenzione e gli aggiornamenti, fino alla dismissione della soluzione. L'esigenza di sistemi affidabili si estende al di là della rete di un'azienda, perché include le reti a cui questa si connette. I team di Cisco Security Research and Operations hanno osservato nell'ultimo anno un aumento dell'utilizzo del “pivoting”. La tecnica di pivoting nei crimini informatici implica l'utilizzo di una backdoor, una vulnerabilità o semplicemente lo sfruttamento della fiducia in una determinata fase della catena di attacco come punto di partenza per l'avvio di una campagna più sofisticata contro bersagli di maggiori dimensioni, come la rete di un'importante azienda di gestione dell’energia o il data center di un istituto finanziario. Alcuni hacker approfittano della fiducia delle aziende per un attacco di pivoting, sfruttando un partner di fiducia per colpire un altro partner commerciale o istituzionale. La vigilanza svolge un ruolo importante nell'attuale panorama delle minacce. La sicurezza deve adattarsi a tutti gli stati transitori che fanno parte dell'ambiente IT aziendale convalidando in modo misurabile e obiettivo l'affidabilità dei sistemi, in base a dati e processi indipendenti e verificabili. L'approccio più sostenibile è una difesa dinamica e personalizzata in base allo specifico ambiente di un'azienda, che includa controlli di sicurezza che si rinnovano continuamente per garantirne la rilevanza.9 Un ambiente di questo tipo supporta la presenza di sistemi affidabili e la trasparenza è essenziale per il loro sviluppo. “Un sistema affidabile deve essere sviluppato su fondamenta solide: procedure di sviluppo dei prodotti, una supply chain affidabile e un approccio architetturale che comprenda progettazione della rete, implementazione e policy”, afferma 19 Report annuale di Cisco sulla sicurezza 2014 La fiducia Continua dalla pagina precedente modo sicuro ed entro i limiti di budget e tempo assegnati. Ad esempio, il cloud rappresenta una soluzione flessibile e conveniente per gestire archivi di dati in continua crescita, ma genera nuove preoccupazioni per i CISO. I direttori generali e i consigli di amministrazione considerano il cloud come una panacea per eliminare le spese dell'hardware. Vogliono sfruttare i vantaggi della gestione dei dati nel cloud e si aspettano che i CISO li realizzino in modo sicuro e rapido. Affidabilità dei fornitori Come nel caso del cloud, le aziende si affidano ai fornitori per ottenere soluzioni specializzate. Il risparmio giustifica il ricorso a terze parti. Tuttavia, questi fornitori sono bersagli dei criminali informatici, che sono consapevoli che le difese di una terza parte potrebbero non essere troppo solide. Riprendersi dopo una violazione della sicurezza Tutte le aziende dovrebbero dare per scontato di aver subito almeno una violazione. Non si tratta di determinare se si subirà un attacco, ma piuttosto quando si verificherà. I recenti attacchi come l'Operazione Night Dragon, la violazione della RSA e l'attacco Shamoon contro un'importante compagnia petrolifera nel 2012 sono ben noti a molti CISO (vedere l'analisi di Cisco sulle attività dannose nelle reti aziendali a pagina 48). John N. Stewart, vicepresidente senior e Chief Security Officer di Cisco. “Tuttavia, la caratteristica più importante è la trasparenza dei fornitori”. Il prezzo da pagare per godere di maggiore trasparenza è la riduzione della privacy dei dati, ma è possibile trovare il giusto equilibrio attraverso la cooperazione per allineare meglio i dati sulle minacce e le best practice per la sicurezza. Trovare il giusto equilibrio tra fiducia, trasparenza e privacy deve essere una priorità per tutte le aziende e le organizzazioni, perché la posta in gioco è molto alta. [ A lungo termine, è possibile raggiungere una migliore sicurezza informatica per tutti gli utenti e realizzare appieno il potenziale dell'economia emergente di Internet of Everything10. Tuttavia, il conseguimento di questi obiettivi dipende da policy di tutela della privacy efficaci e da difese della rete efficienti, che distribuiscano in modo intelligente il carico della sicurezza tra gli endpoint e la rete. A breve termine, e forse con conseguenze più immediate, qualsiasi azienda moderna ha l'esigenza di utilizzare i migliori metodi e le migliori informazioni disponibili per proteggere le proprie risorse più preziose, evitando di essere a sua volta fonte di nuove problematiche per la sicurezza informatica. ] Oggi le aziende devono considerare l'impatto delle loro procedure di sicurezza sull'ecosistema di sicurezza informatica più ampio, sempre più evoluto e interconnesso. Un'azienda che decida di non adottare quest'ottica globale può essere valutata negativamente dal punto di vista della reputazione, con il risultato che nessuno dei principali provider di sicurezza consentirà agli utenti di accedere al suo sito. L'inserimento in una blacklist è una situazione difficile da superare per un'impresa e in alcuni casi una completa ripresa potrebbe risultare impossibile. Per informazioni sulle procedure Cisco Trustworthy Systems, visitare l'indirizzo www.cisco.com/go/trustworthy. 20 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Avvalendosi del più vasto insieme di dati di telemetria dei rilevamenti disponibile, Cisco e Sourcefire hanno analizzato i dati relativi alla sicurezza dello scorso anno e ne hanno tratto risultati importanti. 21 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Aumento degli avvisi sulle minacce Le vulnerabilità e le minacce segnalate da Cisco IntelliShield® hanno mostrato un aumento costante nel 2013: a ottobre 2013, il numero totale di avvisi rilasciati annualmente ha fatto registrare un aumento del 14% rispetto al 2012 (figura 3). A ottobre 2013 gli avvisi hanno raggiunto il livello più alto da quando IntelliShield ha iniziato a registrarli, nel maggio del 2000. È anche interessante osservare il significativo aumento dei nuovi avvisi rispetto a quelli aggiornati, in base ai dati registrati da IntelliShield (figura 4). Il numero crescente di nuove vulnerabilità scoperte dai fornitori di tecnologie e dai ricercatori (figura 5) è il risultato di una maggiore attenzione alla sicurezza sia durante il ciclo di vita dello sviluppo, che nei prodotti stessi. L'aumento delle nuove vulnerabilità potrebbe anche indicare che i fornitori analizzano il codice dei propri prodotti e correggono le vulnerabilità prima che i prodotti vengano rilasciati e che le vulnerabilità possano essere sfruttate. FIGURA 3 Il numero complessivo di avvisi rilasciati annualmente nel periodo 2010-2013 7.000 2013 2012 6.000 2011 5.000 2010 4.000 3.000 2.000 1.000 0 Gen Feb Mar Apr Mag Giu Lug Mese Ago Set Ott Nov Dic 22 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Una maggiore attenzione alla sicurezza nello sviluppo del software può contribuire ad aumentare la credibilità delle soluzioni dei fornitori. Un ciclo di vita di sviluppo sicuro non solo riduce i rischi di vulnerabilità e consente ai fornitori di rilevare i potenziali difetti fin dalle prime fasi di sviluppo, ma è anche una conferma per gli acquirenti del fatto che possono fare affidamento su queste soluzioni. FIGURA 4 Gli avvisi nuovi e aggiornati nel 2013 320 1.000 291 517 347 391 286 324 366 303 333 386 400 387 437 215 224 221 211 212 600 256 281 293 278 800 Avviso nuovo 200 0 Avviso aggiornato Gen Feb Mar Apr Mag Giu Mese Lug Ago Set Ott Nov 23 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce FIGURA 5 Le categorie di minacce più frequenti registrate da Cisco IntelliShield NOTA: queste categorie di minacce CWE (Common Weakness Enumeration), come definite dal National Vulnerability Database (https://nvd.nist.gov/cwe.cfm), sono associate ai metodi utilizzati per gli attacchi alle reti. 1 9 5 CWE-264: autorizzazioni, privilegi e controllo di accesso CWE-119: errori di buffer 2 CWE-310: problemi di crittografia 6 Altri avvisi di IntelliShield (attività, problemi, CRR, AMB) CWE-200: perdita/divulgazione di informazioni 3 CWE: errore di progettazione 7 CWE-287: problemi di autenticazione CWE-352: CSRF (Cross-Site Request Forgery) CWE-79: XSS (Cross-Site Scripting) CWE-399: errori di gestione delle risorse 4 CWE-22: Path Traversal 8 CWE-94: inserimento di codice CWE-20: convalida dell'input CWE-78: inserimento di comandi del sistema operativo CWE-89: SQL injection CWE-362: race condition CWE-255: gestione di credenziali 9 CWE-59: visita di collegamenti 1 CWE-16: configurazione CWE: informazioni insufficienti 8 CWE: altro CWE-189: errori numerici 7 2 6 5 4 3 24 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Il volume dello spam è in diminuzione, ma lo spam dannoso è ancora una minaccia Nel 2013 il volume dello spam ha fatto registrare un calo a livello mondiale. Tuttavia, anche se il volume complessivo è diminuito, la proporzione di spam con finalità dannose è rimasta costante. Gli spammer agiscono con la massima velocità per approfittare della fiducia degli utenti di e-mail, distribuendo grandi quantità di spam quando particolari eventi o tendenze abbassano la soglia di attenzione dei destinatari nei confronti delle truffe. Subito dopo l'attentato alla maratona di Boston del 15 aprile 2013 sono iniziate due campagne di spam su vasta scala, una il 16 aprile e l'altra il 17 aprile, per attirare gli utenti di e-mail interessati a ricevere notizie sull'evento. I ricercatori di Cisco hanno rilevato la registrazione di centinaia di nomi di domini relativi all'attentato già poche ore dopo gli attacchi.11 In entrambe le campagne di spam, l'oggetto faceva riferimento a notiziari sull'attentato, mentre i messaggi contenevano link per visualizzare video delle esplosioni o notizie pubblicate da media autorevoli. I link indirizzavano i destinatari a pagine Web che includevano link ad articoli o video autentici, ma anche sospetti iframe progettati per infettare i computer dei visitatori. Nel momento di picco, lo spam originato in seguito all'attentato alla maratona di Boston ha raggiunto una percentuale equivalente al 40% di tutti i messaggi di spam recapitati a livello mondiale il 17 aprile 2013. Gli spammer fanno leva sul desiderio delle persone di avere maggiori informazioni in seguito a un evento importante. La figura 6 illustra uno dei messaggi delle campagne di spam della botnet, mascherato come un messaggio inviato dalla CNN.12 La figura 7 mostra il codice HTML sorgente di un messaggio di spam relativo all'attentato alla maratona di Boston. L'iframe finale (offuscato) rimanda a un sito Web dannoso.13 In questi casi lo spam si riferisce a eventi appena accaduti, quindi gli utenti di e-mail sono più portati a credere che i messaggi siano legittimi. Gli spammer fanno leva sul desiderio delle persone di avere maggiori informazioni in seguito a un evento importante. Offrendo agli utenti quello che vogliono, gli spammer possono indurli più facilmente a eseguire l'azione desiderata, come fare clic su un link infetto. È anche molto più facile ingannarli sull'autenticità dei messaggi. 25 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce FIGURA 6 Spam relativo alla maratona di Boston FIGURA 7 Codice HTML sorgente per un messaggio di spam relativo all'attentato alla maratona di Boston <iframe width="640" height="360" src="https://www.youtube.com/embed/H4Mx5qbgeNo"> <iframe> <iframe width="640" height="360" src="https://www.youtube.com/embed/JVU7rQ6wUcE"> <iframe> <iframe width="640" height="360" src="https://bostonmarathonbombing.html"> <iframe> 26 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Le cifre dello spam In base ai dati raccolti da Cisco Threat Research Analysis and Communications (TRAC)/SIO, il volume dei messaggi spam a livello mondiale è in calo (figura 8), anche se le tendenze variano a seconda del paese (figura 9). FIGURA 8 Volume dei messaggi spam a livello mondiale nel 2013 Fonte: Cisco TRAC/SIO 160 140 Miliardi al giorno 120 100 80 60 40 20 0 Gen Feb Mar Apr Mag Giu Lug Ago Set Ott Mese FIGURA 9 Le tendenze relative ai volumi nel 2013 Fonte: Cisco TRAC/SIO 25 Volume in percentuale 20 Stati Uniti Italia Corea del Sud Spagna Cina 15 10 5 0 Gen Feb Mar Apr Mag Giu Mese Lug Ago Set Ott 27 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce FIGURA 10 I principali argomenti dei messaggi di spam a livello mondiale 1. Notifiche di pagamenti/depositi bancari 2. Acquisti di prodotti online 3. Foto allegate Foto dannose ricevute come allegati. Notifiche di depositi, trasferimenti, pagamenti, assegni rifiutati, segnalazioni di frodi. Conferme di ordini di prodotti, richieste di ordini di acquisto, preventivi, versioni di valutazione. 4. Notifiche di spedizione 5. Incontri personali 6. Fisco Fatture, consegne o prelievi, tracciamento. Siti di incontri online. Documenti fiscali, rimborsi, report, informazioni sul debito, dichiarazioni dei redditi online. 7. Facebook 8. Buoni regalo 9. PayPal Stato dell'account, aggiornamenti, notifiche e software di sicurezza. Avvisi da vari store (quello di Apple è stato il più utilizzato). Aggiornamenti sul conto, conferme, notifiche di pagamento, contestazioni di pagamenti. 28 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Exploit Web: Java al primo posto Secondo i dati di Cisco, tra tutte le minacce per la sicurezza basate sul Web, le vulnerabilità nel linguaggio di programmazione Java continuano a essere il bersaglio sfruttato più di frequente dai criminali online. Gli exploit Java superano nettamente quelli rilevati in Flash o nei documenti PDF di Adobe, anch'essi comuni vettori di attività criminali (figura 11). I dati di Sourcefire, ora acquisita da Cisco, mostrano anche che gli exploit Java costituiscono la grande maggioranza (91%) degli indicatori di compromissione (IoC) monitorati dalla soluzione FireAMP di Sourcefire per l'analisi e la protezione avanzata dal malware (figura 12). FireAMP rileva in tempo reale le compromissioni negli endpoint, quindi registra il tipo di software che ha causato ciascuna compromissione. FIGURA 11 Gli attacchi dannosi generati tramite PDF, Flash e Java nel 2013 Fonte: report di Cisco Cloud Web Security 16% 14% 12% PDF 10% Flash 8% Java 6% 4% 2% 0 Gen Feb Mar Apr Mag Giu Mese Lug Ago Set Ott Nov 29 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Per le minacce come gli exploit Java, la difficoltà per i responsabili della sicurezza è riuscire a individuare come il malware penetri nell'ambiente di rete e dove applicare le misure per ridurre al minimo le infezioni. Le singole azioni potrebbero apparire innocue, ma l’analisi della sequenza degli eventi può aiutare a comprendere la storia del malware. La ricostruzione della sequenza degli eventi è un'analisi retrospettiva dei dati per determinare le azioni eseguito dagli autori degli attacchi per superare la sicurezza del perimetro e infiltrarsi nella rete. Di per sé, gli indicatori di compromissione possono indicare che visitare un determinato sito Web è sicuro. A sua volta, l'esecuzione di Java potrebbe essere un'azione sicura, ad esempio l'avvio di un file eseguibile. Tuttavia, un'azienda è a rischio se un utente visita un sito Web contenente un iframe nascosto che avvia Java che a sua volta scarica un file EXE che esegue azioni dannose. FIGURA 12 I tipi di indicatori di compromissione Fonte: Sourcefire (soluzione FireAMP) 2% Microsoft Word 3% Microsoft Excel 3% Adobe Reader 91% Compromissioni Java 1% Microsoft PowerPoint 30 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce La diffusione pressoché universale di Java fa sì che resti in cima alla lista degli strumenti preferiti dai criminali. Questo spiega perché le compromissioni Java abbiano rappresentato di gran lunga l’attività più dannosa nelle sequenze di eventi nel 2013. Come riportato nella pagina Web “Informazioni sulla tecnologia Java”, Java è utilizzato dal 97% dei desktop aziendali e dall'89% dei computer desktop negli Stati Uniti.14 Java rappresenta una superficie di attacco troppo ampia perché possa essere ignorata dai criminali. Questi tendono a creare soluzioni che eseguono gli exploit in sequenza, ad esempio tentano di violare la rete o di sottrarre dati utilizzando la vulnerabilità più semplice o più nota prima di passare ad altri metodi. In molti casi, Java è l'exploit che i criminali scelgono per primo, perché garantisce il miglior ritorno sull'investimento. Ridurre i rischi del problema Java Anche se gli exploit basati su Java sono comuni e le vulnerabilità sono difficili da eliminare, esistono metodi per ridurne l'impatto: •quando possibile, disabilitare la disabilitazione di Java nei browser a livello di rete può impedire l'esecuzione di questi exploit. •Gli strumenti di telemetria come Cisco NetFlow, integrati in numerose soluzioni di sicurezza, possono monitorare il traffico associato a Java, consentendo agli esperti della sicurezza di comprendere meglio le origini delle minacce. •Una gestione completa delle patch può risolvere molte vulnerabilità. •Il monitoraggio degli endpoint e gli strumenti di analisi che tracciano e analizzano in modo continuo i file che entrano nella rete permettono di rilevare e bloccare in un secondo momento le minacce che inizialmente superano i controlli, ma che in seguito dimostrano un comportamento dannoso. •Un elenco dei dispositivi potenzialmente compromessi con le relative priorità può essere generato utilizzando gli indicatori di compromissione per associare le informazioni sul malware (perfino eventi apparentemente innocui) e identificare un'infezione zero-day senza firme antivirus esistenti. Anche l'aggiornamento alla versione più recente di Java consente di evitare le vulnerabilità. Secondo le ricerche di Cisco TRAC/SIO, il 90% dei clienti Cisco utilizza una versione di Java 7 Runtime Environment, la versione più recente del programma. Questo è positivo dal punto di vista della sicurezza, poiché tale versione dovrebbe offrire una maggiore protezione dalle vulnerabilità. 31 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Tuttavia, le ricerche di Cisco TRAC/SIO mostrano anche che il 76% delle aziende che utilizzano soluzioni Cisco impiega Java 6 Runtime Environment in aggiunta a Java 7. Java 6 è una versione precedente che, avendo raggiunto la fine del proprio ciclo di vita, non è più supportata. Spesso le aziende installano entrambe le versioni di Java Runtime Environment perché applicazioni diverse possono utilizzare versioni differenti per l'esecuzione del codice Java. In ogni caso, poiché più di tre quarti delle aziende intervistate da Cisco utilizzano una soluzione al termine del ciclo di vita, con vulnerabilità per cui potrebbero non essere mai rese disponibili patch, i criminali hanno numerose opportunità di sfruttare i punti deboli. I rilevamenti di malware Web Java nel 2013 hanno raggiunto il picco nel mese di aprile, arrivando al 14% di tutto il malware Web rilevato. Tali rilevamenti hanno fatto registrare il livello più basso a maggio e giugno 2013, scendendo a circa il 6% e il 5% di tutto il malware Web rilevato, rispettivamente (figura 13). Nei mesi scorsi, Oracle ha annunciato che non inserirà più gli aggiornamenti di Java SE 6 nel proprio sito di download pubblico, anche se gli aggiornamenti esistenti di Java SE 6 saranno disponibili nell'archivio relativo a Java in Oracle Technology Network. Per gli esperti della sicurezza che dispongono di tempo limitato da dedicare agli exploit Web, concentrare l'attenzione su Java è sicuramente un approccio efficiente. FIGURA 13 I rilevamenti di malware Web Java nel 2013 Fonte: Cisco TRAC/SIO 6,50% 6,00% 4% 5,00% 7,50% 9,00% 6,75% 6% 7,50% 8% 9,50% 10% 6,25% 12% 12,25% 14,00% 14% 2% 0 Gen Feb Mar Apr Mag Giu Mese Lug Ago Set Ott Nov 32 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce BYOD e mobilità: il livello di maturità dei dispositivi favorisce i crimini informatici Gli autori di crimini informatici e i loro bersagli affrontano lo stesso problema: entrambi vogliono sfruttare al meglio le tendenze BYOD (Bring Your Own Device) e della mobilità per ottenere un vantaggio di business. Due fattori sembrano favorire i criminali a mantenere il proprio vantaggio. Il primo è il livello di maturità delle piattaforme mobili. Gli esperti della sicurezza Cisco osservano che più gli smartphone, i tablet e gli altri dispositivi offrono prestazioni simili a quelle dei computer desktop e laptop tradizionali, più risulta facile progettare malware per tali dispositivi. Il secondo fattore è la diffusione delle app per dispositivi mobili. Quando gli utenti scaricano le app per dispositivi mobili, essenzialmente installano un client leggero nell'endpoint ed eseguono il download di codice. Un altro problema è dato dal fatto che molti utenti scaricano regolarmente le app senza preoccuparsi della sicurezza. Al tempo stesso, oggi i team della sicurezza devono affrontare il cosiddetto problema “any-to-any”: come proteggere qualsiasi utente, su qualsiasi dispositivo, ovunque si trovi, durante l'accesso a qualsiasi applicazione o risorsa della rete.15 La tendenza BYOD non fa altro che complicare le cose. È difficile gestire tutti questi tipi di apparecchiature, in particolare con un budget IT limitato. In un ambiente BYOD, per il CISO è particolarmente importante avere la certezza che i dati siano strettamente controllati. Molti utenti scaricano regolarmente le app senza preoccuparsi della sicurezza. La mobilità offre nuovi metodi per compromettere utenti e dati. I ricercatori Cisco hanno osservato i casi di utilizzo dei canali wireless per intercettare e ottenere l'accesso ai dati scambiati tramite questi canali. La mobilità presenta anche numerosi problemi di sicurezza per le aziende, inclusa la perdita di proprietà intellettuale e di altri dati sensibili, in caso di furto o smarrimento del dispositivo non protetto di un dipendente. 33 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Secondo gli esperti di Cisco, una soluzione per migliorare la sicurezza nelle imprese è l'istituzione di un programma formale per verificare la protezione dei dispositivi mobili prima di consentire loro l'accesso alla rete aziendale. Come minimo, deve essere richiesto il blocco tramite codice PIN (Personal Identification Number) per l'autenticazione degli utenti e il team di sicurezza deve essere in grado di disattivare il dispositivo o cancellarne i dati in remoto in caso di furto o smarrimento. Le tendenze del malware per dispositivi mobili nel 2013 La seguente ricerca sulle tendenze del malware per dispositivi mobili nel corso del 2013 è stata condotta da Cisco TRAC/SIO e Sourcefire, ora acquisita da Cisco. Il malware destinato a dispositivi mobili specifici costituisce appena l'1,2% di tutti i rilevamenti di malware Web nel 2013. Anche se non costituisce una percentuale significativa, vale comunque la pena sottolineare questo aspetto perché il malware per dispositivi mobili rappresenta senza dubbio un nuovo territorio da esplorare per gli sviluppatori di malware. Secondo i ricercatori di Cisco TRAC/SIO, tra tutto il malware progettato per compromettere un dispositivo mobile, il 99% dei rilevamenti riguarda i dispositivi Android. Al secondo posto nel 2013 si sono posizionati i trojan destinati ai dispositivi con Java Micro Edition (J2ME), con lo 0,84% sul totale dei rilevamenti di malware per dispositivi mobili. Il malware destinato a dispositivi mobili specifici costituisce appena l'1,2% di tutti i rilevamenti di malware Web nel 2013. Tuttavia, non tutto il malware per dispositivi mobili è progettato per dispositivi specifici. Numerosi rilevamenti riguardano phishing, likejacking o altri espedienti di social engineering oppure reindirizzamenti forzati a siti Web diversi da quelli previsti. Un'analisi degli agenti utente da parte di Cisco TRAC/SIO rivela che gli utenti di Android fanno registrare le percentuali di rilevamento più elevate di tutte le forme di malware diffuso tramite il Web (71%), seguiti dagli utenti di Apple iPhone con il 14% di tutti i rilevamenti di malware Web (figura 14). I ricercatori di Cisco TRAC/SIO hanno anche evidenziato tentativi di trarre profitto dalle compromissioni di Android nel 2013, inclusa la diffusione di adware e spyware per le aziende di piccole e medie dimensioni (PMI). In base alle ricerche di Cisco TRAC/SIO, Andr/Qdplugin-A è stato il tipo di malware per dispositivi mobili rilevato più di frequente, con una percentuale del 43,8%. In genere la diffusione ha avuto luogo attraverso copie di app legittime, realizzate tramite la ricreazione dei pacchetti e distribuite attraverso marketplace non ufficiali (figura 15). 34 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce FIGURA 14 I rilevamenti di malware Web per tipo di dispositivo mobile Fonte: report di Cisco Cloud Web Security 100% 80% 60% 40% 20% Windows CE Kindle Zune WP Nook Playstation Motorola Windows Phone Huawei iPod Symbian Nokia BlackBerry iPad iPhone Android 0 FIGURA 15 I primi dieci rilevamenti di malware Web per dispositivi mobili nel 2013 Fonte: report di Cisco Cloud Web Security 50% 40% 30% 20% 10% Andr/DroidRt-C Trojan-SMS.AndroidOS. Agent.ao AndroidOS. Wooboo.a Andr/Gmaster-E Andr/DroidRt-A Trojan.AndroidOS. Plangton.a Andr/Spy-AAH Andr/SMSSend-B Andr/SmsSpy-J Andr/NewyearL-B Andr/Qdplugin-A 0 An Tro dr. ja 98% 11% 14% 16% Andr.SMSSend 10% 7% 6% 4% 4% 4% 4% 3% r.Tr oj a xplo els l o i t.E n.S t r.E xp r.Tro ja And ndr id it.Ratc p l o i t. A A ndr.E x plo B C. E x And r Andr.Exploit.Gingerbreak nserve n.G ein nr. imi T roj An a n. dr. Dro Tro An id D jan d rea r .A An .Tr mL dr d o d j igh r a (2 .Tr n.G t % o (2 ) A j o a %) n d n. A l d d r ea An r.T nd m r r dr .Tr ojan orat oj . a n Pj a p .Y ZH p s C Ad e rojan.A Andr.T ak O pf . n ja u ix t y (>1% ) An dr.Tr tCo ts m pa tible Push ad er ueSP .TG Lo .Ro g n.N o ojan r.Troj an dr.T roja (>1% ) An ad ck p o s ojan.OB (>1%) A ndr.T rojan. A (>1%) And (>1%) A n dr.Tr (>1%) A ndr.Tr ojan.Chuli (>1%) Andr.Trojan.G ingerMas ter (>1%) Andr.Trojan.Badnews keTimer jan.G ones min .Fa (>1%) Andr.Trojan Tro (1%) A ndr. jan.K ndr.Tro (1%) A e on .Zson ank t r ojan ndr.T dr.Tr A (1%) An (1%) .Pl ojan Report annuale di Cisco sulla sicurezza 2014 And A oid gF .Tro ndr r nD n Ku 35 I dati sulle minacce FIGURA 16 Le principali famiglie di malware per Android registrate nel 2013 NOTA: SMSSend corrisponde al 98% di tutto il malware per Android; il 2% rimanente è illustrato in proporzione. Fonte: Sourcefire 3% 3% 7% 36 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Attacchi mirati: liberarsi degli intrusi persistenti È molto probabile che la rete di ogni azienda abbia già subito infiltrazioni attraverso attacchi mirati. Quando penetrano in una rete, gli intrusi tendono a restarci, sottraendo dati senza farsi scoprire o utilizzando risorse di rete per eseguire il “pivoting” e quindi attaccare altre entità (per ulteriori informazioni sul pivoting, vedere pagina 18). I danni vanno al di là del furto di dati o dell'interruzione delle attività aziendali: la credibilità agli occhi di partner e clienti può venir meno se questi attacchi non vengono contrastati in modo tempestivo. Gli attacchi mirati minacciano la proprietà intellettuale, i dati sui clienti e le informazioni sensibili della pubblica amministrazione. I loro autori utilizzano strumenti sofisticati che aggirano l'infrastruttura di sicurezza delle aziende. I criminali si impegnano al massimo per far sì che le violazioni non vengano rilevate, utilizzando metodi che lasciano tracce quasi impercettibili in termini di “indicatori di compromissione” (IoC). Il loro approccio metodico per ottenere l'accesso alle reti e portare a termine la propria missione si basa su una sequenza di attacco, ovvero: una serie precisa di eventi per preparare e portare a termine un attacco. Dopo aver trovato una posizione in rete in cui nascondersi, gli strumenti usati in questi attacchi mirati eseguono le proprie attività in modo efficiente e, in genere, senza farsi notare. I criminali si impegnano al massimo per far sì che le violazioni non vengano rilevate. 37 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce FIGURA 17 La sequenza di attacco Per comprendere la varietà delle minacce esistenti e difendere la rete in modo efficace, gli esperti della sicurezza IT devono adottare lo stesso punto di vista degli autori degli attacchi. Una conoscenza approfondita dell'approccio metodico utilizzato dai criminali per raggiungere i propri obiettivi permette alle aziende potenziare le proprie difese. La sequenza di attacco, una versione semplificata della “cyber kill chain”, descrive gli eventi preparatori di un attacco e quelli che si verificano nelle sue varie fasi. 1. Sondaggio Si ottiene un quadro d'insieme dell'ambiente: rete, endpoint, dispositivi mobili e ambienti virtuali, incluse le tecnologie implementate per la sicurezza. 2. Sviluppo Viene creato il malware mirato e sensibile al contesto. 3. Test Si verifica che il malware funzioni come previsto, soprattutto al fine di eludere gli strumenti di sicurezza. 4. Esecuzione Ci si muove all'interno della rete estesa, prestando attenzione all'ambiente, evitando il rilevamento e muovendosi lateralmente fino a raggiungere il bersaglio. 5. Raggiungimento dell'obiettivo Vengono raccolti i dati, provocate interruzioni dei servizi o danni. 38 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Panoramica del malware: tendenze del 2013 Gli esperti della sicurezza di Cisco ricercano e analizzano continuamente il traffico del malware e delle altre minacce rilevate per poter prevedere eventuali attacchi futuri e individuare le nuove minacce. FIGURA 18 Le categorie principali di malware In questa figura sono illustrate le categorie principali di malware. I trojan sono il tipo di malware più comune, seguiti dall'adware. Fonte: Sourcefire (soluzioni ClamAV e FireAMP) 4% 4% Downloader Worm Dropper (0%) 8% Adware Trojan 20% Virus 64% FIGURA 19 Le famiglie principali di malware per Windows In questa figura sono illustrate le famiglie principali di malware per Windows. La più vasta, Trojan.Onlinegames, comprende principalmente password stealer. Viene rilevata dalla soluzione antivirus ClamAV di Sourcefire. Fonte: Sourcefire (soluzione ClamAV) Spyeye (>1%) 3% Hupigon 4% Blackhole 7% Gamevance 10% Zeusbot 10% Megasearch 11% Syfro 14% Multiplug (Adware) Onlinegames 41% 39 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce FIGURA 20 Le prime dieci categorie di host di malware Web nel 2013 In questa figura sono illustrati gli host di malware più frequenti, in base alle ricerche di Cisco TRAC/SIO. Fonte: report di Cisco Cloud Web Security 45% 40% 35% Non classificato Altro 30% 25% 20% 15% Aziende e settore Infrastruttura Web hosting Annunci Computer e Internet Acquisti Notizie Motori di ricerca e portali Community online 10% 5% 0 Gen Feb Mar Apr Mag Giu Lug Ago Set Ott Nov Mese FIGURA 21 Le categorie di malware per percentuale di rilevamenti totali nel 2013 Fonte: Cisco TRAC/SIO 3% (1%) SMS, phishing e likejacking (1%) Costruttori e strumenti di hacking 5% Worm e virus Ransomware e scareware 17% Downloader e dropper 22% Trojan per il furto di dati 23% iFrame ed exploit Trojan multifunzione 27% 40 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Le ricerche di Cisco TRAC/SIO mostrano che il malware diffuso tramite il Web e rilevato più di frequente nel 2013 è rappresentato dai trojan multifunzione, con il 27% dei rilevamenti. Gli script dannosi, come exploit e iframe, sono la seconda categoria rilevata più di frequente, con il 23% dei rilevamenti. I trojan per il furto di dati, come password stealer e backdoor, rappresentano il 22% dei rilevamenti di malware Web, mentre i downloader e i trojan dropper sono al quarto posto, con il 17% dei rilevamenti (vedere la figura 21). La diminuzione costante del numero di host e indirizzi IP univoci di malware (una diminuzione del 30% tra gennaio 2013 e settembre 2013) suggerisce che attualmente il malware si concentra in meno host e meno indirizzi IP (figura 22). Nota: un indirizzo IP può ospitare siti Web per più domini. Poiché il numero di host è in diminuzione, mentre il totale del malware rimane costante, il valore e la reputazione di questi host assumono una maggiore importanza, perché il loro utilizzo favorisce le attività criminali. FIGURA 22 Gli host e gli indirizzi IP univoci di malware nel 2013 Fonte: report di Cisco Cloud Web Security 60.000 Host univoci 50.000 IP univoci 40.000 30.000 20.000 10.000 0 Gen Feb Mar Apr Mag Giu Mese Lug Ago Set Ott Nov 41 Report annuale di Cisco sulla sicurezza 2014 Watering hole: nessuna tregua per le aziende colpite Uno dei modi in cui i criminali tentano di diffondere il malware nelle aziende di specifici segmenti verticali è l'utilizzo di attacchi “watering hole”. Come un cacciatore che osserva la preda, gli autori di crimini informatici che desiderano colpire un particolare gruppo (ad esempio, le persone che lavorano nel settore dell'aviazione) monitorano i siti Web frequentati dal gruppo, infettano con malware uno o più di questi siti e quindi attendono che almeno un utente del gruppo visiti il sito e venga compromesso. Un attacco watering hole sfrutta la fiducia degli utenti attraverso l’uso di siti Web legittimi. Rappresenta anche una forma di spear phishing. Tuttavia, mentre lo spear phishing è rivolto contro singoli individui selezionati, gli attacchi watering hole sono studiati colpire gruppi di persone con interessi comuni. Gli attacchi watering hole non fanno distinzione: chiunque visiti un sito infetto è un potenziale bersaglio. Alla fine di aprile, è stato lanciato un attacco watering hole da specifiche pagine con contenuti relativi all'energia nucleare nel sito Web del Dipartimento del Lavoro degli Stati Uniti.16 A partire dall'inizio di maggio 2013, i ricercatori di Cisco TRAC/ SIO hanno osservato un ulteriore attacco watering hole originato da Continua alla pagina successiva I dati sulle minacce Principali bersagli: i segmenti verticali Secondo le ricerche di Cisco TRAC/ SIO, le aziende in segmenti verticali con profitti elevati, come il settore chimico e farmaceutico e la produzione di componenti elettronici, fanno registrare percentuali superiori di rilevamenti di malware Web. La percentuale aumenta o diminuisce parallelamente all'aumento o alla diminuzione del valore di beni e servizi di un particolare segmento verticale. I ricercatori di Cisco TRAC/SIO hanno osservato un notevole aumento dei rilevamenti di malware nel settore agricolo e in quello minerario, in precedenza considerati relativamente a basso rischio. L'aumento dei rilevamenti di malware in questi settori viene attribuito al tentativo da parte dei criminali informatici di approfittare di tendenze come la minore disponibilità di risorse di metalli preziosi e la riduzione delle forniture alimentari dovuta a fattori climatici. In continuo aumento sono anche i rilevamenti di malware nel settore dell'elettronica. Gli esperti della sicurezza di Cisco indicano che il malware destinato a questo segmento verticale in genere è progettato per consentire ai criminali di impadronirsi di proprietà intellettuale, che viene quindi usata per ottenere un vantaggio sulla concorrenza o venduta al migliore offerente. Per determinare le percentuali di rilevamento di malware per gli specifici settori, i ricercatori di Cisco TRAC/SIO confrontano la percentuale di rilevamento mediana per tutte le aziende che utilizzano Cisco Cloud Web Security con la percentuale di rilevamento mediana per tutte le aziende in uno specifico settore che utilizzano il servizio. Una percentuale di rilevamenti superiore al 100% indica un rischio 42 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Continua dalla pagina precedente diversi altri siti del settore energetico e petrolifero. Alcune analogie, come il modo specifico in cui è stato predisposto un exploit utilizzato in entrambi gli attacchi, hanno fatto pensare a una possibile relazione tra i due episodi. Le ricerche di Cisco TRAC/SIO hanno anche riscontrato l'utilizzo dello stesso strumento di progettazione Web e del medesimo provider di hosting per molti dei siti. Questo potrebbe implicare che la compromissione abbia avuto inizio attraverso attività di phishing o con un furto per impossessarsi delle credenziali di tale provider.17 Per proteggere gli utenti da questi attacchi, è necessario mantenere sempre aggiornati computer e browser Web, in modo da ridurre al minimo il numero di vulnerabilità che possono essere sfruttate. È anche essenziale filtrare il traffico Web e verificare che non contenga malware prima che raggiunga il browser dell'utente. di rilevamenti di malware Web superiore alla norma, mentre una percentuale inferiore al 100% indica un rischio minore. Ad esempio, un'azienda con una percentuale di rilevamenti del 170% presenta un rischio maggiore del 70% rispetto alla mediana. Un'azienda con una percentuale di rilevamento del 70% presenta invece un rischio inferiore del 30% rispetto alla mediana (figura 23). FIGURA 23 I rilevamenti di malware Web e i rischi per settore nel 2013 Fonte: report di Cisco Cloud Web Security 0 Contabilità Agricoltura e settore minerario Settore automobilistico Aviazione Banche e finanza Istituzioni benefiche e ONG Associazioni e organizzazioni Istruzione Elettronica Energia, petrolio e gas Ingegneria ed edilizia Intrattenimento Servizi di ristorazione Pubblica amministrazione Sanità Sistemi di riscaldamento, idraulici e di condizionamento IT e telecomunicazioni Industria Assicurazioni Legale Settore manifatturiero Media ed editoria Settore farmaceutico e chimico Servizi professionali Gestione immobiliare Vendita al dettaglio e all'ingrosso Trasporti e spedizioni Viaggi e tempo libero Servizi pubblici 100% 200% 300% 400% 500% 600% 700% 43 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Le fratture di un ecosistema fragile I criminali informatici si rendono conto che riuscire a sfruttare la potenza dell'infrastruttura Internet comporta molti più vantaggi che ottenere l'accesso ai singoli computer. La tendenza più recente degli exploit dannosi è ottenere l'accesso a server di Web hosting, server dei nomi e data center, con l'obiettivo di trarre vantaggio dall'enorme potenza di elaborazione e larghezza di banda che forniscono. Attraverso questo approccio, gli exploit possono raggiungere molti più utenti di computer inconsapevoli e produrre un impatto molto più vasto sulle aziende colpite, indipendentemente da quale sia l'obiettivo: rivendicare una posizione politica, indebolire un avversario o realizzare guadagni. FIGURA 24 La strategia di infezione efficiente Sito Web compromesso Sito Web compromesso Sito Web compromesso Sito Web compromesso Sito Web compromesso Server host compromesso 44 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Questa tendenza agli attacchi contro l'infrastruttura Internet sostanzialmente rende il Web inaffidabile. I metodi utilizzati per ottenere l'accesso ai server host possono variare e includono tattiche come trojan su workstation di gestione che rubano credenziali di accesso, vulnerabilità negli strumenti di gestione di terze parti utilizzati sui server e tentativi di accesso brute-force (vedere pagina 53). Anche eventuali vulnerabilità sconosciute nello stesso software del server possono fornire punti d'ingresso. Un solo server host compromesso può infettare migliaia di siti Web e proprietari di siti in tutto il mondo (figura 24). I siti Web ospitati nei server compromessi agiscono sia come redirector (l'elemento intermedio nella catena di infezione) che come archivio di malware. Invece di molti siti compromessi che caricano malware da pochi domini dannosi, oggi i domini dannosi si moltiplicano rendendo molto più complicate le azioni di contrasto. I server dei nomi di dominio sono i principali bersagli in questa nuova generazione di attacchi, con metodi che sono ancora in fase di studio. Gli indicatori dimostrano che, oltre ai singoli siti Web e server host, è in corso la compromissione anche dei server dei nomi di determinati provider di hosting. Secondo i ricercatori di Cisco che si occupano di sicurezza, questa tendenza verso gli attacchi contro l'infrastruttura Internet determina un cambiamento notevole nel panorama delle minacce, perché cede ai criminali informatici il controllo di una porzione significativa del Web. [ “I crimini informatici sono diventati tanto redditizi e diffusi da richiedere un'infrastruttura potente per continuare a perpetrarli”, spiega Gavin Reid, direttore di Cisco per i dati sulle minacce. “Compromettendo i server host e i data center, gli autori degli attacchi non solo ottengono l'accesso a grandi quantità di larghezza di banda, ma possono anche sfruttare i vantaggi offerti da tali risorse in termini di disponibilità continua”. ] “I crimini informatici sono diventati tanto redditizi e diffusi da richiedere un'infrastruttura potente per continuare a perpetrarli”. Gavin Reid, direttore di Cisco per i dati sulle minacce 45 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Trovare le connessioni tra gli attacchi: DarkLeech e Linux/CDorked La campagna di attacco DarkLeech segnalata da Cisco nel 201318 mostra che la compromissione dei server host può rappresentare il punto di partenza per una campagna di maggiori dimensioni. Secondo le stime, gli attacchi DarkLeech hanno compromesso, in un breve periodo di tempo, almeno 20.00019 siti Web legittimi di tutto il mondo che utilizzano il software server HTTP Apache. I siti sono stati infettati tramite una backdoor di Secure Shell Daemon (SSHD) che ha consentito agli autori dell'attacco di caricare e configurare moduli Apache dannosi. La compromissione ha consentito di inserire dinamicamente iframe (elementi HTML) in tempo reale nei siti Web ospitati, che distribuivano il codice dell'exploit e altro contenuto dannoso tramite il kit di exploit Blackhole. Poiché gli inserimenti di iframe DarkLeech avvengono solo al momento della visita a un sito, i segni dell'infezione potrebbero non risultare immediatamente evidenti. Inoltre, per evitare il rilevamento della compromissione, i criminali utilizzano una sofisticata matrice di criteri FIGURA 25 Le compromissioni di server DarkLeech per paese nel 2013 Fonte: Cisco TRAC/SIO 0,5% Danimarca 0,5% Irlanda 1% Lituania 1% Paesi Bassi 10% Regno Unito 3% Canada 58% Stati Uniti 1% 2% Belgio Francia 2% Spagna 9% Germania 1% 0,5% Cipro Giappone 0,5% Turchia 0,5% Malesia 2% Italia 1% Svizzera 0,5% Altri 2% Thailandia 1% Australia 2% Singapore 46 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce condizionali, ad esempio inserendo l'iframe solo se il visitatore proviene dalla pagina dei risultati di un motore di ricerca, evitando di inserire l'iframe se l'indirizzo IP del visitatore corrisponde a quello del proprietario del sito o del provider di hosting e inserendo l'iframe solo una volta ogni 24 ore per i singoli visitatori. Le indagini di Cisco TRAC/SIO hanno rivelato che le compromissioni DarkLeech hanno avuto luogo in tutto il mondo. Naturalmente, i paesi con il maggior numero di provider di hosting hanno fatto registrare le percentuali di infezione più alte. I ricercatori di Cisco SIO/TRAC hanno eseguito query su migliaia di server compromessi per verificare la distribuzione delle versioni del software server interessate. Nel mese di aprile 2013 è stata rilevata un'altra backdoor dannosa con cui sono stati infettati centinaia di server che eseguivano il software server HTTP Apache. Linux/CDorked20 ha sostituito il file binario HTTPD nelle versioni di Apache installate tramite cPanel. Sono state FIGURA 26 Le risposte dei server compromessi da DarkLeech Fonte: Cisco TRAC/SIO 0.5% Apache/CentOS 2% Apache/2.2.8 7% Apache/2.2.22 8% Apache/2.2.3 RedHat 39% Apache - non specificato 43% Apache/2.2.3 CentOS 47 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce anche rilevate backdoor analoghe destinate a Nginx e Lighttpd. Con metodi di attacco altrettanto selettivi di quelli di DarkLeech, anche CDorked utilizza criteri condizionali per inserire in modo dinamico gli iframe nei siti Web ospitati sul server interessato. A qualsiasi visitatore che esplora un sito Web infetto viene distribuito contenuto pericoloso da un altro sito Web dannoso, dove un toolkit crimeware tenta di compromettere ulteriormente il PC dell'utente.21 Una caratteristica unica di Linux/CDorked è il fatto che cambia periodicamente i domini dei siti Web, in media ogni 24 ore. I pochi siti compromessi vengono utilizzati per un periodo di tempo superiore. Pertanto, anche se viene segnalato un dominio malware, gli autori dell'attacco si sono già spostati. Inoltre, con Linux/CDorked i provider di hosting vengono cambiati di frequente (ogni due settimane circa), cambiando periodicamente gli host compromessi per evitare il rilevamento. I server dei nomi compromessi presso questi stessi provider di hosting consentono agli autori degli attacchi di spostarsi da un host all'altro senza perdere il controllo dei domini durante il passaggio. Una volta penetrati in un nuovo host, gli autori degli attacchi iniziano un ciclo di nuovi domini, spesso utilizzando nomi di dominio secondo CDorked e DarkLeech sembrano elementi di una strategia più complessa e di ampia portata. lo stile typosquatting22 nel tentativo di apparire legittimi a un osservatore distratto. Le analisi dei modelli di traffico eseguite da Cisco TRAC/SIO per CDorked sembrano indicare una probabile connessione con DarkLeech. In particolare, l'URL referrer opportunamente codificato impiegato da CDorked rivela traffico da DarkLeech. Tuttavia, non è questo il cambiamento più interessante in relazione al malware: sia CDorked che DarkLeech sembrano elementi di una strategia più complessa e di ampia portata. “La sofisticatezza di queste compromissioni suggerisce che i criminali informatici abbiano ottenuto un notevole controllo su migliaia di siti Web e più server host, inclusi i server dei nomi impiegati da tali host”, spiega Gavin Reid, direttore di Cisco per i dati sulle minacce. “In combinazione con la recente ondata di attacchi con accesso brute-force contro singoli siti Web, sembra che stiamo assistendo a un cambiamento di direzione, in cui l'infrastruttura del Web viene utilizzata per formare quella che può solo essere descritta come una grande, e potente, botnet. Questa überbot può essere utilizzata per inviare spam, distribuire malware e lanciare attacchi DDoS su una scala senza precedenti”. 48 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Il traffico dannoso, spesso indizio di attacchi mirati, è rilevato in tutte le reti aziendali Un'analisi condotta da Cisco sulle tendenze dei dati sulle minacce indica che nel 100% delle reti aziendali viene rilevato traffico dannoso. Questo dimostra che i criminali particolarmente preparati o altri soggetti sono riusciti a penetrare nelle reti e potrebbero operare di nascosto e indisturbati a lungo. Tutte le aziende dovrebbero dare per scontato di aver subito almeno una violazione. Non si tratta di determinare se si subirà un attacco, ma piuttosto quando si verificherà e quanto tempo durerà. [ In un recente progetto in cui sono state esaminate le ricerche di DNS (Domain Name Service) originate dall'interno delle reti aziendali, gli esperti di Cisco che si occupano dei dati sulle minacce hanno constatato, nella totalità dei casi, l'utilizzo inappropriato o la compromissione delle reti (figura 27). Ad esempio, il 100% delle reti aziendali analizzate da Cisco presenta traffico destinato a siti Web che contengono malware, mentre il 92% genera traffico verso pagine Web prive di contenuto, che in genere mascherano attività dannose. Il 96% delle reti prese in esame rivela traffico verso server manomessi. ] Cisco ha anche rilevato traffico diretto verso siti Web della pubblica amministrazione o di organizzazioni militari all'interno di aziende che normalmente non hanno a che fare con entità di questo tipo, nonché verso siti Web in aree geografiche ad alto rischio, come paesi sottoposti a embargo commerciale da parte degli Stati Uniti. Cisco ha osservato che tali siti potrebbero essere stati utilizzati per via della reputazione generalmente buona di cui godono le organizzazioni pubbliche o governative. Il traffico verso questi siti potrebbe non essere necessariamente il segno di una compromissione, ma per le aziende che non abitualmente non intrattengono rapporti con la pubblica amministrazione o con le organizzazioni militari, questo tipo di traffico potrebbe indicare che le reti sono state compromesse in modo da consentire ai criminali di utilizzarle per violare siti Web e reti militari o della pubblica amministrazione. 49 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Nonostante gli sforzi per mantenere le minacce al di fuori delle reti, in tutte le aziende esaminate da Cisco nel 2013 sono stati riscontrati segni di traffico sospetto. Il traffico identificato tramite le ricerche di DNS può fornire validi indicatori di compromissione e merita ulteriori indagini da parte delle aziende che desiderano fermare gli autori di queste minacce difficili da rilevare nelle proprie reti. Si tratta di un metodo per aumentare la visibilità su attività criminali che in genere sono molto difficili da individuare. FIGURA 27 La diffusione del traffico dannoso Malware molto pericoloso Connessioni a domini noti come siti di malware o vettori di minacce. 100% Pubblica amministrazione e organizzazioni militari Traffico eccessivo e sospetto verso posizioni che in genere non vengono contattate dal pubblico. 100% Manomissione dell'infrastruttura Connessioni a siti o infrastruttura noti per essere stati compromessi o manomessi. 96% Siti privi di contenuto Connessioni a siti vuoti che potrebbero contenere codice per l'inserimento di malware nei sistemi. 92% Connessioni FTP sospette Connessioni impreviste a siti FTP irregolari. 88% Connessioni VPN sospette Connessioni dall'interno di un'azienda/organizzazione a siti VPN sospetti. 79% Minacce mediante istituti di istruzione Connessioni a università in posizioni sospette, potenzialmente utilizzabili come punti di pivoting per altri tipi di malware. 71% Pornografia Volume molto elevato di tentativi di connettersi a siti di pornografia noti. 50% 50 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce CISCO SECURITY RESEARCH Le nuove tendenze del bitsquatting e i nuovi metodi per bloccare gli attacchi Il cybersquatting, ovvero la pratica di registrare nomi di dominio identici o simili a quelli di marchi ben noti in modo da generare confusione, è uno strumento utilizzato da tempo dai criminali informatici. Di recente, il “bitsquatting”, cioè la registrazione di nomi di dominio con un solo numero binario di differenza rispetto al dominio originale, è diventato un altro metodo per reindirizzare il traffico Internet verso siti che contengono malware o truffe. Il bitsquatting è una forma di cybersquatting che sfrutta gli errori di bit nella memoria dei computer. Un errore di memoria si verifica ogni volta che lo stato di uno o più bit letti dalla memoria cambia rispetto a quello scritto in precedenza. Questi errori di memoria possono essere causati da molti fattori, inclusi i raggi cosmici (particelle energetiche che colpiscono la Terra a una frequenza di 10.000 per metro quadro al secondo), l'utilizzo di un dispositivo al di fuori dei parametri ambientali consigliati, difetti di fabbricazione e perfino esplosioni nucleari a basso rendimento. Cambiando un singolo bit, un dominio come “twitter.com” può diventare il dominio bitsquat “twitte2.com”. L'autore di un attacco può semplicemente registrare un dominio bitsquat, attendere che si verifichi un errore di memoria e quindi intercettare il traffico Internet. I ricercatori che si occupano di sicurezza ritengono che gli attacchi di bitsquatting abbiano maggiore probabilità di verificarsi contro i nomi di dominio risolti di frequente, perché è più probabile che questi domini siano presenti in memoria quando si verificano gli errori di bit. Tuttavia, secondo le previsioni formulate in recenti ricerche di Cisco, i domini che in precedenza non venivano considerati sufficientemente “popolari” per un attacco in realtà producono quantità utili di traffico bitsquat. Questo avviene perché sia la quantità di memoria per ogni dispositivo che il numero di dispositivi connessi a Internet sono in aumento: in base alle stime di Cisco, entro il 2020 37 miliardi di “oggetti intelligenti” saranno connessi a Internet.23 I vettori di attacco del bitsquatting Cisco TRAC/SIO ha identificato alcuni nuovi vettori di attacco per il bitsquatting. •Bitsquatting dei delimitatori dei sottodomini: in base alla sintassi accettata per le etichette dei nomi di dominio, gli unici caratteri validi in un nome di dominio sono A-Z, a-z, 0-9 e il trattino. Tuttavia, durante il controllo dei domini bitsquat, limitando la ricerca a questi caratteri si trascura un importante carattere che è comunque valido all'interno dei nomi di dominio: il punto. Una nuova tecnica di bitsquatting sfrutta gli errori di bit che determinano la trasformazione della lettera “n” (valore binario 01101110) in un punto “.” (valore binario 00101110) e viceversa. •Delimitatori di sottodomini in cui “n” diventa “.”: secondo una variazione della tecnica precedente, se un nome di dominio di secondo livello contiene la lettera “n” seguita da due o più caratteri, si è in presenza di un potenziale bitsquat. Ad esempio, “windowsupdate.com” potrebbe diventare “dowsupdate.com”. •Bitsquat di delimitatori di URL: gli URL rappresentano un contesto molto comune per i nomi di dominio. In un tipico URL le barre “/” operano come delimitatori, che separano lo schema, il nome dell'host e il percorso URL. Cambiando un solo bit, la barra (valore binario 00101111) può diventare la lettera “o” (valore binario 01101111) e viceversa. Continua alla pagina successiva 51 Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce Continua dalla pagina precedente Impedire gli attacchi di bitsquatting con una RPZ bitsquat Se le due tecniche di mitigazione utilizzate più di frequente per impedire il bitsquatting hanno senz'altro il loro posto tra gli strumenti di sicurezza disponibili, nessuna delle due è ottimale. •Utilizzare memoria con correzioni degli errori (ECC): per rendere efficace questa soluzione, sarebbe necessario aggiornare simultaneamente l'intera base di dispositivi installati. •Registrare il dominio bitsquat in modo che non possa essere registrato da terze parti: questo non sempre è possibile, dal momento che molti domini bitsquat sono già stati registrati. A seconda della lunghezza del nome di dominio, questa soluzione può anche rivelarsi costosa. Fortunatamente, queste tecniche di mitigazione non sono le uniche che gli esperti della sicurezza possono implementare per proteggere gli utenti da reindirizzamenti accidentali del traffico Internet. Con un livello di adozione sufficiente, le nuove tecniche di mitigazione potrebbero eliminare quasi completamente il problema del bitsquatting. Ad esempio, le RPZ (Response Policy Zone) rappresentano un'opzione di configurazione fin da BIND versione 9.8.1 e sono disponibili patch per le versioni precedenti di BIND (BIND è un software DNS Internet ampiamente utilizzato). Le RPZ sono file di zona locale che consentono al resolver DNS di rispondere a specifiche richieste DNS segnalando che il nome di dominio non esiste (NXDOMAIN), reindirizzando l'utente a un “walled garden” (una piattaforma chiusa) o offrendo altre possibilità. Per attenuare gli effetti degli errori a singolo bit per gli utenti di un resolver DNS, l'amministratore del resolver può creare una RPZ che garantisca la protezione dai bitsquat dei nomi di dominio risolti di frequente o solo interni. Ad esempio, la RPZ può essere impostata in modo che qualsiasi richiesta effettuata al resolver DNS di varianti bitsquat di questi domini ottenga una risposta NXDOMAIN, “correggendo” silenziosamente gli errori di bit senza alcuna attività da parte del client in cui si verificano.24 52 Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore Gli specialisti di Cisco SIO analizzano le tendenze di settore che vanno oltre i dati di telemetria di Cisco. 53 Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore Tentativi di accesso brute-force: una delle tattiche più diffuse per compromettere i siti Web Anche se i tentativi di accesso brute-force non rappresentano assolutamente una tattica nuova per i criminali informatici, il loro utilizzo è aumentato di tre volte nella prima metà del 2013. Nel corso delle indagini, i ricercatori di Cisco TRAC/SIO hanno scoperto un hub di dati utilizzati per queste attività. Includeva 8,9 milioni di possibili combinazioni di nome utente e password, incluse password complesse (non del tipo “password123”, facile da violare). Le credenziali utente rubate consentono di mantenere questo elenco e altri simili sempre aggiornati. FIGURA 28 Il funzionamento dei tentativi di accesso brute-force Il PC contatta il server di comando e controllo e scarica un trojan. Il PC recupera i nomi dei siti da colpire dal server di comando e controllo. Il PC attacca il sito utilizzando vari exploit CMS/tentativi di accesso brute-force. In caso di successo, il PC carica il bot PHP e altri script nel sito Web compromesso. I siti Web interessati diventano quindi relay di spam. Alle future vittime viene inviato il downloader e il ciclo si ripete. 54 Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore [ I principali bersagli dei più recenti tentativi di accesso brute-force sono piattaforme per sistemi di gestione del contenuto (CMS) ampiamente utilizzate, come WordPress e Joomla. I tentativi riusciti di accesso non autorizzato tramite una piattaforma CMS offrono agli autori dell'attacco la possibilità di caricare backdoor PHP (Hypertext Preprocessor) e altri script dannosi nei siti Web compromessi. In alcuni casi, la compromissione può consentire di arrivare fino a un server host per impossessarsene ] (figura 28). Considerando che nel mondo esistono più di 67 milioni di siti WordPress, e che numerosi editori utilizzano la piattaforma per creare blog, siti di notizie, siti aziendali, riviste, social network, siti sportivi e altro ancora, non sorprende che molti criminali informatici abbiano scelto di ottenere l'accesso tramite questa piattaforma CMS.25 Anche Drupal, una piattaforma CMS in rapida crescita, è stata colpita quest'anno. Ad esempio, a maggio la società ha consigliato agli utenti di cambiare le proprie password perché “è stato effettuato un accesso non autorizzato [a Drupal] tramite software di terze parti installato nell'infrastruttura di server Drupal.org”.26 Molti criminali informatici scelgono di ottenere l'accesso tramite la piattaforma CMS Tuttavia, non è solo la diffusione di questi sistemi a renderli dei bersagli interessanti. Molti di questi siti, anche se risultano attivi, sono stati abbandonati dai loro proprietari. Vi sono probabilmente milioni di blog abbandonati e domini acquistati inattivi, molti dei quali oggi potrebbero essere diventati di proprietà di criminali informatici. Gli esperti della sicurezza di Cisco prevedono che il problema potrà solo aggravarsi, dato che nei mercati Internet emergenti di tutto il mondo sempre più persone creeranno un blog o un sito Web, molti dei quali finiranno inevitabilmente per restare trascurati. L'ampio uso di plug-in, progettati per estendere le funzionalità di un sistema CMS e per supportare video, animazioni e giochi, rappresenta una situazione ideale per chi desidera ottenere un accesso non autorizzato a piattaforme come WordPress e Joomla. Numerose compromissioni di CMS osservate dai ricercatori Cisco nel 2013 possono essere fatte risalire a plug-in creati nel linguaggio di scripting Web PHP, progettati in modo poco accurato e senza tenere conto della sicurezza. 55 Report annuale di Cisco sulla sicurezza 2014 AMPLIFICAZIONE DNS: tecniche di mitigazione [Secondo gli esperti della sicurezza Cisco, gli attacchi sferrati tramite amplificazione DNS continueranno a rappresentare un rischio anche nel 2014. Open Resolver Project (openresolverproject.org) indica che, nel mese di ottobre 2013, la presenza di 28 milioni di resolver aperti su Internet rappresenta una “minaccia significativa” (si tenga presente che per l'attacco DDoS da 300 Gbps contro Spamhaus sono stati utilizzati solo 30.000 resolver aperti). ] Se un resolver è aperto, non filtra le destinazioni a cui invia le risposte. DNS utilizza il protocollo UDP, che è stateless, il che significa che una richiesta può essere effettuata per conto di un'altra parte. Tale parte riceve quindi una quantità di traffico amplificata. Per questo motivo, identificare i resolver aperti (e intervenire per chiuderli) deve diventare una priorità del settore per il prossimo futuro. Le aziende possono ridurre la possibilità di un attacco lanciato tramite amplificazione DNS in diversi modi, inclusa l'implementazione della BCP (Best Current Practice) 38 di Internet Engineering Task Force per evitare di essere l'origine di attacchi. Questa BCP raccomanda ai provider upstream di connettività IP di filtrare Continua alla pagina successiva La panoramica del settore Attacchi DDoS: una vecchia tecnica sempre attuale Gli attacchi DDoS (Distributed Denial of Service), che interrompono il traffico da e verso i siti Web colpiti e possono paralizzare i provider di servizi Internet (ISP), sono in aumento sia per volume che per gravità. Poiché gli attacchi DDoS da tempo non rappresentano più una novità in termini di tecniche per i crimini informatici, molte aziende erano certe che le misure di sicurezza adottate potessero fornire una protezione adeguata. Questa certezza è stata tuttavia messa in discussione dagli attacchi DDoS su vasta scala registrati nel 2012 e nel 2013, inclusa l'Operazione Ababil, diretta contro diversi istituti finanziari, probabilmente con motivazioni politiche.27 “Gli attacchi DDoS dovrebbero rappresentare una delle principali preoccupazioni per la sicurezza delle aziende del settore pubblico e privato nel 2014”, spiega John N. Stewart, vicepresidente senior e Chief Security Officer di Cisco. “In futuro dobbiamo aspettarci campagne ancora più vaste e prolungate. Le aziende, in particolare quelle che operano o hanno interessi in settori che rappresentano già importanti bersagli, come i servizi finanziari e l'energia, devono chiedersi se sono in grado di resistere a un attacco DDoS?” Secondo una nuova tendenza, alcuni attacchi DDoS vengono probabilmente utilizzati per nascondere altre attività criminali, come truffe legate ai trasferimenti di fondi, durante o dopo una campagna (vedere “DarkSeoul” a pagina 57). Questi attacchi possono interferire con le attività del personale delle 56 Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore Continua dalla pagina precedente i pacchetti che entrano nelle loro reti dai clienti downstream ed eliminare qualsiasi pacchetto con un indirizzo di origine non allocato al cliente.30 Alla creazione di questa BCP ha collaborato anche Cisco, che offre linee guida per la distribuzione di uRPF, la propria implementazione.31 Un'altra tecnica di mitigazione è configurare tutti i server DNS autorevoli per l'utilizzo della limitazione della velocità. Il server dei nomi autorevole, che gestisce il dominio di un'azienda, generalmente è aperto a tutte le richieste. DNS Response Rate Limiting (DNS RRL) è una funzionalità che è possibile attivare per impedire che un server DNS risponda troppe volte alla stessa richiesta dalla stessa entità, evitando che l'azienda venga sfruttata come intermediario per attacchi DDoS. DNS RRL è abilitato nei server DNS e offre agli amministratori dei server un modo per limitare l'efficacia con cui un server può essere utilizzato negli attacchi di amplificazione. DNS Response Rate Limiting è una nuova funzionalità e non è supportata da tutti i server DNS; è comunque supportata da ISC BIND, un server DNS molto diffuso. Inoltre, tutti i server DNS ricorsivi devono essere configurati con un elenco di controllo di accesso (ACL), in modo da rispondere solo alle query dagli host nella propria rete. Un ACL Continua alla pagina successiva banche, impedire l'invio ai clienti di notifiche dei trasferimenti e impedire ai clienti di segnalare frodi. Inoltre, anche quando riesce a riprendersi da un evento del genere, un istituto non è in grado di recuperare le perdite finanziarie. Un attacco di questo tipo, che ha avuto luogo il 24 dicembre 2012 contro il sito Web di un istituto finanziario della California, “ha contribuito a distrarre i funzionari della banca dalla violazione del conto online di uno dei clienti, permettendo ai criminali di sottrarre più di 900.000 dollari”.28 I criminali informatici diventano sempre più competenti per compromettere i server host e in futuro sarà più semplice per loro lanciare attacchi DDoS e mettere a segno furti ai danni delle aziende (vedere “Le fratture di un ecosistema fragile” a pagina 43). Impadronendosi di una parte dell'infrastruttura Internet, gli autori degli attacchi possono trarre vantaggio da grandi quantità di larghezza di banda, trovandosi in una posizione ideale per lanciare un numero illimitato di potenti campagne. Hanno già iniziato: ad agosto 2013, il governo cinese ha reso noto di avere subito un attacco DDoS senza precedenti, che ha mandato fuori uso la rete Internet cinese per circa quattro ore.29 Anche gli spammer utilizzano gli attacchi DDoS per colpire le organizzazioni che ostacolano le loro attività. A marzo 2013, l'organizzazione no-profit Spamhaus, che tiene traccia degli spammer e ha creato Spamhaus Block List, una directory di indirizzi IP sospetti, è stata bersaglio di un attacco DDoS che ha reso temporaneamente non disponibile il suo sito Web e rallentato il traffico Internet a livello mondiale. Gli autori dell'attacco sarebbero affiliati a CyberBunker, un provider di hosting con condizioni di utilizzo particolarmente permissive che ha sede nei Paesi Bassi, e STOPhaus, che ha pubblicamente espresso la propria disapprovazione per l'attività di Spamhaus. L'attacco DDoS è stato sferrato dopo che il servizio Spamhaus, ampiamente utilizzato, ha incluso CyberBunker nella propria blacklist. In quella che appare una vera e propria rappresaglia, i sospetti spammer hanno tentato di portare offline Spamhaus tramite un attacco DDoS. 57 Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore Continua dalla pagina precedente non gestito correttamente può essere un fattore primario negli attacchi DNS, in particolare su server di grandi dimensioni con grandi quantità di larghezza di banda disponibile. Questa tecnica aiuta anche a ridurre la possibilità di operare come intermediari in un attacco DDoS. “Poiché a livello di settore si sta discutendo della possibilità di consentire ai server dei nomi autorevoli di disabilitare il servizio verso le entità che finiscono per diventare intermediari in attacchi DDoS, per le aziende è consigliabile impiegare le semplici tecniche di mitigazione descritte in precedenza”, afferma Gavin Reid, direttore di Cisco per i dati sulle minacce. Per ulteriori informazioni sulle best practice relative a DNS, fare riferimento al documento “DNS Best Practices, Network Protections, and Attack Identification”: http://www. cisco.com/web/about/security/ intelligence/dns-bcp.html. In questo caso, è stato impiegato un attacco di amplificazione DNS, che sfrutta i resolver DNS aperti che rispondono anche alle query all'esterno del proprio intervallo IP. Inviando a un resolver aperto una query molto piccola appositamente progettata con un indirizzo di origine del bersaglio sottoposto a spoofing, gli autori dell'attacco possono generare una risposta significativamente più grande da parte del bersaglio designato. Dopo il fallimento dei tentativi iniziali di portare offline Spamhaus, gli autori dell'attacco hanno impiegato una tecnica di amplificazione DNS contro provider upstream di livello 1 e di altro tipo di Spamhaus. DarkSeoul Come osservato nella sezione “Attacchi DDoS: una vecchia tecnica sempre attuale”, il nuovo interesse dei criminali informatici a compromettere i server host e la loro preparazione tecnica sempre più approfondita stanno rendendo più semplice lanciare attacchi DDoS e mettere a segno furti ai danni delle aziende. Secondo i ricercatori di Cisco che si occupano di sicurezza, le future campagne DDoS saranno probabilmente in grado di interrompere i servizi e arrecare danni significativi, come perdite finanziarie dovute a furti. Gli attacchi DarkSeoul del marzo 2013 includevano malware “wiper” progettato per distruggere i dati nei dischi rigidi di decine di migliaia di PC e server. Gli attacchi prendevano di mira istituti finanziari e aziende multimediali in Corea del Sud, con il payload impostato per attivarsi contemporaneamente. Il malware wiper tuttavia rappresenta solo un aspetto dell'attacco. Nello 58 Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore stesso momento in cui il malware è stato attivato, è stato eseguito il defacing del sito Web del provider di rete coreano LG U+ e le reti di altre aziende colpite hanno iniziato a subire interruzioni, capacità non riproducibili nel malware wiper.32 Alcuni ritengono che gli attacchi siano conseguenza della guerra informatica scatenata dalla Corea del Nord per indebolire economicamente la Corea del Sud o che rappresentino un atto di sabotaggio da parte di un altro stato. Rimane tuttavia la possibilità che gli attacchi DarkSeoul siano stati ideati per nascondere operazioni finanziarie.33 I ricercatori stanno ancora tentando di comprendere questi attacchi e di individuarne i responsabili, ma le prove indicano che la progettazione di DarkSeoul sia iniziata già nel 2011. In quell'anno, il Federal Bureau of Investigation (FBI) ha segnalato per la prima volta la diffusione di trojan per il settore bancario, progettati per nascondere trasferimenti di fondi fraudolenti dai conti delle vittime.34 Quindi, nel 2012, la società di sicurezza RSA ha reso nota la presenza di una nuova generazione di criminali informatici che starebbero ideando una sofisticata campagna trojan da lanciare in un giorno prefissato allo scopo di “prelevare denaro dal maggior numero possibile di conti compromessi prima che le operazioni vengano arrestate dai sistemi di sicurezza”.35 Infine, alla vigilia di Natale del 2012, alcuni criminali online hanno utilizzato un attacco DDoS come copertura durante un furto da un istituto finanziario della California.36 Secondo gli specialisti di Cisco TRAC/SIO, un file binario di malware identificato negli attacchi DarkSeoul contro aziende multimediali e istituti finanziari è un trojan per il settore bancario destinato specificamente ai clienti delle stesse banche coreane. Questo fatto, insieme alla sequenza temporale delle tendenze dei crimini informatici che hanno portato a DarkSeoul, indica che la campagna potrebbe essere un modo per distogliere l'attenzione dai furti. Ransomware [ Per tutto il 2013, gli autori degli attacchi si sono progressivamente allontanati dalle tradizionali infezioni di PC tramite botnet. In parte, questo cambiamento ha comportato un maggiore utilizzo del ransomware come payload malware finale da siti Web compromessi, e-mail dannose e trojan downloader. Il ransomware è una categoria di malware che impedisce il normale funzionamento dei sistemi infetti finché non viene effettuato il pagamento di una somma prestabilita. ] Per tutto il 2013, gli autori degli attacchi si sono progressivamente allontanati dalle tradizionali infezioni di PC tramite botnet. Il ransomware assicura agli autori degli attacchi una fonte di entrate diretta, ma al tempo stesso difficile da tracciare senza l'utilizzo di servizi in lease intermedi, come quelli forniti dalle botnet tradizionali. Il successo 59 Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore di questa nuova forma di crimine riproduce le dinamiche delle economie locali legittime in cui si è assistito a un significativo aumento delle imprese individuali come risultato della perdita di posti di lavoro e della crisi economica, ma in questo caso la motivazione dei criminali informatici è la perdita di disponibilità delle botnet e di kit di exploit accessibili dovuta alle azioni di contrasto. Nell'autunno del 2013, un nuovo tipo di ransomware, denominato CryptoLocker, ha iniziato a crittografare i file delle vittime con una combinazione di coppie di chiavi a 2048 bit RSA e AES-256, considerate impossibili da violare. Una volta in azione, CryptoLocker non si limita al computer locale ma include i tipi di file corrispondenti in qualsiasi unità scrivibile connessa al sistema. Al termine della routine di crittografia, alle vittime viene presentata una serie di finestre di dialogo che forniscono istruzioni dettagliate per il pagamento del riscatto (figura 29). Viene inoltre visualizzato un timer che indica il tempo concesso per il pagamento (variabile da 30 a 100 ore). La finestra di dialogo segnala inoltre che, se il riscatto non viene pagato entro il periodo di tempo specificato, la chiave privata verrà eliminata dal server di comando e controllo, dopodiché risulterà impossibile decrittografare i file. CryptoLocker ha raggiunto la massima diffusione a metà ottobre, probabilmente in risposta alla perdita dei kit di exploit Blackhole e Cool in seguito all'arresto del presunto autore di questi framework. FIGURA 29 Le istruzioni di CryptoLocker per il pagamento del riscatto 60 Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore La carenza di esperti della sicurezza e le lacune delle soluzioni [ La sofisticatezza delle tecnologie e delle tattiche utilizzate dai criminali informatici, la quantità degli attacchi e delle minacce richiedono risorse superiori alla capacità dei team IT e della sicurezza. La maggior parte delle aziende non dispone di personale o sistemi sufficienti per monitorare costantemente le reti e determinare in che modo avvengono le infiltrazioni. ] La carenza di esperti della sicurezza aggrava ulteriormente il problema: anche quando i budget sono generosi, i CISO faticano a trovare personale qualificato che sia anche aggiornato sugli ultimi sviluppi e le tendenze del settore. Secondo le stime per tutto il 2014 la domanda di esperti della sicurezza resterà ancora insoddisfatta per oltre un milione di professionisti in tutto il mondo. Vi è anche una carenza di esperti della sicurezza con competenze di data science: I CISO faticano a trovare personale qualificato e aggiornato sugli ultimi sviluppi e le tendenze della sicurezza. comprendere e analizzare i dati della sicurezza può contribuire a migliorare l'allineamento agli obiettivi di business (vedere l'appendice a pagina 68, “I team della sicurezza hanno bisogno di data scientist: gli strumenti di base per l'analisi dei dati per i professionisti della sicurezza”). 61 Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore Il cloud come nuovo perimetro Come riferiscono i CISO agli esperti della sicurezza di Cisco (vedere pagina 18), il trasferimento nel cloud di volumi sempre maggiori di dati aziendali importanti presenta problemi non trascurabili per la sicurezza. Secondo Michael Fuhrman, vicepresidente dell’engineering di Cisco, la rivoluzione introdotta dal cloud è paragonabile alla diffusione delle soluzioni basate sul Web alla fine degli anni '90. “Si è trattato di un cambiamento radicale nell'utilizzo delle nuove tecnologie da parte delle aziende e allo stesso tempo abbiamo assistito a un aumento degli attacchi online da parte dei criminali informatici”, spiega Fuhrman. “Oggi il cambiamento è introdotto dal cloud. Non solo le aziende ospitano molte delle loro applicazioni critiche nel cloud, ma stanno anche utilizzando il cloud per utilizzare e analizzare le informazioni aziendali importanti”. La diffusione del cloud computing è innegabile e inarrestabile. La diffusione del cloud computing è innegabile e inarrestabile. Secondo le previsioni di Cisco, il traffico di rete del cloud aumenterà più di tre volte entro il 2017.37 [ Dal 2014 in poi, gli esperti della sicurezza possono aspettarsi di vedere l'intero perimetro aziendale spostarsi nel cloud. Negli ultimi anni i confini della rete sono diventati molto meno definiti. Parallelamente alla maggiore disponibilità di applicazioni e dati nel cloud, le aziende stanno rapidamente perdendo la capacità di sapere chi e cosa attraversa i confini aziendali e quali azioni stanno eseguendo gli utenti. ] Questa transizione verso il cloud cambia le regole del gioco perché ridefinisce la posizione in cui si archiviano, si spostano e si utilizzano i dati, oltre a offrire maggiori opportunità per gli autori degli attacchi. Al timore di cedere al cloud il controllo dei dati si aggiunge la mancanza di informazioni sul modo in cui i fornitori di servizi cloud difendono i loro prodotti dalle violazioni della sicurezza. Spesso le aziende non mettono in discussione il contenuto degli SLA (Service-Level Agreement) dei fornitori o non verificano la frequenza con cui questi aggiornano il proprio software di sicurezza o applicano patch alle vulnerabilità. 62 Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore Le aziende devono avere la certezza che un fornitore di servizi cloud utilizzi gli strumenti e le strategie più sofisticati attualmente disponibili per contrastare gli attacchi o per rilevarli e fermarli mentre sono in corso. Per i team responsabili della sicurezza delle informazioni, la decisione di passare al cloud spesso si riduce a una sola domanda: “Quali controlli deve effettuare un provider perché possa essere ritenuto affidabile per la gestione e la protezione dei dati?” Dall'altra parte, i fornitori di servizi cloud hanno difficoltà a identificare e implementare un insieme di controlli gestibile, conforme a un crescente numero di normative internazionali necessarie per affrontare un panorama di minacce sempre più ostile. “Quando scegliamo i nostri fornitori per la sicurezza e l'infrastruttura critica, spesso ci basiamo sulla reputazione e le qualifiche tecniche”, spiega John N. Stewart, vicepresidente senior e Chief Security Officer di Cisco. “Ultimamente anche i loro processi interni e il nuovo approccio alla sicurezza sono diventati criteri sempre più importanti nella selezione”. I fattori che rendono il cloud pericoloso, ad esempio la collocazione all'esterno del perimetro di rete e l’uso per dati business-critical, sono gli stessi che consentono alle aziende di prendere decisioni sulla sicurezza più accurate e quasi in tempo reale . Con l’aumento del traffico che attraversa il cloud, le soluzioni di sicurezza che a loro volta impiegano il cloud possono analizzare questo traffico in modo semplice e veloce e ottenere così informazioni aggiuntive. Inoltre, per le imprese più piccole o con budget limitati, un servizio cloud ben protetto e ben gestito può offrire più garanzie di sicurezza rispetto ai server e ai firewall interni all'azienda. “Quando scegliamo i nostri fornitori per la sicurezza e l'infrastruttura critica, spesso ci basiamo sulla reputazione e le qualifiche tecniche. Ultimamente anche i loro processi interni e il nuovo approccio alla sicurezza sono diventati criteri sempre più importanti nella selezione”. John N. Stewart, vicepresidente senior e Chief Security Officer di Cisco 63 Report annuale di Cisco sulla sicurezza 2014 I consigli Molte aziende hanno difficoltà a formulare una visione della sicurezza supportata da una strategia efficace, in grado di utilizzare nuove tecnologie, semplificare l'architettura e le operazioni e aumentare l'efficienza dei team responsabili della sicurezza. 64 Report annuale di Cisco sulla sicurezza 2014 I consigli Obiettivi per il 2014: verificare l'affidabilità e migliorare la visibilità Oggi il livello di affidabilità di una rete o un dispositivo deve essere valutato in modo dinamico. Spesso le aziende sono costrette a operare con modelli di sicurezza frammentati e inevitabilmente applicati in modo incoerente, che producono dati isolati sulle minacce e richiedono una moltitudine di fornitori e prodotti da gestire. Le connessioni tra le aziende, le organizzazioni, i dati e gli attacchi lanciati dai criminali informatici sono semplicemente troppo complesse per essere gestite con una singola appliance. Inoltre, la maggior parte delle aziende non dispone del personale di sicurezza con le competenze e l'esperienza necessari per adattare i modelli di sicurezza alle sfide e alle opportunità specifiche del cloud computing, della mobilità e delle altre nuove tendenze tecnologiche che influenzano le attività aziendali. Nell'ultimo anno le aziende di tutti i tipi hanno tentato con difficoltà di comprendere come adottare l'innovazione senza creare nuove vulnerabilità o aumentare quelle esistenti. Il 2013 ha anche portato in primo piano il problema della fiducia. Oggi gli utenti di ogni tipo sono più portati a dubitare dell'affidabilità delle tecnologie che utilizzano ogni giorno sul lavoro o nella vita privata. È quindi quanto mai importante per i fornitori di tecnologie garantire ai clienti la sicurezza dei processi di produzione. [“In questa fase di transizione del mercato la fiducia è molto importante e i processi e le tecnologie devono essere parte integrante della progettazione del prodotto, affinché un fornitore sia in grado di soddisfare le esigenze dettate dalle attuali minacce”, afferma il Chief Security Officer di Cisco, John N. Stewart. “La promessa di un'azienda non è sufficiente. Le aziende devono essere sottoposte a verifica attraverso certificazioni dei prodotti, processi di sviluppo integrati, tecnologie innovative e un’ottima reputazione nel proprio settore. Occorre anche verificare l'affidabilità dei prodotti tecnologici che si utilizzano e dei fornitori che li producono”. ] 65 Report annuale di Cisco sulla sicurezza 2014 I consigli Anche un migliore allineamento tra le attività svolte per implementare la sicurezza e gli obiettivi di business è importante per rafforzare la sicurezza aziendale. In un panorama caratterizzato da risorse limitate e budget ridotti, questo allineamento può aiutare i CISO e gli altri responsabili della sicurezza dell'azienda a identificare i principali rischi e gli approcci appropriati per mitigarli. Parte di questo processo è accettare il fatto che non tutte le risorse aziendali possono essere completamente protette in qualsiasi momento. “È necessario definire di comune accordo le priorità dal punto di vista della sicurezza informatica”, spiega Gavin Reid, direttore di Cisco per i dati sulle minacce. “Si tratta di un approccio più produttivo rispetto a sperare di trovare un rimedio universale per tutti i problemi”. Per affrontare le attuali sfide della sicurezza, le aziende devono esaminare in modo olistico i propri modelli di sicurezza e ottenere la visibilità su tutte le fasi degli attacchi. •Prima di un attacco: per difendere la propria rete, le aziende devono conoscerne il contenuto: dispositivi, sistemi operativi, servizi, applicazioni, utenti e altro. Inoltre, devono implementare controlli di accesso, applicare policy di sicurezza e controllare le applicazioni e l'accesso complessivo alle risorse critiche. Le policy e i controlli sono tuttavia solo una piccola parte della strategia complessiva. Queste misure possono contribuire a ridurre la superficie di attacco, ma resteranno sempre delle falle che i criminali potrebbero cercare di sfruttare a proprio vantaggio. •Durante un attacco: le aziende devono fare fronte a diversi vettori di attacco con soluzioni in grado di operare ovunque la minaccia si manifesti: nella rete, negli endpoint, nei dispositivi mobili e negli ambienti virtuali. L’adozione di soluzioni efficaci facilita il compito degli esperti della sicurezza di bloccare le minacce e contribuire alla difesa dell'ambiente aziendale. •Dopo un attacco: inevitabilmente molti attacchi hanno successo. Per questo motivo, le aziende devono definire un piano di emergenza formale per determinare l'ambito del danno, contenere l'evento, applicare contromisure e riportare le operazioni alla normalità il più velocemente possibile. [ “Gli autori degli attacchi e i loro strumenti si sono evoluti in modo da eludere le difese tradizionali. In realtà non si tratta più di determinare se gli attacchi andranno a buon fine, ma piuttosto quando succederà”, afferma Marty Roesch, Chief Security Architect del gruppo Security di Cisco. “È necessario adottare un approccio alla sicurezza basato sulla visibilità e sul controllo delle minacce per proteggere gli utenti in tutte le fasi: prima, durante e dopo un attacco.” ] 66 Report annuale di Cisco sulla sicurezza 2014 I consigli L'utilità dei servizi per risolvere le sfide della sicurezza L'ampiezza della superficie esposta agli attacchi, la diffusione e la sofisticatezza dei modelli di attacco e l'aumento della complessità della rete rappresentano ostacoli concreti per le aziende che tentano di formulare una visione della sicurezza in grado di utilizzare nuove tecnologie, semplificare l'architettura e le operazioni e aumentare l'efficienza dei team. La carenza di esperti della sicurezza, come descritto a pagina 60, complica questi problemi. Inoltre, l'innovazione nel settore della sicurezza avviene a un ritmo superiore a quello con cui le aziende riescono ad adottare e rendere operativi i nuovi strumenti. Riuscire a trovare i professionisti con le competenze necessarie per gestire efficacemente i continui cambiamenti del panorama della sicurezza non è facile. Avvalendosi della consulenza esterna di professionisti specializzati le aziende non solo possono ridurre le spese, ma anche liberare il personale interno e dedicarlo ad altre attività strategiche. Rafforzare gli anelli deboli della catena Prevenire le minacce è naturalmente di vitale importanza per mantenere la sicurezza informatica. Dato l’aumento dei criminali informatici che hanno come obiettivo la compromissione dell'infrastruttura Internet invece dei singoli computer, gli esperti della sicurezza Cisco incoraggiano gli ISP e le società di servizi hosting ad assumere un ruolo più proattivo nella protezione dell'integrità di Internet. Per riuscire a identificare le minacce difficili da rilevare come DarkLeech e Linux/CDorked (vedere pagina 45) è necessaria una maggiore collaborazione da parte dei provider di servizi hosting, ad esempio con l’indagine approfondita delle segnalazioni degli utenti. Inoltre i provider di servizi dovrebbero implementare procedure di controllo migliori per poter verificare l'integrità delle proprie installazioni dei sistemi operativi server. Secondo gli specialisti di Cisco, nel caso di malware silenzioso come CDorked, i team della sicurezza non sarebbero stati in grado di determinare che il file binario era stato sostituito se non avessero avuto modo di verificare l'integrità dell'installazione. I sistemi dei singoli utenti sono ovviamente soggetti a compromissioni, ma di solito la catena è già indebolita altrove molto prima che vengano colpiti. Sempre più spesso l'attacco avviene nella parte centrale della catena. Per questo motivo, i provider devono avere una migliore conoscenza delle potenziali minacce che possono colpire l'infrastruttura Internet. 67 Report annuale di Cisco sulla sicurezza 2014 Appendice 68 Report annuale di Cisco sulla sicurezza 2014 Appendice I team della sicurezza hanno bisogno di data scientist Gli strumenti di base per l'analisi dei dati per i professionisti della sicurezza I team dei Chief Security Officer (CSO) stanno raccogliendo quantità enormi di dati troppo preziosi per non essere sfruttati pienamente. L'analisi dei dati sulla sicurezza fornisce indizi sulle attività degli autori degli attacchi e informazioni concrete su come contrastarli. L'analisi dei dati non è una novità per i responsabili della sicurezza, che hanno già familiarità anche con le procedure per la generazione e la classificazione dei record. I penetration tester documentano un’indagine dopo una valutazione. I progettisti dei sistemi operativi implementano i sottosistemi di controllo. Gli sviluppatori delle applicazioni progettano le applicazioni che generano i log. Indipendentemente da come vengono chiamati i record, è chiaro che i responsabili della sicurezza hanno a disposizione una grande quantità di dati, l'analisi dei quali può condurre a importanti scoperte. Se l'analisi dei dati di per sé non è una novità, l'evoluzione del panorama della sicurezza ha avuto un impatto sul processo di I responsabili della sicurezza hanno a disposizione una grande quantità di dati e la loro analisi può condurre a importanti scoperte. analisi dei dati: •Il volume di dati generati è enorme; •la frequenza delle analisi ad hoc dei dati necessarie sta aumentando; •i report standardizzati, per quanto utili, non sono sufficienti. 69 Report annuale di Cisco sulla sicurezza 2014 Appendice Fortunatamente, anche in questo ambiente complesso, le difficoltà che presenta l'analisi dei dati ai responsabili della sicurezza non sono insormontabili e l'ecosistema di strumenti di analisi dei dati è molto diversificato. Di seguito viene fornita una panoramica di alcuni degli strumenti disponibili gratuitamente che è possibile utilizzare per le attività di base di analisi dei dati. L'analisi del traffico con Wireshark e Scapy Due strumenti eccellenti per l'analisi del traffico sono Wireshark e Scapy. Wireshark non ha bisogno di presentazioni. Scapy è uno strumento basato su Python che può essere utilizzato sia come modulo Python che in modalità interattiva per l'elaborazione o l'ispezione del traffico. L'ampio set di strumenti da riga di comando e le funzionalità per la scomposizione dei protocolli di cui è dotato, rendono Wireshark indispensabile. Ad esempio, utilizzando il campo di filtro di visualizzazione tcp.stream di Wireshark, un file pcap che contiene più flussi TCP può essere suddiviso in file più piccoli, ognuno dei quali contiene tutti i pacchetti che appartengono a un singolo flusso TCP. La figura A1 illustra questo comando che restituisce l'indice del flusso TCP dei primi cinque pacchetti TCP in traffic_sample.pcap. FIGURA A1 Comando tshark per estrarre l'indice tcp.stream tshark -r traffic_sample.pcap -T fields -e tcp.stream tcp | head -n 5 tshark è uno degli strumenti da riga di comando di Wireshark. tcp.stream fa riferimento al campo di indice del flusso per i filtri di visualizzazione TCP. 70 Report annuale di Cisco sulla sicurezza 2014 Appendice Con queste informazioni, è possibile scrivere uno script che suddivida traffic_sample.pcap in singoli file pcap: $ cat ~/bin/uniq_stream.sh #!/bin/bash function getfile_name() { orig_name=$1 stream=$2 file_name=”$(echo $orig_name | cut -d’.’ -f1)” file_name+=”-${stream}.pcap” echo “${file_name}” return 0 } streams=$(tshark -r ${1} -T fields -e tcp.stream | sort -un | tr ‘\n’ ‘ ‘) for x in ${streams} do file_name=$(getfile_name ${1} ${x}) echo “Creating ${file_name}...” tshark -r ${1} -w $file_name tcp.stream eq ${x} done $ Lo script crea un singolo file pcap per ognuno dei 147 flussi TCP in traffic_sample.pcap. In questo modo è più semplice eseguire ulteriori analisi su ciascun flusso TCP. Si noti che i pacchetti non TCP in traffic_sample.pcap non saranno contenuti in alcuno dei nuovi file pcap: $ /bin/uniq_stream.sh traffic_sample.pcap Creating traffic_sample-1,pcap... Creating traffic_sample-2,pcap... … … Creating traffic_sample-146,pcap... Creating traffic_sample-147,pcap... 71 Report annuale di Cisco sulla sicurezza 2014 Appendice Scapy offre vantaggi specifici. Essendo sviluppato in Python, è possibile utilizzare tutte le funzionalità del linguaggio Python e altri strumenti Python. Il seguente frammento di codice illustra come Scapy utilizza il sovraccarico degli operatori, consentendo di elaborare il traffico in modo rapido e intuitivo: # scapy >>> dns_query = IP()/UDP()/DNS() >>> from socket import gethostbyname,gethostname >>> dns_query[IP].src = gethostbyname(gethostname()) >>> dns_query[IP].dst = “8.8.8.8” >>> import random >>> random.seed() >>> dns_query[UDP].sport = random.randint(0, 2**16) >>> dns_query[DNS].id = random.randint(0, 2**16) >>> dns_query[DNS].qdcount = 1 >>> dns_query[DNS].qd = DNSQR(qname=“www.cisco.com”) >>> scapy.sendrecv.sr1(dns_query) >>> response = scapy.sendrecv.sr1(dns_query) Begin emission: ............Finished to send 1 packets. .* Received 14 packets, got 1 answers, remaining 0 packets >>> response[DNS].ar[DNSRR].rdata ‘64.102.255.44’ >>> Questo esempio mostra in che modo è possibile creare i pacchetti e analizzare il traffico in tempo reale. Scapy può comunque essere utilizzato per analizzare i file pcap con altrettanta facilità. 72 Report annuale di Cisco sulla sicurezza 2014 Appendice L'analisi dei dati in formato CSV I file con valori separati da virgole (CSV) rappresentano un formato molto comune per lo scambio di dati. Numerosi strumenti (incluso tshark) consentono all'utente di esportare dati in formato CSV. Generalmente i responsabili della sicurezza utilizzano programmi per fogli di calcolo come Excel per analizzare i dati CSV. Spesso è anche possibile utilizzare strumenti da riga di comando come grep, cut, sed, awk, uniq e sort. Una possibile alternativa è rappresentata da csvkit. Csvkit fornisce numerose utilità che rendono più semplice l'elaborazione di dati CSV dalla riga di comando. Il seguente esempio dimostra quanto sia facile trovare tutte le righe che contengono l'host tty.example.org nella colonna src: $ head -n 3 tcp_data.csv src,srcport,dst,dstport “tty.example.org”,“51816”,”vex.example.org”,”443” “vex.example.org”,”443”,”tty.example.org”,”51816” $ csvgrep -n tcp_data.csv 1: src 2: srcport 3: dst 4: dstport $ csvgrep -c 1 -r ‘tty\.example\.org’ tcp_data.csv | head -n 5 src,srcport,dst,dstport tty.example.org,51816,vex.example.org,443 tty.example.org,51816,vex.example.org,443 tty.example.org,51427,paz.example.org,5222 tty.example.org,51767,bid.example.org,80 73 Report annuale di Cisco sulla sicurezza 2014 Appendice Csvkit include numerosi strumenti. Csvstat è particolarmente utile perché calcola in modo automatico varie statistiche. Ad esempio, è possibile calcolare facilmente la frequenza dei primi cinque host src: $ csvstat -c 1 tcp_data.csv 1. src <type ‘unicode’> Nulls: False Unique values: 55 5 most frequent values: tty.example.org:2866 lad.example.org:1242 bin.example.org:531 trw.example.org:443 met.example.org:363 Max length: 15 Row count: 6896 Matplotlib, Pandas, IPython e altri Sono disponibili vari strumenti di analisi e visualizzazione dei dati basati su Python. Un'ottima risorsa per trovare questi strumenti è il sito SciPy (http://www.scipy.org). Di particolare interesse sono i pacchetti Matplotlib, pandas e IPython: •Matplotlib offre una soluzione di visualizzazione semplice e flessibile. •Pandas fornisce strumenti per manipolare ed esaminare dati raw. •IPython aggiunge funzionalità all'interprete Python che agevolano l'analisi interattiva dei dati. 74 Report annuale di Cisco sulla sicurezza 2014 Appendice Di seguito viene illustrato come è possibile utilizzare questi tre strumenti per rappresentare in un grafico i primi host src in tcp_data.csv: In [3]: df = read_csv(“/Users/shiva/tmp/data_analysis/tcp_data.csv”) In [4]: df Out[4]: <class ‘pandas.core.frame.DataFrame’> Int64Index: 6896 entries, 0 to 6895 Data columns (total 4 columns): src 6896 non-null values srcport 6896 non-null values dst 6896 non-null values dstport 6896 non-null values dtypes: int64(2), object(2) In [5]: df[‘src’].value_counts()[0:10] Out[5]: tty.example.org 2866 lad.example.org 1242 bin.example.org 531 trw.example.org 443 met.example.org 363 gee.example.org 240 gag.example.org 126 and.example.org 107 cup.example.org 95 chi.example.org 93 dtype: int64 In [6]: df[‘src’].value_counts()[0:10].plot(kind=“bar”) Out[6]: <matplotlib.axes.AxesSubplot at 0x8479c30> 75 Report annuale di Cisco sulla sicurezza 2014 Appendice FIGURA A2 Grafico generato tramite Plot () 3000 2500 2000 1500 1000 500 chi.example.org cup.example.org and.example.org gag.example.org gee.example.org met.example.org trw.example.org bin.example.org lad.example.org tty.example.org 0 L'aspetto interessante di Pandas è il modo in cui consente agli utenti di esplorare i dati. Ad esempio, è piuttosto semplice trovare il numero di srcport univoche da cui tty.example.org si connette per ogni combinazione univoca di dst e dstport con cui comunica: In [229]: tty_df = df[df.src == “tty.example.org”] In [230]: num_ports = lambda x: len(set(x)) In [231]: pivot_table(tty_df, rows=[‘dst’,‘dstport’], values=‘srcport’, aggfunc=num_ports) Out[231]: dst dstport add.example.org 80 2 ala.example.org 80 3 and.example.org 80 1 auk.example.org 80 2 bid.example.org 80 1 … 76 Report annuale di Cisco sulla sicurezza 2014 Appendice Iniziare ad analizzare i dati Gli esempi delle pagine precedenti illustrano solo alcuni dei possibili usi e non rendono giustizia agli strumenti citati. Sono tuttavia sufficienti per iniziare a condurre analisi significative dei dati. I Chief Security Officer hanno bisogno di professionisti della sicurezza pronti a indossare il camice degli scienziati. L’analisi approfondita dei dati disponibili consente di ottenere informazioni che non sarebbe possibile acquisire altrimenti. Con il tempo sarà più facile intuire quali parti dei dati esplorare. Alcune aziende potrebbero perfino scoprire che è vantaggioso avere data scientist dedicati nei propri team. 77 Report annuale di Cisco sulla sicurezza 2014 L'ecosistema Cisco SIO 78 Report annuale di Cisco sulla sicurezza 2014 L'ecosistema Cisco SIO Cisco SIO Gestire e garantire la sicurezza delle infrastrutture di rete dinamiche e distribuite di oggi è una sfida sempre più difficile. I criminali informatici continuano a sfruttare la fiducia degli utenti nelle applicazioni e nei dispositivi disponibili in commercio, presentando rischi maggiori per le aziende e i dipendenti. La sicurezza tradizionale basata sulla stratificazione dei prodotti e sull'utilizzo di filtri diversi, non è più sufficiente come difesa nei confronti del malware di ultima generazione, che si diffonde rapidamente, ha obiettivi a livello mondiale e utilizza vettori diversi per propagarsi. Cisco anticipa le minacce perché sfrutta le funzioni di rilevamento in tempo reale di Cisco Security Intelligence Operations (SIO). Cisco SIO è il più grande ecosistema di sicurezza basato sul cloud che utilizza più di 75 terabit di feed in tempo reale provenienti dalle soluzioni Cisco e-mail, Web, firewall e dei sistemi di prevenzione delle intrusioni (IPS) implementate. Cisco SIO valuta ed elabora i dati, classificando automaticamente le minacce e creando regole con più di 200 parametri. I ricercatori raccolgono e forniscono le informazioni sugli eventi di sicurezza che possono avere un impatto significativo su reti, applicazioni e dispositivi. Le regole vengono inviate dinamicamente ai dispositivi di sicurezza Cisco implementati ogni 3/5 minuti. Inoltre il team Cisco SIO pubblica regolarmente best practice e consigli tattici per contrastare le minacce. Cisco si impegna La sicurezza tradizionale non è più sufficiente come difesa nei confronti del malware di ultima generazione. a fornire soluzioni di sicurezza complete, integrate, tempestive, ed efficaci basate su una strategia di sicurezza olistica adatta alle aziende di tutto il mondo. Con Cisco, le aziende possono risparmiare tempo nella ricerca delle minacce e delle vulnerabilità e concentrarsi sull'adozione di un approccio proattivo alla sicurezza. Per ulteriori informazioni sugli avvisi di pre-allarme, l’analisi delle minacce e delle vulnerabilità e le soluzioni Cisco per mitigare i rischi, visitare il sito www.cisco.com/go/sio. 79 Report annuale di Cisco sulla sicurezza 2014 Note 1Per ulteriori informazioni sull'evoluzione verso l'infrastruttura any-to-any, vedere “The Nexus of Devices, Clouds, and Applications” nel report annuale di Cisco sulla sicurezza del 2013: https://www.cisco.com/web/offer/gist_ty2_asset/ Cisco_2013_ASR.pdf. 2Ibid. 3 No More Chewy Centers: Introducing The Zero Trust Model Of Information Security, di John Kindervag, Forrester, 12 novembre 2012. 4“Timeline of Edward Snowden’s Revelations”, Al Jazeera America: http://america.aljazeera.com/articles/multimedia/timelineedward-snowden-revelations.html. 5“NSA collecting phone records of millions of Verizon customers daily”, di Glenn Greenwald, The Guardian, 5 giugno 2013: http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order. 6 GCHQ: Government Communications Headquarters, un'agenzia di intelligence britannica. 7“NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say”, di Barton Gellman e Ashkan Soltani, 30 ottobre 2013, The Washington Post: http://www.washingtonpost.com/world/national-security/nsa-infiltrateslinks-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74d89d714ca4dd_story.html. 8Per ulteriori informazioni, vedere “Cisco Secure Development Life cycle (CSDL)”: http://www.cisco.com/web/about/security/ cspo/csdl/index.html. 9Ibid. 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Cisco definisce Internet of Everything “la nuova era dello sviluppo di Internet che vedrà confluire persone, processi, dati e oggetti”. “Massive Spam and Malware Campaign Following the Boston Tragedy”, Cisco Security Blog, 17 aprile 2013: http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/. Ibid. Ibid. Pagina Web “Informazioni sulla tecnologia Java”: http://www.java.com/it/about/. Per ulteriori informazioni sull'evoluzione verso l'infrastruttura "any-to-any", vedere il report annuale di Cisco sulla sicurezza del 2013: http://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf. “Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities”, di Craig Williams, Cisco Security Blog, 4 maggio 2013: http://blogs.cisco.com/security/department-of-labor-watering-holeattack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/. “Watering-Hole Attacks Target Energy Sector”, di Emmanuel Tacheau, Cisco Security Blog, 18 settembre 2013: http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/. “Apache DarkLeech Compromises”, di Mary Landesman, Cisco Security Blog, 2 aprile 2013: http://blogs.cisco.com/security/ apache-DarkLeech-compromises/. “Ongoing malware attack targeting Apache hijacks 20.000 sites”, di Dan Goodin, Ars Technica, 2 aprile 2013: http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/. “Linux/CDorked FAQS”, di Mary Landesman, Cisco Security Blog, 1 maggio 2013: http://blogs.cisco.com/security/ linuxcdorked-faqs/. “DarkLeech Apache Attacks Intensify”, di Matthew J. Schwartz, InformationWeek, 30 aprile 2013: http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922. Il typosquatting è la pratica di registrare domini con nomi che differiscono da quelli di domini molto noti per un solo carattere. “Thanks to IoE, the next decade looks positively ‘nutty’”, di Dave Evans, Cisco Platform Blog, 12 febbraio 2013: http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/. 80 Report annuale di Cisco sulla sicurezza 2014 24 Per ulteriori informazioni sulle strategie di mitigazione per il bitsquatting, consultare il white paper di Cisco Examining the Bitsquatting Attack Surface, 2013: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_ Surface-whitepaper.pdf. 25 26 27 28 29 30 31 32 33 34 35 36 37 “WordPress Sites in the World” e “A Look at Activity Across WordPress.com”, WordPress.com: http://en.wordpress.com/stats/. “Important Security Update: Reset Your Drupal.org Password”, Drupal.org, 29 maggio 2013: https://drupal.org/news/130529SecurityUpdate. Un report dettagliato degli schemi e dei payload degli attacchi dell'Operazione Ababil è disponibile in “Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions”: http://www.cisco.com/web/about/security/intelligence/ ERP-financial-DDoS.html. “DDoS Attack on Bank Hid $900.000 Cyberheist,” di Brian Krebs, blog KrebsonSecurity, 19 febbraio 2013: http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/. “Chinese Internet Hit by Attack Over Weekend”, di Paul Mozer, China Real Time Report, WSJ.com, 26 agosto 2013: http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/. Fonte: Wikipedia: “Ingress Filtering”: http://en.wikipedia.org/wiki/Ingress_filtering. “Understanding Unicast Reverse Path Forwarding”, sito Web di Cisco: http://www.cisco.com/web/about/security/intelligence/ unicast-rpf.html. “Your Hard Drive Will Self-Destruct at 2 p.m.: Inside the South Korean Cyberattack”, di Sean Gallagher, Ars Technica, 20 marzo 2013: http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-koreancyber-attack/. “Thoughts on DarkSeoul: Data Sharing and Targeted Attackers”, di Seth Hanford, Cisco Security Blog, 27 marzo 2013: http://blogs.cisco.com/tag/darkseoul/. Ibid. “Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks”, di Mor Ahuvia, RSA, 4 ottobre 2012: https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/. “DDoS Attack on Bank Hid $900.000 Cyberheist,” di Brian Krebs, blog KrebsonSecurity, 19 febbraio 2013: http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/. “Cisco projects data center-cloud traffic to triple by 2017”, ZDNet, 15 ottobre 2013: http://www.zdnet.com/cisco-projectsdata-center-cloud-traffic-to-triple-by-2017-7000021985/. Sede centrale Americhe Cisco Systems, Inc. San Jose, CA (USA) Sede centrale Asia e Pacifico Cisco Systems (USA) Pte. Ltd. Singapore Sede centrale Europa Cisco Systems International BV Amsterdam, Paesi Bassi Le sedi Cisco nel mondo sono oltre 200. Gli indirizzi, i numeri di telefono e di fax sono disponibili sul sito Web Cisco all'indirizzo www.cisco.com/go/offices. Tutti i contenuti sono protetti da Copyright © 2011-2014 Cisco Systems, Inc. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Cisco e il logo Cisco sono marchi registrati di Cisco Systems, Inc. e/o dei relativi affiliati negli Stati Uniti e in altri paesi. L'elenco dei marchi Cisco è disponibile all'indirizzo www.cisco.com/go/trademarks. I marchi commerciali di terze parti citati sono proprietà dei rispettivi titolari. L'utilizzo del termine partner non implica una relazione di partnership tra Cisco e altre aziende. (012114 v1)
© Copyright 2024 ExpyDoc