Report annuale di Cisco sulla sicurezza 2014

Report annuale di
Cisco sulla sicurezza 2014
2
Report annuale di Cisco sulla sicurezza 2014
Riepilogo esecutivo
Il problema della fiducia
Gli autori di attacchi online e gli altri utenti malintenzionati sfruttano la fiducia delle persone.
Approfittano del fatto che in genere gli utenti si fidano dei sistemi, delle applicazioni, delle
persone e delle aziende con cui normalmente interagiscono. Il metodo funziona: sappiamo
che gli autori degli attacchi escogitano sempre nuovi metodi per inserire il malware nelle reti,
sottrarre dati o mettere fuori uso i sistemi importanti senza essere scoperti per molto tempo.
Dal furto di password e credenziali con metodi di social engineering alle infiltrazioni invisibili
e camuffate eseguibili in pochi minuti, gli autori degli attacchi continuano a sfruttare la fiducia
degli utenti per danneggiare persone, aziende o organizzazioni. Il problema della fiducia,
tuttavia, va oltre la possibilità dei criminali di sfruttare le vulnerabilità o adescare gli utenti
tramite tecniche di social engineering. L'incidenza dei crimini informatici di fatto scalfisce la
fiducia degli utenti nei confronti delle organizzazioni pubbliche e delle aziende.
Oggi l'affidabilità delle reti viene intaccata sostanzialmente in due modi. In primo luogo i clienti
dubitano sempre di più dell'integrità dei prodotti. L'altro aspetto deriva dal
fatto che gli autori di crimini informatici sono chiaramente in grado
di superare i sistemi di difesa e in questo modo sollevano dubbi
sull'affidabilità delle architetture di protezione, autenticazione e
autorizzazione delle reti e delle applicazioni.
I dati e i risultati della ricerca forniti in questo report di
Cisco riguardano i principali problemi di sicurezza, come i
cambiamenti del malware, le tendenze delle vulnerabilità e
l'aumento dell'incidenza di attacchi DDoS (Distributed Denialof-Service). Vengono inoltre esaminate alcune campagne
gli autori degli
attacchi continuano a
sfruttare la fiducia degli
utenti per danneggiare
persone, aziende o
organizzazioni.
condotte contro organizzazioni, aziende, gruppi e settori specifici,
illustrando la crescente sofisticatezza dei tentativi di sottrarre informazioni
riservate. Il report si conclude con alcuni consigli per esaminare in modo olistico i modelli di
sicurezza e ottenere visibilità su tutte le fasi dell'attacco: prima, durante e dopo un attacco.
3
Report annuale di Cisco sulla sicurezza 2014
Risultati principali
I risultati principali della ricerca su cui si basa il report annuale di Cisco sulla sicurezza del 2014 sono i seguenti.
Gli attacchi contro l'infrastruttura prendono di mira risorse importanti tramite Internet.
•G
li exploit dannosi consentono di penetrare in server di Web hosting, server dei nomi e data center. Questo
suggerisce la formazione di überbot per la ricerca di asset con una buona reputazione e ricchi di risorse.
•G
li errori di buffer sono una delle principali minacce e rappresentano il 21% delle categorie di minacce CWE
(Common Weakness Enumeration).
• I rilevamenti di malware stanno aumentando nel settore della produzione di componenti elettronici, in quello agricolo
e in quello minerario, con una percentuale media circa sei volte superiore rispetto ai segmenti verticali.
Gli autori degli attacchi utilizzano applicazioni attendibili per sfruttare le vulnerabilità del perimetro.
• Lo spam continua a diminuire, ma la proporzione di spam con finalità dannose rimane invariata.
• Il 91% degli exploit Web riguarda Java. Il 76% delle aziende che utilizzano Cisco Web Security usa Java 6, una
versione non supportata e alla fine del ciclo di vita.
• Gli attacchi “watering hole” puntano a siti Web di settori specifici per distribuire il malware.
Le ricerche condotte su aziende multinazionali dimostrano casi di compromissione interna. Dalle loro reti viene
generato traffico sospetto che tenta di connettersi a siti con reputazione dubbia (il 100% delle aziende esegue
chiamate a host di malware dannoso).
•G
li indicatori delle compromissioni suggeriscono che le penetrazioni nelle reti possono passare inosservate per
molto tempo.
• Il numero degli avvisi sulle minacce è cresciuto del 14% rispetto all'anno precedente; i nuovi avvisi (ovvero, quelli che non costituiscono aggiornamenti di avvisi esistenti) stanno aumentando.
•N
el 2013 il 99% di tutto il malware per dispositivi mobili aveva come obiettivo i dispositivi Android. Gli utenti
Android fanno anche registrare la più alta percentuale di rilevamento (71%) di tutte le forme di malware diffuso
tramite il Web.
4
Report annuale di Cisco sulla sicurezza 2014
Contenuto del report
Il report annuale di Cisco sulla sicurezza del 2014 esamina quattro
aspetti principali della sicurezza.
La fiducia
Trovare il giusto equilibrio tra fiducia, trasparenza e
privacy deve essere una priorità per tutte le aziende e le
organizzazioni, perché la posta in gioco è molto alta. A questo
proposito, tre fattori rendono ancora più problematici i tentativi
dei responsabili della sicurezza di trovare questo equilibrio:
•l'ampiezza della superficie esposta agli attacchi
•la diffusione e la sofisticatezza dei modelli di attacco
•la complessità di minacce e soluzioni.
I dati sulle minacce
Avvalendosi del più vasto insieme di dati di telemetria dei
rilevamenti disponibile, Cisco e Sourcefire hanno analizzato
i dati relativi alla sicurezza dello scorso anno e sono arrivati
alle seguenti conclusioni:
•Gli attacchi contro l'infrastruttura prendono di mira risorse
importanti tramite Internet.
•Gli autori degli attacchi utilizzano applicazioni attendibili per
sfruttare le falle nella sicurezza del perimetro.
•Gli indicatori delle compromissioni suggeriscono che le
penetrazioni nelle reti possono passare inosservate per
molto tempo.
5
Report annuale di Cisco sulla sicurezza 2014
La panoramica del settore
In questa sezione, gli specialisti di Cisco Security Intelligence
Operations (SIO) esaminano le tendenze del settore della
sicurezza che vanno al di là dei dati di telemetria di Cisco,
ma che comunque influiscono sulle procedure: i tentativi
di accesso “brute-force”, le attività DDoS su vasta scala, la
diffusione del ransomware, il maggiore utilizzo del cloud, la
carenza di esperti della sicurezza e altre problematiche.
I consigli
Le principali problematiche delle aziende sono la più ampia
superficie esposta agli attacchi, la maggiore diffusione e
sofisticatezza dei modelli di attacco e l’aumento del livello
di complessità della rete. Molte aziende hanno difficoltà a
formulare una visione della sicurezza supportata da una
strategia efficace, in grado di utilizzare nuove tecnologie,
semplificare l'architettura e le operazioni e aumentare
l'efficienza dei team responsabili della sicurezza.
Questa sezione spiega come un modello di sicurezza
incentrato sulle minacce consenta di tenere sotto controllo
tutte le fasi dell’attacco, compresi tutti i vettori di attacco, e
di rispondere in qualsiasi momento e in modo continuativo:
prima, durante e dopo un attacco.
6
Report annuale di Cisco sulla sicurezza 2014
Metodologia di Cisco per la valutazione del panorama delle
minacce
Data la rilevanza delle sue soluzioni e l'ampio spettro delle informazioni sulla sicurezza di cui
dispone, Cisco svolge un ruolo chiave nella valutazione delle minacce:
•16 miliardi di richieste Web sono esaminate ogni giorno tramite Cisco Cloud Web Security
•93 miliardi di messaggi e-mail sono analizzati ogni giorno tramite la soluzione Cisco per
e-mail in hosting
•200.000 indirizzi IP sono valutati ogni giorno
•400.000 esempi di malware sono valutati ogni giorno
•33 milioni di file endpoint sono valutati ogni giorno tramite FireAMP
•28 milioni di connessioni di rete sono valutate ogni giorno tramite FireAMP
Queste attività permettono a Cisco di rilevare le seguenti minacce:
•4,5 miliardi di messaggi e-mail vengono bloccati ogni giorno
•80 milioni di richieste Web vengono bloccate ogni giorno
•6.450 rilevamenti in file endpoint vengono effettuati ogni giorno in FireAMP
•3.186 rilevamenti in endpoint vengono effettuati ogni giorno in FireAMP
•50.000 intrusioni nelle reti vengono rilevate ogni giorno
7
Report annuale di Cisco sulla sicurezza 2014
Sommario
La fiducia.. . . . . . . . . . . . . . . . . . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
I nuovi modi di fare business creano nuove vulnerabilità.............................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Gli effetti negativi sulla fiducia.. .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Le principali problematiche della sicurezza per il 2014............................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Sistemi affidabili e trasparenti.. . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
I dati sulle minacce.. ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Aumento degli avvisi sulle minacce.................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Il volume dello spam è in diminuzione, ma lo spam dannoso è ancora una minaccia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Exploit Web: Java al primo posto....................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
BYOD e mobilità: il livello di maturità dei dispositivi favorisce i crimini informatici... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Attacchi mirati: liberarsi degli intrusi persistenti........................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Panoramica del malware: tendenze del 2013......................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Principali bersagli: i segmenti verticali.................................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Le fratture di un ecosistema fragile. . .................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Il traffico dannoso, spesso indizio di attacchi mirati, è rilevato in tutte le reti aziendali. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
La panoramica del settore............................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Tentativi di accesso brute-force: una delle tattiche più diffuse per compromettere i siti Web. . . . . . . . . . . . . . . . . . . . . . . 53
Attacchi DDoS: una vecchia tecnica sempre attuale.. ................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
DarkSeoul.. . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
La carenza di esperti della sicurezza e le lacune delle soluzioni...................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Il cloud come nuovo perimetro......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
I consigli.. . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Obiettivi per il 2014: verificare l'affidabilità e migliorare la visibilità................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Appendice.. . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
I team della sicurezza hanno bisogno di data scientist.. ............................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
L'ecosistema Cisco SIO.................................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Cisco SIO.. . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Nota sul presente documento
Software consigliato
Il contenuto di questo documento permette di eseguire ricerche e può essere condiviso.
Adobe Acrobat 7.0 o versione successiva
Questa icona consente di aprire la funzionalità di ricerca in Adobe Acrobat.
[ ] Queste icone consentono di condividere il contenuto.
8
Report annuale di Cisco sulla sicurezza 2014
La fiducia
Trovare il giusto equilibrio tra fiducia, trasparenza e privacy
deve essere una priorità per tutte le aziende e le organizzazioni,
perché la posta in gioco è molto alta.
9
Report annuale di Cisco sulla sicurezza 2014
La fiducia
I nuovi modi di fare business
creano nuove vulnerabilità
Gli anelli deboli nella supply chain delle tecnologie sono uno degli
aspetti del complesso panorama di minacce e rischi attuale.
Un altro aspetto è l'emergenza dell'infrastruttura “any-to-any”, in cui qualsiasi dispositivo,
dovunque si trovi, può connettersi a qualsiasi istanza della rete.1 Inoltre, un numero crescente
di dispositivi abilitati alla navigazione su Internet (smartphone, tablet e altri tipi) tenta di
connettersi ad applicazioni che potrebbero essere in esecuzione altrove, come un cloud
SaaS (Software-as-a-Service) pubblico, un cloud privato o un cloud ibrido.2 Persino i servizi
di infrastruttura Internet di base sono diventati un bersaglio per gli hacker, che desiderano
sfruttare la reputazione, la larghezza di banda, i tempi di attività e la disponibilità continua di
server di Web hosting, server dei nomi e data center per portare avanti campagne di attacco
di dimensioni sempre più vaste (vedere “Le fratture di un ecosistema fragile” a pagina 43).
[ Sebbene le tendenze come il cloud computing e la mobilità stiano
riducendo la visibilità e rendendo più complessa la sicurezza, le
aziende non possono farne a meno perché sono indispensabili
per ottenere un vantaggio competitivo e assicurare il successo
del business. Le nuove vulnerabilità si creano perché i team
responsabili della sicurezza tentano di allineare soluzioni
tradizionali a modi sempre nuovi di fare business. Nel
frattempo, i criminali informatici agiscono velocemente per
sfruttare le vulnerabilità che le singole soluzioni non integrate
non possono risolvere. E ci riescono, perché dispongono delle
risorse necessarie per essere più veloci. ]
L'infrastruttura Internet
di base è diventata un
bersaglio per gli hacker.
La rete dei criminali informatici si sta espandendo e rafforzando, operando
sempre più spesso come una sofisticata rete aziendale legittima. La gerarchia dei criminali
informatici è simile a una piramide (vedere la figura 1). La base è composta da opportunisti
non tecnici e utenti di “Crimeware-as-a-Service”, le cui campagne hanno come scopo
guadagni, rivendicazioni o entrambe le cose. Al livello intermedio della piramide vi sono
rivenditori e responsabili della manutenzione dell'infrastruttura: gli “intermediari”. Il vertice è
costituito dagli innovatori tecnici: le figure più importanti e più ricercate dalle forze dell'ordine.
10
Report annuale di Cisco sulla sicurezza 2014
La fiducia
Quando lanciano i propri attacchi, gli attuali criminali informatici hanno in genere dei chiari
obiettivi di business. Sanno di quali informazioni sono alla ricerca o quali risultati intendono
raggiungere e conoscono il percorso da seguire per perseguire questi obiettivi. Svolgono
ricerche approfondite sui propri bersagli, spesso tramite informazioni pubblicamente disponibili
nei social network, e pianificano gli obiettivi in modo strategico.
[ Molti dei soggetti che operano nella cosiddetta “economia sommersa” oggi inviano anche
malware di sorveglianza per raccogliere informazioni su un ambiente, incluse le tecnologie di
sicurezza implementate, in modo da poter condurre attacchi mirati. La ricognizione prima di un
attacco è il metodo che consente ad alcuni autori di malware di avere la certezza che il loro
malware funzionerà. Una volta penetrato nella rete, questo malware sofisticato può comunicare
con i server di comando e controllo all'esterno e diffondersi nell'infrastruttura per portare a
termine la propria missione, sia essa il furto di dati vitali o l'interruzione di sistemi critici.
FIGURA 1 La gerarchia dei criminali informatici
Innovatori
tecnici
Rivenditori/
responsabili della manutenzione dell'infrastruttura
Opportunisti non tecnici/utenti di Crimeware-as-a-Service
]
11
Report annuale di Cisco sulla sicurezza 2014
La fiducia
Gli effetti negativi sulla fiducia
Le minacce che sfruttano la fiducia nei sistemi, nelle applicazioni,
nelle persone, nelle aziende e nelle organizzazioni conosciute sono
diventate una costante nel mondo digitale.
Alla base di qualsiasi crimine c’è sempre un tentativo di sfruttamento della fiducia: il malware
trasmesso agli utenti che esplorano legittimamente siti Web conosciuti; messaggi spam che
sembrano inviati da aziende ben note, ma contengono link a siti dannosi; le applicazioni per
dispositivi mobili di terze parti scaricate da marketplace noti e che nascondono malware;
i dipendenti che sfruttano i propri privilegi di accesso alle informazioni riservate per
impossessarsi della proprietà intellettuale delle aziende.
Tutti gli utenti dovrebbero partire dal presupposto che nel mondo digitale non ci si possa fidare
di nulla e nessuno. Gli esperti della sicurezza agirebbero nell'interesse
delle proprie aziende se diffidassero di qualsiasi tipo di traffico di
rete3 e non si fidassero ciecamente delle procedure di sicurezza
dei loro fornitori o delle supply chain a cui le imprese si
rivolgono per le tecnologie. Ciò nonostante le organizzazioni
del settore pubblico e privato, i singoli utenti e perfino gli stati
vogliono avere la certezza di potersi fidare delle tecnologie
che utilizzano ogni giorno.
Questa esigenza di fiducia nella sicurezza ha contribuito al
Tutti gli utenti
dovrebbero partire dal
presupposto che nel
mondo digitale non ci si
possa fidare di nulla
e nessuno.
miglioramento dei Common Criteria for Information Technology
Security Evaluation (Common Criteria), il linguaggio e il framework
che consentono ad agenzie governative e ad altri gruppi di definire i requisiti che i prodotti
tecnologici devono soddisfare per dimostrare la propria affidabilità. Oggi 26 paesi, tra cui gli
Stati Uniti, partecipano al Common Criteria Recognition Arrangement, un accordo multilaterale
che garantisce il riconoscimento reciproco dei prodotti valutati da parte degli stati membri.
Tuttavia, nel 2013 la fiducia in generale ha subito una battuta d'arresto. Il catalizzatore di questo
fenomeno è stato Edward Snowden. L'ex consulente del governo degli Stati Uniti ha rivelato
pubblicamente al quotidiano britannico Guardian informazioni riservate ottenute mentre
lavorava per la National Security Agency (NSA) statunitense.4
12
Report annuale di Cisco sulla sicurezza 2014
La fiducia
Le rivelazioni di Snowden ai media finora includono dettagli sul piano per la sorveglianza
elettronica e la raccolta dei dati della NSA, PRISM,5 nonché su un programma distinto
NSA-GCHQ6 denominato MUSCULAR, tramite il quale sarebbero state intercettate le reti
in fibra ottica che trasportano il traffico dai data center oltreoceano di importanti aziende di
servizi Internet.7
Queste e altre rivelazioni di Snowden sulle procedure di sorveglianza da parte del governo
statunitense hanno minato i rapporti di fiducia a diversi livelli: tra gli stati, tra l’amministrazione
pubblica e le aziende private, tra i cittadini e l’amministrazione pubblica, nonché tra i cittadini e
le aziende. Inoltre, hanno naturalmente generato preoccupazione in merito alla presenza, e ai
potenziali rischi, sia di vulnerabilità non intenzionali che di “backdoor” intenzionali nei prodotti
tecnologici, oltre che rispetto alle procedure adottate dai fornitori per prevenire questi punti
deboli e proteggere gli utenti finali.
Le principali problematiche della
sicurezza per il 2014
[ Lo sgretolarsi della fiducia e la sempre maggiore difficoltà a
distinguere i sistemi e le relazioni affidabili da quelli che non lo
sono, obbligano le aziende ad affrontare le problematiche che
minacciano la loro capacità di gestire la sicurezza:
1 | l'ampiezza della superficie esposta agli attacchi
2 | la diffusione e la sofisticatezza dei modelli di attacco
3 | la complessità di minacce e soluzioni. ]
La combinazione di questi problemi genera e aggrava le vulnerabilità che consentono agli
autori degli attacchi di lanciare exploit a una velocità superiore a quella con cui le aziende
riescono a risolvere i propri punti deboli.
Queste minacce e questi rischi sono esaminati più in dettaglio nelle pagine seguenti.
13
Report annuale di Cisco sulla sicurezza 2014
La fiducia
1 | L'ampiezza della superficie esposta agli attacchi
Oggi la superficie esposta agli attacchi presenta possibilità illimitate per chi abbia intenzione
di violare un ecosistema di sicurezza vasto e fragile. La superficie è aumentata in modo
esponenziale ed è destinata a espandersi ulteriormente: non sono mai stati così tanti gli
endpoint, i punti d'ingresso e i dati che sfuggono al controllo delle aziende.
I dati sono il bottino che la maggior parte degli autori degli attacchi desidera ottenere
attraverso le proprie campagne, principalmente per il loro valore economico. Tutti i dati che
possono avere un valore sul mercato, si tratti della proprietà intellettuale di un'importante
azienda o dei dati sanitari di un singolo individuo, sono desiderabili e pertanto a rischio.
Qualsiasi bersaglio il cui valore è superiore ai rischi associati al tentativo di comprometterne
la sicurezza è potenzialmente soggetto ad attacchi. Anche le piccole aziende sono a rischio
di violazioni. La maggior parte delle imprese, di piccole e grandi dimensioni, è già stata
compromessa senza esserne nemmeno consapevole: il 100% delle reti aziendali analizzate da
Cisco genera traffico verso siti Web che contengono malware.
FIGURA 2 Caratteristiche della tipica minaccia moderna
App per
Internet e cloud
Campus
Azienda
Rete pubblica
Perimetro
Data center
Il punto d'ingresso dell'infezione
è all'esterno dell'azienda
Una minaccia avanzata supera
la difesa perimetrale
La minaccia si diffonde e tenta
di sottrarre dati preziosi
14
Report annuale di Cisco sulla sicurezza 2014
La fiducia
L'analisi delle caratteristiche della tipica minaccia moderna, illustrate nella figura 2, evidenzia
come l'obiettivo ultimo di numerose campagne dei criminali informatici sia
raggiungere il data center e sottrarre dati preziosi. In questo esempio
l’attacco viene eseguito su un dispositivo all'esterno della rete
L'obiettivo ultimo
aziendale. Questo causa un'infezione, che si diffonde nella
rete di un campus. Questa rete opera come base di attacco
di numerose campagne
verso la rete aziendale, da cui la minaccia può finalmente
dei criminali informatici
raggiungere il proprio obiettivo: il data center.
è raggiungere il data
center e sottrarre dati
Data l'espansione della superficie esposta agli attacchi e il
rischio associato ai dati di valore elevato, per il 2014 gli esperti
preziosi.
della sicurezza di Cisco consigliano alle aziende di cercare la
risposta a due importanti domande: “Dove risiedono i nostri dati
critici?” e “Come possiamo creare un ambiente sicuro per la protezione
dei dati, soprattutto quando i nuovi modelli di business come il cloud computing e la mobilità di
fatto diminuiscono il potere di controllo?”
2 | La diffusione e la sofisticatezza dei modelli di attacco
L'attuale panorama delle minacce non ha niente in comune con quello di appena un decennio
fa. Gli attacchi piuttosto semplici che causavano danni contenibili hanno lasciato il posto alle
operazioni di crimine informatico moderne, sofisticate, ben finanziate e in grado di causare
gravi danni alle organizzazioni.
Le aziende sono diventate il bersaglio di attacchi mirati. Questi attacchi sono molto difficili
da rilevare, rimangono nelle reti per lunghi periodi di tempo e accumulano risorse di rete per
lanciare attacchi altrove.
Per coprire tutte le fasi dell’attacco, le aziende devono gestire vari un'ampia gamma di vettori
di attacco con soluzioni in grado di operare ovunque la minaccia si manifesti: nella rete, negli
endpoint, nei dispositivi mobili e negli ambienti virtuali.
“Dove risiedono i nostri dati critici?” e “Come possiamo creare
un ambiente sicuro per la protezione dei dati, soprattutto
quando i nuovi modelli di business come il cloud computing e
la mobilità di fatto diminuiscono il potere di controllo?”
Gli esperti della sicurezza di Cisco
15
Report annuale di Cisco sulla sicurezza 2014
La fiducia
3 | La complessità di minacce e soluzioni
Sono finiti i tempi in cui gli strumenti anti-spam e il software antivirus aiutavano a proteggere
dalla maggior parte delle minacce un perimetro di rete ben definito. Oggi le reti vanno oltre i
confini tradizionali, si evolvono continuamente e generano nuovi vettori di attacco: i dispositivi
mobili, le applicazioni Web e per dispositivi mobili, gli hypervisor, i social media, i browser Web,
gli home computer e perfino i veicoli. Le soluzioni troppo specifiche non riescono a stare al
passo con l’evoluzione delle tecnologie e delle strategie degli autori degli attacchi. Questo
complica ulteriormente il monitoraggio e la gestione della protezione delle informazioni da parte
dei team della sicurezza.
L'utilizzo nelle aziende di singole soluzioni disaggregate e di più
piattaforme di gestione comporta un aumento delle vulnerabilità.
Il risultato è un insieme di tecnologie eterogenee con punti di
controllo che non sono stati progettati per lavorare insieme.
Questo accresce le probabilità di compromissione delle
informazioni sui clienti, della proprietà intellettuale e di altri dati
sensibili, mettendo a rischio la reputazione dell'azienda.
Le soluzioni troppo
specifiche non riescono
a stare al passo con
l’evoluzione delle
tecnologie e delle
strategie degli autori
degli attacchi.
È necessaria una soluzione di sicurezza continuativa in grado di
fronteggiare le nuove sfide di un panorama di minacce complesso.
Gli attacchi più ostinati non si verificano in un singolo momento, ma
sono di tipo continuativo. Di conseguenza, anche le difese di un'azienda devono esserlo.
Poiché la complessità delle minacce e delle relative soluzioni ha raggiunto un livello senza
precedenti, le aziende devono ripensare la propria strategia di sicurezza. Invece di affidarsi a
soluzioni diverse, possono ridurre al minimo la complessità integrando in modo continuativo la
sicurezza nell'infrastruttura di rete stessa, per consentire alla rete di:
•monitorare e analizzare in modo continuativo i file e identificare i comportamenti dannosi in
qualsiasi momento abbiano inizio;
•favorire la scalabilità della sicurezza, ampliando la superficie in cui è possibile posizionare i
dispositivi di rete;
•ridurre i tempi di rilevamento delle minacce grazie alla capacità di controllare più traffico;
•offrire alle aziende la possibilità di aggregare informazioni uniche e sensibili al contesto, che
non è possibile ottenere solo con i dispositivi specifici per la sicurezza.
16
Report annuale di Cisco sulla sicurezza 2014
La fiducia
Il passaggio verso la mobilità e i servizi cloud sta aumentando il carico di lavoro per la
sicurezza sugli endpoint e i dispositivi mobili, che in alcuni casi non entrano
mai in contatto con la rete aziendale. Di fatto, i dispositivi mobili
introducono un rischio per la sicurezza quando vengono utilizzati
per accedere alle risorse aziendali: possono connettersi
facilmente ai servizi cloud di terze parti e ai computer con
stati di sicurezza potenzialmente sconosciuti e al di fuori del
controllo aziendale. Inoltre, la sempre maggiore diffusione del
malware per i dispositivi mobili aumenta ulteriormente i rischi.
Poiché manca perfino la visibilità di base, la maggior parte
dei team della sicurezza IT non ha la capacità di identificare le
i dispositivi mobili
introducono un rischio
per la sicurezza quando
vengono utilizzati per
accedere alle risorse
aziendali
potenziali minacce associate a questi dispositivi.
Gli approcci più innovativi come la capacità continuativa saranno in
grado di fare fronte al malware più avanzato, attraverso analisi di big data che aggregano i
dati e gli eventi nella rete estesa per fornire maggiore visibilità, anche dopo lo spostamento di
un file nella rete o tra endpoint. Questo modello è diverso dalla sicurezza specifica e mirata
degli endpoint, in cui i file vengono analizzati in un determinato momento per determinare la
presenza di malware. Il malware avanzato può facilmente sfuggire a questa analisi, penetrare
rapidamente negli endpoint e diffondersi nelle reti.
Sistemi affidabili e trasparenti
Data l'ampiezza della superficie esposta agli attacchi, la diffusione e
la sofisticatezza dei modelli di attacco e la complessità di minacce
e soluzioni, è fondamentale potersi fidare delle informazioni
che utilizziamo, oltre che dei sistemi che le rendono disponibili,
indipendentemente dal modo in cui accediamo ai servizi in rete.
Creare un ambiente di rete realmente sicuro diventa ancora più complesso a causa degli
investimenti della pubblica amministrazione e delle aziende nella mobilità, nella Collaboration,
nel cloud computing e in altre forme di virtualizzazione. Queste capacità contribuiscono
a migliorare la flessibilità, ad aumentare l'efficienza e a ridurre i costi, ma possono anche
17
Report annuale di Cisco sulla sicurezza 2014
La fiducia
introdurre ulteriori rischi. Oggi è a rischio anche la sicurezza dei processi di produzione dell’IT,
dal momento che il fenomeno dei prodotti IT contraffatti e manomessi è in aumento. Di
conseguenza, i leader delle aziende e della pubblica amministrazione considerano la sicurezza
informatica e i problemi di credibilità ad essa associati questioni fondamentali. La domanda
che i responsabili della sicurezza dovrebbero porsi è: “Cosa faremmo in modo diverso se
sapessimo che stiamo per subire un attacco?”
Gli autori degli attacchi cercano e sfruttano qualsiasi punto debole della sicurezza nella supply
chain delle tecnologie. Le vulnerabilità e le backdoor lasciate intenzionalmente nei prodotti
tecnologici possono in ultima analisi fornire l'accesso all'intera rete del cliente. Le backdoor da
tempo costituiscono un problema di sicurezza e rappresentano un potenziale pericolo per le
aziende, perché esistono al solo scopo di consentire attività nascoste o criminali.
Sviluppare sistemi affidabili significa integrare la protezione in modo completo, dall'inizio
alla fine del ciclo di vita del prodotto. Cisco Secure Development Life
cycle (CSDL)8 propone una metodologia ripetibile e misurabile per
integrare la sicurezza fin dalla fase di progettazione, riducendo
al minimo le vulnerabilità durante lo sviluppo e aumentando la
resistenza dei prodotti in caso di attacco.
Poter contare su sistemi affidabili è fondamentale per
adottare un approccio mirato al miglioramento continuo della
sicurezza, che anticipi e prevenga le nuove minacce. Tali
infrastrutture non solo proteggono le informazioni critiche ma,
Gli autori degli
attacchi cercano e
sfruttano qualsiasi punto
debole della sicurezza
nella supply chain
delle tecnologie.
soprattutto, contribuiscono a evitare le interruzioni dei servizi
di importanza strategica. I prodotti affidabili supportati da fornitori
di fiducia consentono agli utenti di ridurre al minimo i costi e i danni per
la reputazione generati da accessi non autorizzati alle informazioni, interruzioni dei servizi e
violazioni della sicurezza dei dati.
I sistemi affidabili, tuttavia, non devono essere confusi con l'immunità dagli attacchi esterni.
I clienti e gli utenti dell’IT svolgono un ruolo importante nel mantenere l'efficacia dei sistemi
affidabili nella difesa dai tentativi di comprometterne l'operatività. Questo include l'installazione
tempestiva degli aggiornamenti e delle patch per la sicurezza, la vigilanza costante per
riconoscere i comportamenti anomali dei sistemi e la messa in atto di contromisure efficaci in
caso di attacco.
18
Report annuale di Cisco sulla sicurezza 2014
Le principali problematiche
dei CISO per il 2014
Nell'attuale panorama delle minacce
i CISO (Chief Information Security
Officer) hanno la responsabilità
sempre più pressante di proteggere
diversi terabyte di dati, rispettare
rigide normative di conformità
e valutare i rischi associati alla
collaborazione con fornitori di terze
parti, il tutto con budget sempre
più limitati e team IT ridotti. I CISO
devono svolgere sempre più attività
e gestire minacce complesse e
sofisticate. I responsabili delle
strategie di sicurezza dei servizi di
sicurezza di Cisco, che forniscono
consulenza ai CISO in merito agli
approcci alla sicurezza per le loro
aziende, hanno raccolto nell'elenco
seguente le problematiche e le sfide
più pressanti per il 2014:
Gestione della conformità
La sfida che accomuna i CISO è
forse l'esigenza di proteggere i dati
che risiedono in una rete sempre
più permeabile, dovendo dedicare
al tempo stesso risorse preziose
alla conformità. La conformità di
per sé non garantisce la sicurezza:
rappresenta semplicemente il rispetto
dei requisiti minimi di un ambiente
regolato. La sicurezza è invece un
approccio completo che riguarda
tutte le attività aziendali.
Affidabilità del cloud
I CISO devono prendere decisioni
su come gestire le informazioni in
Continua alla pagina successiva
La fiducia
Le tecnologie non restano immobili e nemmeno gli autori
degli attacchi. Per assicurare l'affidabilità dei sistemi è
necessario coprire l'intero ciclo di vita di una rete, dalla
progettazione iniziale alla produzione, l'integrazione dei
sistemi, le operazioni quotidiane, la manutenzione e gli
aggiornamenti, fino alla dismissione della soluzione.
L'esigenza di sistemi affidabili si estende al di là della rete di
un'azienda, perché include le reti a cui questa si connette.
I team di Cisco Security Research and Operations hanno
osservato nell'ultimo anno un aumento dell'utilizzo del
“pivoting”. La tecnica di pivoting nei crimini informatici implica
l'utilizzo di una backdoor, una vulnerabilità o semplicemente
lo sfruttamento della fiducia in una determinata fase della
catena di attacco come punto di partenza per l'avvio di
una campagna più sofisticata contro bersagli di maggiori
dimensioni, come la rete di un'importante azienda di gestione
dell’energia o il data center di un istituto finanziario. Alcuni
hacker approfittano della fiducia delle aziende per un attacco
di pivoting, sfruttando un partner di fiducia per colpire un
altro partner commerciale o istituzionale.
La vigilanza svolge un ruolo importante nell'attuale
panorama delle minacce. La sicurezza deve adattarsi a
tutti gli stati transitori che fanno parte dell'ambiente IT
aziendale convalidando in modo misurabile e obiettivo
l'affidabilità dei sistemi, in base a dati e processi indipendenti
e verificabili. L'approccio più sostenibile è una difesa
dinamica e personalizzata in base allo specifico ambiente di
un'azienda, che includa controlli di sicurezza che si rinnovano
continuamente per garantirne la rilevanza.9
Un ambiente di questo tipo supporta la presenza di sistemi
affidabili e la trasparenza è essenziale per il loro sviluppo.
“Un sistema affidabile deve essere sviluppato su fondamenta
solide: procedure di sviluppo dei prodotti, una supply chain
affidabile e un approccio architetturale che comprenda
progettazione della rete, implementazione e policy”, afferma
19
Report annuale di Cisco sulla sicurezza 2014
La fiducia
Continua dalla pagina precedente
modo sicuro ed entro i limiti di budget
e tempo assegnati. Ad esempio, il
cloud rappresenta una soluzione
flessibile e conveniente per gestire
archivi di dati in continua crescita, ma
genera nuove preoccupazioni per i
CISO. I direttori generali e i consigli di
amministrazione considerano il cloud
come una panacea per eliminare
le spese dell'hardware. Vogliono
sfruttare i vantaggi della gestione
dei dati nel cloud e si aspettano che
i CISO li realizzino in modo sicuro e
rapido.
Affidabilità dei fornitori
Come nel caso del cloud, le aziende
si affidano ai fornitori per ottenere
soluzioni specializzate. Il risparmio
giustifica il ricorso a terze parti.
Tuttavia, questi fornitori sono bersagli
dei criminali informatici, che sono
consapevoli che le difese di una terza
parte potrebbero non essere troppo
solide.
Riprendersi dopo una violazione della
sicurezza
Tutte le aziende dovrebbero dare per
scontato di aver subito almeno una
violazione. Non si tratta di determinare
se si subirà un attacco, ma piuttosto
quando si verificherà. I recenti attacchi
come l'Operazione Night Dragon,
la violazione della RSA e l'attacco
Shamoon contro un'importante
compagnia petrolifera nel 2012 sono
ben noti a molti CISO (vedere l'analisi
di Cisco sulle attività dannose nelle
reti aziendali a pagina 48).
John N. Stewart, vicepresidente senior e Chief Security
Officer di Cisco. “Tuttavia, la caratteristica più importante è la
trasparenza dei fornitori”.
Il prezzo da pagare per godere di maggiore trasparenza è la
riduzione della privacy dei dati, ma è possibile trovare il giusto
equilibrio attraverso la cooperazione per allineare meglio i
dati sulle minacce e le best practice per la sicurezza. Trovare
il giusto equilibrio tra fiducia, trasparenza e privacy deve
essere una priorità per tutte le aziende e le organizzazioni,
perché la posta in gioco è molto alta.
[ A lungo termine, è possibile raggiungere una migliore
sicurezza informatica per tutti gli utenti e realizzare appieno
il potenziale dell'economia emergente di Internet of
Everything10. Tuttavia, il conseguimento di questi obiettivi
dipende da policy di tutela della privacy efficaci e da difese
della rete efficienti, che distribuiscano in modo intelligente
il carico della sicurezza tra gli endpoint e la rete. A breve
termine, e forse con conseguenze più immediate, qualsiasi
azienda moderna ha l'esigenza di utilizzare i migliori metodi
e le migliori informazioni disponibili per proteggere le proprie
risorse più preziose, evitando di essere a sua volta fonte di
nuove problematiche per la sicurezza informatica. ]
Oggi le aziende devono considerare l'impatto delle loro
procedure di sicurezza sull'ecosistema di sicurezza
informatica più ampio, sempre più evoluto e interconnesso.
Un'azienda che decida di non adottare quest'ottica globale
può essere valutata negativamente dal punto di vista della
reputazione, con il risultato che nessuno dei principali
provider di sicurezza consentirà agli utenti di accedere al suo
sito. L'inserimento in una blacklist è una situazione difficile
da superare per un'impresa e in alcuni casi una completa
ripresa potrebbe risultare impossibile.
Per informazioni sulle procedure Cisco Trustworthy Systems,
visitare l'indirizzo www.cisco.com/go/trustworthy.
20
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Avvalendosi del più vasto insieme di dati di telemetria dei rilevamenti
disponibile, Cisco e Sourcefire hanno analizzato i dati relativi alla
sicurezza dello scorso anno e ne hanno tratto risultati importanti.
21
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Aumento degli avvisi sulle
minacce
Le vulnerabilità e le minacce segnalate da Cisco IntelliShield®
hanno mostrato un aumento costante nel 2013: a ottobre 2013, il
numero totale di avvisi rilasciati annualmente ha fatto registrare un
aumento del 14% rispetto al 2012 (figura 3).
A ottobre 2013 gli avvisi hanno raggiunto il livello più alto da quando IntelliShield ha iniziato a
registrarli, nel maggio del 2000.
È anche interessante osservare il significativo aumento dei nuovi avvisi rispetto a quelli
aggiornati, in base ai dati registrati da IntelliShield (figura 4). Il numero crescente di nuove
vulnerabilità scoperte dai fornitori di tecnologie e dai ricercatori (figura 5) è il risultato di una
maggiore attenzione alla sicurezza sia durante il ciclo di vita dello sviluppo, che nei prodotti
stessi. L'aumento delle nuove vulnerabilità potrebbe anche indicare che i fornitori analizzano il
codice dei propri prodotti e correggono le vulnerabilità prima che i prodotti vengano rilasciati e
che le vulnerabilità possano essere sfruttate.
FIGURA 3
Il numero complessivo di avvisi rilasciati annualmente nel
periodo 2010-2013
7.000
2013
2012
6.000
2011
5.000
2010
4.000
3.000
2.000
1.000
0
Gen
Feb
Mar
Apr
Mag
Giu
Lug
Mese
Ago
Set
Ott
Nov
Dic
22
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Una maggiore attenzione alla sicurezza nello sviluppo del software può contribuire ad
aumentare la credibilità delle soluzioni dei fornitori. Un ciclo di vita di sviluppo sicuro non
solo riduce i rischi di vulnerabilità e consente ai fornitori di rilevare i potenziali difetti fin dalle
prime fasi di sviluppo, ma è anche una conferma per gli acquirenti del fatto che possono fare
affidamento su queste soluzioni.
FIGURA 4
Gli avvisi nuovi e aggiornati nel 2013
320
1.000
291
517
347
391
286
324
366
303
333
386
400
387
437
215
224
221
211
212
600
256
281
293
278
800
Avviso
nuovo
200
0
Avviso
aggiornato
Gen
Feb
Mar
Apr
Mag
Giu
Mese
Lug
Ago
Set
Ott
Nov
23
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
FIGURA 5
Le categorie di minacce più frequenti registrate da Cisco IntelliShield
NOTA: queste categorie di minacce CWE (Common Weakness Enumeration), come definite dal National Vulnerability
Database (https://nvd.nist.gov/cwe.cfm), sono associate ai metodi utilizzati per gli attacchi alle reti.
1
9
5
CWE-264: autorizzazioni, privilegi
e controllo di accesso
CWE-119: errori di buffer
2
CWE-310: problemi di crittografia
6
Altri avvisi di IntelliShield
(attività, problemi, CRR, AMB)
CWE-200: perdita/divulgazione di informazioni
3
CWE: errore di progettazione
7
CWE-287: problemi di autenticazione
CWE-352: CSRF (Cross-Site Request Forgery)
CWE-79: XSS (Cross-Site Scripting)
CWE-399: errori di gestione delle risorse
4
CWE-22: Path Traversal
8
CWE-94: inserimento di codice
CWE-20: convalida dell'input
CWE-78: inserimento di comandi del sistema
operativo
CWE-89: SQL injection
CWE-362: race condition
CWE-255: gestione di credenziali
9
CWE-59: visita di collegamenti
1
CWE-16: configurazione
CWE: informazioni insufficienti
8
CWE: altro
CWE-189: errori numerici
7
2
6
5
4
3
24
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Il volume dello spam è in
diminuzione, ma lo spam
dannoso è ancora una minaccia
Nel 2013 il volume dello spam ha fatto registrare un calo a livello
mondiale. Tuttavia, anche se il volume complessivo è diminuito, la
proporzione di spam con finalità dannose è rimasta costante.
Gli spammer agiscono con la massima velocità per approfittare della fiducia degli utenti di
e-mail, distribuendo grandi quantità di spam quando particolari eventi o tendenze abbassano
la soglia di attenzione dei destinatari nei confronti delle truffe.
Subito dopo l'attentato alla maratona di Boston del 15 aprile 2013 sono iniziate due campagne
di spam su vasta scala, una il 16 aprile e l'altra il 17 aprile, per attirare gli utenti di e-mail
interessati a ricevere notizie sull'evento. I ricercatori di Cisco hanno rilevato
la registrazione di centinaia di nomi di domini relativi all'attentato già
poche ore dopo gli attacchi.11
In entrambe le campagne di spam, l'oggetto faceva riferimento
a notiziari sull'attentato, mentre i messaggi contenevano link
per visualizzare video delle esplosioni o notizie pubblicate
da media autorevoli. I link indirizzavano i destinatari a pagine
Web che includevano link ad articoli o video autentici, ma
anche sospetti iframe progettati per infettare i computer dei
visitatori. Nel momento di picco, lo spam originato in seguito
all'attentato alla maratona di Boston ha raggiunto una percentuale
equivalente al 40% di tutti i messaggi di spam recapitati a livello
mondiale il 17 aprile 2013.
Gli spammer fanno
leva sul desiderio delle
persone di avere
maggiori informazioni
in seguito a un evento
importante.
La figura 6 illustra uno dei messaggi delle campagne di spam della botnet, mascherato come
un messaggio inviato dalla CNN.12 La figura 7 mostra il codice HTML sorgente di un messaggio
di spam relativo all'attentato alla maratona di Boston. L'iframe finale (offuscato) rimanda a un
sito Web dannoso.13
In questi casi lo spam si riferisce a eventi appena accaduti, quindi gli utenti di e-mail sono più
portati a credere che i messaggi siano legittimi. Gli spammer fanno leva sul desiderio delle
persone di avere maggiori informazioni in seguito a un evento importante. Offrendo agli utenti
quello che vogliono, gli spammer possono indurli più facilmente a eseguire l'azione desiderata,
come fare clic su un link infetto. È anche molto più facile ingannarli sull'autenticità dei messaggi.
25
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
FIGURA 6
Spam relativo alla maratona di Boston
FIGURA 7
Codice HTML sorgente per un messaggio di spam relativo all'attentato alla
maratona di Boston
<iframe width="640" height="360"
src="https://www.youtube.com/embed/H4Mx5qbgeNo">
<iframe>
<iframe width="640" height="360"
src="https://www.youtube.com/embed/JVU7rQ6wUcE">
<iframe>
<iframe width="640" height="360"
src="https://bostonmarathonbombing.html">
<iframe>
26
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Le cifre dello spam
In base ai dati raccolti da Cisco Threat Research Analysis and Communications (TRAC)/SIO, il
volume dei messaggi spam a livello mondiale è in calo (figura 8), anche se le tendenze variano
a seconda del paese (figura 9).
FIGURA 8
Volume dei messaggi spam a livello mondiale nel 2013
Fonte: Cisco TRAC/SIO
160
140
Miliardi al giorno
120
100
80
60
40
20
0
Gen
Feb
Mar
Apr
Mag
Giu
Lug
Ago
Set
Ott
Mese
FIGURA 9
Le tendenze relative ai volumi nel 2013
Fonte: Cisco TRAC/SIO
25
Volume in percentuale
20
Stati Uniti
Italia
Corea del Sud
Spagna
Cina
15
10
5
0
Gen
Feb
Mar
Apr
Mag
Giu
Mese
Lug
Ago
Set
Ott
27
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
FIGURA 10
I principali argomenti dei messaggi di spam a livello mondiale
1.
Notifiche di pagamenti/depositi
bancari
2.
Acquisti di prodotti online
3.
Foto allegate
Foto dannose ricevute come allegati.
Notifiche di depositi, trasferimenti, pagamenti,
assegni rifiutati, segnalazioni di frodi.
Conferme di ordini di prodotti, richieste
di ordini di acquisto, preventivi, versioni
di valutazione.
4.
Notifiche di spedizione
5.
Incontri personali
6.
Fisco
Fatture, consegne o prelievi, tracciamento.
Siti di incontri online.
Documenti fiscali, rimborsi, report,
informazioni sul debito, dichiarazioni
dei redditi online.
7.
Facebook
8.
Buoni regalo
9.
PayPal
Stato dell'account, aggiornamenti,
notifiche e software di sicurezza.
Avvisi da vari store
(quello di Apple è stato il più utilizzato).
Aggiornamenti sul conto, conferme,
notifiche di pagamento, contestazioni
di pagamenti.
28
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Exploit Web:
Java al primo posto
Secondo i dati di Cisco, tra tutte le minacce per la sicurezza
basate sul Web, le vulnerabilità nel linguaggio di programmazione
Java continuano a essere il bersaglio sfruttato più di frequente dai
criminali online.
Gli exploit Java superano nettamente quelli rilevati in Flash o nei documenti PDF di Adobe,
anch'essi comuni vettori di attività criminali (figura 11).
I dati di Sourcefire, ora acquisita da Cisco, mostrano anche che gli exploit Java costituiscono la
grande maggioranza (91%) degli indicatori di compromissione (IoC) monitorati dalla soluzione
FireAMP di Sourcefire per l'analisi e la protezione avanzata dal malware (figura 12). FireAMP
rileva in tempo reale le compromissioni negli endpoint, quindi registra il tipo di software che ha
causato ciascuna compromissione.
FIGURA 11 Gli attacchi dannosi generati tramite PDF, Flash e Java nel 2013
Fonte: report di Cisco Cloud Web Security
16%
14%
12%
PDF
10%
Flash
8%
Java
6%
4%
2%
0
Gen
Feb
Mar
Apr
Mag
Giu
Mese
Lug
Ago
Set
Ott
Nov
29
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Per le minacce come gli exploit Java, la difficoltà per i responsabili della sicurezza è riuscire
a individuare come il malware penetri nell'ambiente di rete e dove applicare le misure per
ridurre al minimo le infezioni. Le singole azioni potrebbero apparire innocue, ma l’analisi della
sequenza degli eventi può aiutare a comprendere la storia del malware. La ricostruzione della
sequenza degli eventi è un'analisi retrospettiva dei dati per determinare le azioni eseguito dagli
autori degli attacchi per superare la sicurezza del perimetro e infiltrarsi nella rete.
Di per sé, gli indicatori di compromissione possono indicare che visitare un determinato sito
Web è sicuro. A sua volta, l'esecuzione di Java potrebbe essere un'azione sicura, ad esempio
l'avvio di un file eseguibile. Tuttavia, un'azienda è a rischio se un utente visita un sito Web
contenente un iframe nascosto che avvia Java che a sua volta scarica un file EXE che esegue
azioni dannose.
FIGURA 12 I tipi di indicatori di compromissione
Fonte: Sourcefire (soluzione FireAMP)
2%
Microsoft Word
3%
Microsoft Excel
3%
Adobe Reader
91%
Compromissioni Java
1%
Microsoft PowerPoint
30
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
La diffusione pressoché universale di Java fa sì che resti in cima alla lista degli strumenti
preferiti dai criminali. Questo spiega perché le compromissioni Java abbiano rappresentato di
gran lunga l’attività più dannosa nelle sequenze di eventi nel 2013. Come riportato nella pagina
Web “Informazioni sulla tecnologia Java”, Java è utilizzato dal 97% dei desktop aziendali e
dall'89% dei computer desktop negli Stati Uniti.14
Java rappresenta una superficie di attacco troppo ampia perché possa essere ignorata dai
criminali. Questi tendono a creare soluzioni che eseguono gli exploit in sequenza, ad esempio
tentano di violare la rete o di sottrarre dati utilizzando la vulnerabilità più semplice o più nota
prima di passare ad altri metodi. In molti casi, Java è l'exploit che i criminali scelgono per
primo, perché garantisce il miglior ritorno sull'investimento.
Ridurre i rischi del problema Java
Anche se gli exploit basati su Java sono comuni e le vulnerabilità sono difficili da eliminare,
esistono metodi per ridurne l'impatto:
•quando possibile, disabilitare la disabilitazione di Java nei browser a livello di rete può
impedire l'esecuzione di questi exploit.
•Gli strumenti di telemetria come Cisco NetFlow, integrati in numerose soluzioni di sicurezza,
possono monitorare il traffico associato a Java, consentendo agli esperti della sicurezza di
comprendere meglio le origini delle minacce.
•Una gestione completa delle patch può risolvere molte vulnerabilità.
•Il monitoraggio degli endpoint e gli strumenti di analisi che tracciano e analizzano in modo
continuo i file che entrano nella rete permettono di rilevare e bloccare in un secondo
momento le minacce che inizialmente superano i controlli, ma che in seguito dimostrano un
comportamento dannoso.
•Un elenco dei dispositivi potenzialmente compromessi con le relative priorità può essere
generato utilizzando gli indicatori di compromissione per associare le informazioni sul
malware (perfino eventi apparentemente innocui) e identificare un'infezione zero-day senza
firme antivirus esistenti.
Anche l'aggiornamento alla versione più recente di Java consente di evitare le vulnerabilità.
Secondo le ricerche di Cisco TRAC/SIO, il 90% dei clienti Cisco utilizza una versione di
Java 7 Runtime Environment, la versione più recente del programma. Questo è positivo dal
punto di vista della sicurezza, poiché tale versione dovrebbe offrire una maggiore protezione
dalle vulnerabilità.
31
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Tuttavia, le ricerche di Cisco TRAC/SIO mostrano anche che il 76% delle aziende che
utilizzano soluzioni Cisco impiega Java 6 Runtime Environment in aggiunta a Java 7. Java 6
è una versione precedente che, avendo raggiunto la fine del proprio ciclo di vita, non è più
supportata. Spesso le aziende installano entrambe le versioni di Java Runtime Environment
perché applicazioni diverse possono utilizzare versioni differenti per l'esecuzione del codice
Java. In ogni caso, poiché più di tre quarti delle aziende intervistate da Cisco utilizzano una
soluzione al termine del ciclo di vita, con vulnerabilità per cui potrebbero non essere mai rese
disponibili patch, i criminali hanno numerose opportunità di sfruttare i punti deboli.
I rilevamenti di malware Web Java nel 2013 hanno raggiunto il picco nel mese di aprile,
arrivando al 14% di tutto il malware Web rilevato. Tali rilevamenti hanno fatto registrare il livello
più basso a maggio e giugno 2013, scendendo a circa il 6% e il 5% di tutto il malware Web
rilevato, rispettivamente (figura 13).
Nei mesi scorsi, Oracle ha annunciato che non inserirà più gli aggiornamenti di Java SE 6 nel
proprio sito di download pubblico, anche se gli aggiornamenti esistenti di Java SE 6 saranno
disponibili nell'archivio relativo a Java in Oracle Technology Network.
Per gli esperti della sicurezza che dispongono di tempo limitato da dedicare agli exploit Web,
concentrare l'attenzione su Java è sicuramente un approccio efficiente.
FIGURA 13 I rilevamenti di malware Web Java nel 2013
Fonte: Cisco TRAC/SIO
6,50%
6,00%
4%
5,00%
7,50%
9,00%
6,75%
6%
7,50%
8%
9,50%
10%
6,25%
12%
12,25%
14,00%
14%
2%
0
Gen
Feb
Mar
Apr
Mag
Giu
Mese
Lug
Ago
Set
Ott
Nov
32
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
BYOD e mobilità:
il livello di maturità dei dispositivi
favorisce i crimini informatici
Gli autori di crimini informatici e i loro bersagli affrontano lo stesso
problema: entrambi vogliono sfruttare al meglio le tendenze BYOD
(Bring Your Own Device) e della mobilità per ottenere un vantaggio
di business.
Due fattori sembrano favorire i criminali a mantenere il proprio vantaggio. Il primo è il livello
di maturità delle piattaforme mobili. Gli esperti della sicurezza Cisco osservano che più gli
smartphone, i tablet e gli altri dispositivi offrono prestazioni simili a quelle dei computer desktop
e laptop tradizionali, più risulta facile progettare malware per tali dispositivi.
Il secondo fattore è la diffusione delle app per dispositivi mobili. Quando gli utenti scaricano
le app per dispositivi mobili, essenzialmente installano un client leggero nell'endpoint ed
eseguono il download di codice. Un altro problema è dato dal fatto che molti utenti scaricano
regolarmente le app senza preoccuparsi della sicurezza.
Al tempo stesso, oggi i team della sicurezza devono affrontare il
cosiddetto problema “any-to-any”: come proteggere qualsiasi
utente, su qualsiasi dispositivo, ovunque si trovi, durante
l'accesso a qualsiasi applicazione o risorsa della rete.15 La
tendenza BYOD non fa altro che complicare le cose. È difficile
gestire tutti questi tipi di apparecchiature, in particolare con
un budget IT limitato. In un ambiente BYOD, per il CISO è
particolarmente importante avere la certezza che i dati siano
strettamente controllati.
Molti utenti scaricano
regolarmente le app
senza preoccuparsi
della sicurezza.
La mobilità offre nuovi metodi per compromettere utenti e dati. I
ricercatori Cisco hanno osservato i casi di utilizzo dei canali wireless per intercettare e ottenere
l'accesso ai dati scambiati tramite questi canali. La mobilità presenta anche numerosi problemi
di sicurezza per le aziende, inclusa la perdita di proprietà intellettuale e di altri dati sensibili, in
caso di furto o smarrimento del dispositivo non protetto di un dipendente.
33
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Secondo gli esperti di Cisco, una soluzione per migliorare la sicurezza nelle imprese è
l'istituzione di un programma formale per verificare la protezione dei dispositivi mobili prima
di consentire loro l'accesso alla rete aziendale. Come minimo, deve essere richiesto il blocco
tramite codice PIN (Personal Identification Number) per l'autenticazione degli utenti e il team di
sicurezza deve essere in grado di disattivare il dispositivo o cancellarne i dati in remoto in caso
di furto o smarrimento.
Le tendenze del malware per dispositivi mobili nel 2013
La seguente ricerca sulle tendenze del malware per dispositivi mobili nel corso del 2013 è
stata condotta da Cisco TRAC/SIO e Sourcefire, ora acquisita da Cisco.
Il malware destinato a dispositivi mobili specifici costituisce appena
l'1,2% di tutti i rilevamenti di malware Web nel 2013. Anche se non
costituisce una percentuale significativa, vale comunque la pena
sottolineare questo aspetto perché il malware per dispositivi
mobili rappresenta senza dubbio un nuovo territorio da
esplorare per gli sviluppatori di malware.
Secondo i ricercatori di Cisco TRAC/SIO, tra tutto il malware
progettato per compromettere un dispositivo mobile, il 99%
dei rilevamenti riguarda i dispositivi Android. Al secondo posto
nel 2013 si sono posizionati i trojan destinati ai dispositivi con
Java Micro Edition (J2ME), con lo 0,84% sul totale dei rilevamenti di
malware per dispositivi mobili.
Il malware destinato
a dispositivi mobili
specifici costituisce
appena l'1,2% di tutti i
rilevamenti di malware
Web nel 2013.
Tuttavia, non tutto il malware per dispositivi mobili è progettato per dispositivi specifici.
Numerosi rilevamenti riguardano phishing, likejacking o altri espedienti di social engineering
oppure reindirizzamenti forzati a siti Web diversi da quelli previsti. Un'analisi degli agenti utente
da parte di Cisco TRAC/SIO rivela che gli utenti di Android fanno registrare le percentuali di
rilevamento più elevate di tutte le forme di malware diffuso tramite il Web (71%), seguiti dagli
utenti di Apple iPhone con il 14% di tutti i rilevamenti di malware Web (figura 14).
I ricercatori di Cisco TRAC/SIO hanno anche evidenziato tentativi di trarre profitto dalle
compromissioni di Android nel 2013, inclusa la diffusione di adware e spyware per le aziende
di piccole e medie dimensioni (PMI).
In base alle ricerche di Cisco TRAC/SIO, Andr/Qdplugin-A è stato il tipo di malware per
dispositivi mobili rilevato più di frequente, con una percentuale del 43,8%. In genere la
diffusione ha avuto luogo attraverso copie di app legittime, realizzate tramite la ricreazione dei
pacchetti e distribuite attraverso marketplace non ufficiali (figura 15).
34
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
FIGURA 14 I rilevamenti di malware Web per tipo di dispositivo mobile
Fonte: report di Cisco Cloud Web Security
100%
80%
60%
40%
20%
Windows CE
Kindle
Zune WP
Nook
Playstation
Motorola
Windows
Phone
Huawei
iPod
Symbian
Nokia
BlackBerry
iPad
iPhone
Android
0
FIGURA 15
I primi dieci rilevamenti di malware Web per dispositivi mobili nel 2013
Fonte: report di Cisco Cloud Web Security
50%
40%
30%
20%
10%
Andr/DroidRt-C
Trojan-SMS.AndroidOS.
Agent.ao
AndroidOS.
Wooboo.a
Andr/Gmaster-E
Andr/DroidRt-A
Trojan.AndroidOS.
Plangton.a
Andr/Spy-AAH
Andr/SMSSend-B
Andr/SmsSpy-J
Andr/NewyearL-B
Andr/Qdplugin-A
0
An
Tro
dr.
ja
98%
11%
14%
16%
Andr.SMSSend
10%
7%
6%
4%
4%
4%
4%
3%
r.Tr
oj a
xplo
els
l o i t.E
n.S t
r.E xp
r.Tro
ja
And
ndr
id
it.Ratc
p l o i t. A
A ndr.E x plo
B C. E x
And
r
Andr.Exploit.Gingerbreak
nserve
n.G
ein
nr.
imi
T
roj
An
a n.
dr.
Dro
Tro
An
id D
jan
d
rea
r
.A
An
.Tr
mL
dr d
o
d
j
igh
r
a
(2
.Tr
n.G
t
%
o
(2 ) A
j
o
a
%)
n d n. A l d d r
ea
An r.T
nd
m
r
r
dr
.Tr ojan orat
oj
.
a n Pj a
p
.Y
ZH p s
C
Ad
e
rojan.A
Andr.T
ak
O pf
.
n
ja
u
ix t y
(>1%
) An
dr.Tr
tCo
ts
m pa
tible
Push
ad er
ueSP
.TG Lo
.Ro g
n.N o
ojan
r.Troj
an
dr.T
roja
(>1%
) An
ad
ck p o s
ojan.OB
(>1%)
A ndr.T
rojan. A
(>1%)
And
(>1%) A n
dr.Tr
(>1%) A ndr.Tr
ojan.Chuli
(>1%) Andr.Trojan.G ingerMas
ter
(>1%) Andr.Trojan.Badnews
keTimer
jan.G ones
min
.Fa
(>1%) Andr.Trojan
Tro
(1%) A ndr.
jan.K
ndr.Tro
(1%) A
e
on
.Zson
ank t
r ojan
ndr.T
dr.Tr
A
(1%)
An
(1%)
.Pl
ojan
Report annuale di Cisco sulla sicurezza 2014
And
A
oid
gF
.Tro
ndr
r
nD
n
Ku
35
I dati sulle minacce
FIGURA 16
Le principali famiglie di malware per Android registrate nel 2013
NOTA: SMSSend corrisponde al 98% di tutto il malware per Android; il 2% rimanente è illustrato in proporzione.
Fonte: Sourcefire
3%
3%
7%
36
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Attacchi mirati: liberarsi degli
intrusi persistenti
È molto probabile che la rete di ogni azienda abbia già subito
infiltrazioni attraverso attacchi mirati.
Quando penetrano in una rete, gli intrusi tendono a restarci, sottraendo dati senza farsi
scoprire o utilizzando risorse di rete per eseguire il “pivoting” e quindi attaccare altre entità
(per ulteriori informazioni sul pivoting, vedere pagina 18). I danni vanno al di là del furto di dati
o dell'interruzione delle attività aziendali: la credibilità agli occhi di partner e clienti può venir
meno se questi attacchi non vengono contrastati in modo tempestivo.
Gli attacchi mirati minacciano la proprietà intellettuale, i dati sui clienti e le informazioni sensibili
della pubblica amministrazione. I loro autori utilizzano strumenti sofisticati che aggirano
l'infrastruttura di sicurezza delle aziende. I criminali si impegnano al massimo per far sì che le
violazioni non vengano rilevate, utilizzando metodi che lasciano tracce quasi impercettibili in
termini di “indicatori di compromissione” (IoC). Il loro approccio metodico
per ottenere l'accesso alle reti e portare a termine la propria
missione si basa su una sequenza di attacco, ovvero: una serie
precisa di eventi per preparare e portare a termine un attacco.
Dopo aver trovato una posizione in rete in cui nascondersi, gli
strumenti usati in questi attacchi mirati eseguono le proprie
attività in modo efficiente e, in genere, senza farsi notare.
I criminali si impegnano
al massimo per far sì che
le violazioni non vengano
rilevate.
37
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
FIGURA 17
La sequenza di attacco
Per comprendere la varietà delle minacce esistenti e difendere la rete in modo efficace, gli esperti della sicurezza
IT devono adottare lo stesso punto di vista degli autori degli attacchi. Una conoscenza approfondita dell'approccio
metodico utilizzato dai criminali per raggiungere i propri obiettivi permette alle aziende potenziare le proprie difese.
La sequenza di attacco, una versione semplificata della “cyber kill chain”, descrive gli eventi preparatori di un attacco
e quelli che si verificano nelle sue varie fasi.
1. Sondaggio
Si ottiene un quadro d'insieme dell'ambiente: rete,
endpoint, dispositivi mobili e ambienti virtuali, incluse
le tecnologie implementate per la sicurezza.
2. Sviluppo
Viene creato il malware mirato e sensibile al
contesto.
3. Test
Si verifica che il malware funzioni come previsto,
soprattutto al fine di eludere gli strumenti di sicurezza.
4. Esecuzione
Ci si muove all'interno della rete estesa, prestando
attenzione all'ambiente, evitando il rilevamento e
muovendosi lateralmente fino a raggiungere il bersaglio.
5. Raggiungimento dell'obiettivo
Vengono raccolti i dati, provocate interruzioni dei servizi o danni.
38
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Panoramica del malware:
tendenze del 2013
Gli esperti della sicurezza di Cisco ricercano e analizzano
continuamente il traffico del malware e delle altre minacce rilevate
per poter prevedere eventuali attacchi futuri e individuare le nuove
minacce.
FIGURA 18
Le categorie principali di malware
In questa figura sono illustrate le categorie principali di malware. I trojan sono il tipo di malware più comune, seguiti
dall'adware. Fonte: Sourcefire (soluzioni ClamAV e FireAMP)
4% 4%
Downloader
Worm
Dropper (0%)
8%
Adware
Trojan
20%
Virus
64%
FIGURA 19
Le famiglie principali di malware per Windows
In questa figura sono illustrate le famiglie principali di malware per Windows. La più vasta, Trojan.Onlinegames,
comprende principalmente password stealer. Viene rilevata dalla soluzione antivirus ClamAV di Sourcefire. Fonte:
Sourcefire (soluzione ClamAV)
Spyeye (>1%)
3%
Hupigon
4%
Blackhole
7%
Gamevance
10%
Zeusbot
10%
Megasearch
11%
Syfro
14%
Multiplug
(Adware)
Onlinegames
41%
39
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
FIGURA 20
Le prime dieci categorie di host di malware Web nel 2013
In questa figura sono illustrati gli host di malware più frequenti, in base alle ricerche di Cisco TRAC/SIO.
Fonte: report di Cisco Cloud Web Security
45%
40%
35%
Non classificato
Altro
30%
25%
20%
15%
Aziende e settore
Infrastruttura
Web hosting
Annunci
Computer e Internet
Acquisti
Notizie
Motori di ricerca e portali
Community online
10%
5%
0
Gen
Feb
Mar
Apr
Mag
Giu
Lug
Ago
Set
Ott
Nov
Mese
FIGURA 21
Le categorie di malware per percentuale di rilevamenti totali
nel 2013
Fonte: Cisco TRAC/SIO
3%
(1%)
SMS, phishing
e likejacking
(1%)
Costruttori
e strumenti di hacking
5%
Worm e virus
Ransomware
e scareware
17%
Downloader
e dropper
22%
Trojan per il furto di dati
23%
iFrame
ed exploit
Trojan multifunzione
27%
40
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Le ricerche di Cisco TRAC/SIO mostrano che il malware diffuso tramite il Web e rilevato più
di frequente nel 2013 è rappresentato dai trojan multifunzione, con il 27% dei rilevamenti. Gli
script dannosi, come exploit e iframe, sono la seconda categoria rilevata più di frequente,
con il 23% dei rilevamenti. I trojan per il furto di dati, come password stealer e backdoor,
rappresentano il 22% dei rilevamenti di malware Web, mentre i downloader e i trojan dropper
sono al quarto posto, con il 17% dei rilevamenti (vedere la figura 21).
La diminuzione costante del numero di host e indirizzi IP univoci di malware (una diminuzione
del 30% tra gennaio 2013 e settembre 2013) suggerisce che attualmente il malware si
concentra in meno host e meno indirizzi IP (figura 22). Nota: un indirizzo IP può ospitare siti
Web per più domini. Poiché il numero di host è in diminuzione, mentre il totale del malware
rimane costante, il valore e la reputazione di questi host assumono una maggiore importanza,
perché il loro utilizzo favorisce le attività criminali.
FIGURA 22
Gli host e gli indirizzi IP univoci di malware nel 2013
Fonte: report di Cisco Cloud Web Security
60.000
Host
univoci
50.000
IP
univoci
40.000
30.000
20.000
10.000
0
Gen
Feb
Mar
Apr
Mag
Giu
Mese
Lug
Ago
Set
Ott
Nov
41
Report annuale di Cisco sulla sicurezza 2014
Watering hole: nessuna
tregua per le aziende colpite
Uno dei modi in cui i criminali tentano
di diffondere il malware nelle aziende
di specifici segmenti verticali è
l'utilizzo di attacchi “watering hole”.
Come un cacciatore che osserva la
preda, gli autori di crimini informatici
che desiderano colpire un particolare
gruppo (ad esempio, le persone che
lavorano nel settore dell'aviazione)
monitorano i siti Web frequentati dal
gruppo, infettano con malware uno
o più di questi siti e quindi attendono
che almeno un utente del gruppo visiti
il sito e venga compromesso.
Un attacco watering hole sfrutta la
fiducia degli utenti attraverso l’uso di
siti Web legittimi. Rappresenta anche
una forma di spear phishing. Tuttavia,
mentre lo spear phishing è rivolto
contro singoli individui selezionati,
gli attacchi watering hole sono
studiati colpire gruppi di persone con
interessi comuni. Gli attacchi watering
hole non fanno distinzione: chiunque
visiti un sito infetto è un potenziale
bersaglio.
Alla fine di aprile, è stato lanciato un
attacco watering hole da specifiche
pagine con contenuti relativi
all'energia nucleare nel sito Web del
Dipartimento del Lavoro degli Stati
Uniti.16 A partire dall'inizio di maggio
2013, i ricercatori di Cisco TRAC/
SIO hanno osservato un ulteriore
attacco watering hole originato da
Continua alla pagina successiva
I dati sulle minacce
Principali bersagli:
i segmenti verticali
Secondo le ricerche di Cisco TRAC/
SIO, le aziende in segmenti verticali con
profitti elevati, come il settore chimico e
farmaceutico e la produzione di componenti
elettronici, fanno registrare percentuali
superiori di rilevamenti di malware Web.
La percentuale aumenta o diminuisce parallelamente
all'aumento o alla diminuzione del valore di beni e servizi di
un particolare segmento verticale.
I ricercatori di Cisco TRAC/SIO hanno osservato un notevole
aumento dei rilevamenti di malware nel settore agricolo e
in quello minerario, in precedenza considerati relativamente
a basso rischio. L'aumento dei rilevamenti di malware in
questi settori viene attribuito al tentativo da parte dei criminali
informatici di approfittare di tendenze come la minore
disponibilità di risorse di metalli preziosi e la riduzione delle
forniture alimentari dovuta a fattori climatici.
In continuo aumento sono anche i rilevamenti di malware
nel settore dell'elettronica. Gli esperti della sicurezza di
Cisco indicano che il malware destinato a questo segmento
verticale in genere è progettato per consentire ai criminali di
impadronirsi di proprietà intellettuale, che viene quindi usata
per ottenere un vantaggio sulla concorrenza o venduta al
migliore offerente.
Per determinare le percentuali di rilevamento di malware
per gli specifici settori, i ricercatori di Cisco TRAC/SIO
confrontano la percentuale di rilevamento mediana per tutte
le aziende che utilizzano Cisco Cloud Web Security con
la percentuale di rilevamento mediana per tutte le aziende
in uno specifico settore che utilizzano il servizio. Una
percentuale di rilevamenti superiore al 100% indica un rischio
42
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Continua dalla pagina precedente
diversi altri siti del settore energetico
e petrolifero. Alcune analogie, come
il modo specifico in cui è stato
predisposto un exploit utilizzato in
entrambi gli attacchi, hanno fatto
pensare a una possibile relazione tra
i due episodi. Le ricerche di Cisco
TRAC/SIO hanno anche riscontrato
l'utilizzo dello stesso strumento di
progettazione Web e del medesimo
provider di hosting per molti dei siti.
Questo potrebbe implicare che la
compromissione abbia avuto inizio
attraverso attività di phishing o con
un furto per impossessarsi delle
credenziali di tale provider.17
Per proteggere gli utenti da questi
attacchi, è necessario mantenere
sempre aggiornati computer e
browser Web, in modo da ridurre al
minimo il numero di vulnerabilità che
possono essere sfruttate. È anche
essenziale filtrare il traffico Web e
verificare che non contenga malware
prima che raggiunga il browser
dell'utente.
di rilevamenti di malware Web superiore alla norma, mentre
una percentuale inferiore al 100% indica un rischio minore.
Ad esempio, un'azienda con una percentuale di rilevamenti
del 170% presenta un rischio maggiore del 70% rispetto alla
mediana. Un'azienda con una percentuale di rilevamento del
70% presenta invece un rischio inferiore del 30% rispetto alla
mediana (figura 23).
FIGURA 23
I rilevamenti di malware Web e i rischi
per settore nel 2013
Fonte: report di Cisco Cloud Web Security
0
Contabilità
Agricoltura e settore minerario
Settore automobilistico
Aviazione
Banche e finanza
Istituzioni benefiche e ONG
Associazioni e organizzazioni
Istruzione
Elettronica
Energia, petrolio e gas
Ingegneria ed edilizia
Intrattenimento
Servizi di ristorazione
Pubblica amministrazione
Sanità
Sistemi di riscaldamento,
idraulici e di condizionamento
IT e telecomunicazioni
Industria
Assicurazioni
Legale
Settore manifatturiero
Media ed editoria
Settore farmaceutico e chimico
Servizi professionali
Gestione immobiliare
Vendita al dettaglio e all'ingrosso
Trasporti e spedizioni
Viaggi e tempo libero
Servizi pubblici
100%
200%
300%
400%
500%
600%
700%
43
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Le fratture di un ecosistema
fragile
I criminali informatici si rendono conto che riuscire a sfruttare la
potenza dell'infrastruttura Internet comporta molti più vantaggi che
ottenere l'accesso ai singoli computer.
La tendenza più recente degli exploit dannosi è ottenere l'accesso a server di Web hosting,
server dei nomi e data center, con l'obiettivo di trarre vantaggio dall'enorme potenza di
elaborazione e larghezza di banda che forniscono. Attraverso questo approccio, gli exploit
possono raggiungere molti più utenti di computer inconsapevoli e produrre un impatto molto
più vasto sulle aziende colpite, indipendentemente da quale sia l'obiettivo: rivendicare una
posizione politica, indebolire un avversario o realizzare guadagni.
FIGURA 24
La strategia di infezione efficiente
Sito Web
compromesso
Sito Web
compromesso
Sito Web
compromesso
Sito Web
compromesso
Sito Web
compromesso
Server host compromesso
44
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Questa tendenza agli attacchi contro l'infrastruttura Internet sostanzialmente rende il Web
inaffidabile. I metodi utilizzati per ottenere l'accesso ai server host possono variare e includono
tattiche come trojan su workstation di gestione che rubano credenziali di accesso, vulnerabilità
negli strumenti di gestione di terze parti utilizzati sui server e tentativi di accesso brute-force
(vedere pagina 53). Anche eventuali vulnerabilità sconosciute nello stesso software del server
possono fornire punti d'ingresso.
Un solo server host compromesso può infettare migliaia di siti Web e proprietari di siti in tutto il
mondo (figura 24).
I siti Web ospitati nei server compromessi agiscono sia come redirector (l'elemento intermedio
nella catena di infezione) che come archivio di malware. Invece di molti siti compromessi che
caricano malware da pochi domini dannosi, oggi i domini dannosi si moltiplicano rendendo
molto più complicate le azioni di contrasto.
I server dei nomi di dominio sono i principali bersagli in questa nuova generazione di attacchi,
con metodi che sono ancora in fase di studio. Gli indicatori dimostrano che, oltre ai singoli siti
Web e server host, è in corso la compromissione anche dei server dei nomi di determinati
provider di hosting. Secondo i ricercatori di Cisco che si occupano di sicurezza, questa
tendenza verso gli attacchi contro l'infrastruttura Internet determina un cambiamento notevole
nel panorama delle minacce, perché cede ai criminali informatici il controllo di una porzione
significativa del Web.
[ “I crimini informatici sono diventati tanto redditizi e diffusi da richiedere un'infrastruttura potente
per continuare a perpetrarli”, spiega Gavin Reid, direttore di Cisco per i dati sulle minacce.
“Compromettendo i server host e i data center, gli autori degli attacchi non solo ottengono
l'accesso a grandi quantità di larghezza di banda, ma possono anche sfruttare i vantaggi offerti
da tali risorse in termini di disponibilità continua”.
]
“I crimini informatici sono diventati tanto redditizi e
diffusi da richiedere un'infrastruttura potente per
continuare a perpetrarli”.
Gavin Reid, direttore di Cisco per i dati sulle minacce
45
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Trovare le connessioni tra gli attacchi: DarkLeech e Linux/CDorked
La campagna di attacco DarkLeech segnalata da Cisco nel 201318 mostra che la
compromissione dei server host può rappresentare il punto di partenza per una campagna
di maggiori dimensioni. Secondo le stime, gli attacchi DarkLeech hanno compromesso, in un
breve periodo di tempo, almeno 20.00019 siti Web legittimi di tutto il mondo che utilizzano il
software server HTTP Apache. I siti sono stati infettati tramite una backdoor di Secure Shell
Daemon (SSHD) che ha consentito agli autori dell'attacco di caricare e configurare moduli
Apache dannosi. La compromissione ha consentito di inserire dinamicamente iframe (elementi
HTML) in tempo reale nei siti Web ospitati, che distribuivano il codice dell'exploit e altro
contenuto dannoso tramite il kit di exploit Blackhole.
Poiché gli inserimenti di iframe DarkLeech avvengono solo al momento della visita a un sito,
i segni dell'infezione potrebbero non risultare immediatamente evidenti. Inoltre, per evitare
il rilevamento della compromissione, i criminali utilizzano una sofisticata matrice di criteri
FIGURA 25
Le compromissioni di server DarkLeech per paese nel 2013
Fonte: Cisco TRAC/SIO
0,5% Danimarca
0,5%
Irlanda
1% Lituania
1% Paesi Bassi
10%
Regno Unito
3% Canada
58% Stati Uniti
1%
2%
Belgio
Francia
2% Spagna
9% Germania
1%
0,5% Cipro
Giappone
0,5% Turchia
0,5%
Malesia
2% Italia
1% Svizzera
0,5% Altri
2%
Thailandia
1%
Australia
2% Singapore
46
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
condizionali, ad esempio inserendo l'iframe solo se il visitatore proviene dalla pagina dei risultati
di un motore di ricerca, evitando di inserire l'iframe se l'indirizzo IP del visitatore corrisponde a
quello del proprietario del sito o del provider di hosting e inserendo l'iframe solo una volta ogni
24 ore per i singoli visitatori.
Le indagini di Cisco TRAC/SIO hanno rivelato che le compromissioni DarkLeech hanno avuto
luogo in tutto il mondo. Naturalmente, i paesi con il maggior numero di provider di hosting
hanno fatto registrare le percentuali di infezione più alte.
I ricercatori di Cisco SIO/TRAC hanno eseguito query su migliaia di server compromessi per
verificare la distribuzione delle versioni del software server interessate.
Nel mese di aprile 2013 è stata rilevata un'altra backdoor dannosa con cui sono stati infettati
centinaia di server che eseguivano il software server HTTP Apache. Linux/CDorked20 ha
sostituito il file binario HTTPD nelle versioni di Apache installate tramite cPanel. Sono state
FIGURA 26
Le risposte dei server compromessi da DarkLeech
Fonte: Cisco TRAC/SIO
0.5% Apache/CentOS
2% Apache/2.2.8
7% Apache/2.2.22
8% Apache/2.2.3 RedHat
39% Apache - non specificato
43% Apache/2.2.3 CentOS
47
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
anche rilevate backdoor analoghe destinate a Nginx e Lighttpd. Con metodi di attacco
altrettanto selettivi di quelli di DarkLeech, anche CDorked utilizza criteri condizionali per inserire
in modo dinamico gli iframe nei siti Web ospitati sul server interessato. A qualsiasi visitatore
che esplora un sito Web infetto viene distribuito contenuto pericoloso da un altro sito Web
dannoso, dove un toolkit crimeware tenta di compromettere ulteriormente il PC dell'utente.21
Una caratteristica unica di Linux/CDorked è il fatto che cambia periodicamente i domini dei
siti Web, in media ogni 24 ore. I pochi siti compromessi vengono utilizzati per un periodo
di tempo superiore. Pertanto, anche se viene segnalato un dominio malware, gli autori
dell'attacco si sono già spostati. Inoltre, con Linux/CDorked i provider
di hosting vengono cambiati di frequente (ogni due settimane
circa), cambiando periodicamente gli host compromessi per
evitare il rilevamento. I server dei nomi compromessi presso
questi stessi provider di hosting consentono agli autori degli
attacchi di spostarsi da un host all'altro senza perdere il
controllo dei domini durante il passaggio. Una volta penetrati
in un nuovo host, gli autori degli attacchi iniziano un ciclo di
nuovi domini, spesso utilizzando nomi di dominio secondo
CDorked e DarkLeech
sembrano elementi di una
strategia più complessa
e di ampia portata.
lo stile typosquatting22 nel tentativo di apparire legittimi a un
osservatore distratto.
Le analisi dei modelli di traffico eseguite da Cisco TRAC/SIO per CDorked
sembrano indicare una probabile connessione con DarkLeech. In particolare, l'URL referrer
opportunamente codificato impiegato da CDorked rivela traffico da DarkLeech. Tuttavia, non
è questo il cambiamento più interessante in relazione al malware: sia CDorked che DarkLeech
sembrano elementi di una strategia più complessa e di ampia portata.
“La sofisticatezza di queste compromissioni suggerisce che i criminali informatici abbiano
ottenuto un notevole controllo su migliaia di siti Web e più server host, inclusi i server dei
nomi impiegati da tali host”, spiega Gavin Reid, direttore di Cisco per i dati sulle minacce. “In
combinazione con la recente ondata di attacchi con accesso brute-force contro singoli siti
Web, sembra che stiamo assistendo a un cambiamento di direzione, in cui l'infrastruttura del
Web viene utilizzata per formare quella che può solo essere descritta come una grande, e
potente, botnet. Questa überbot può essere utilizzata per inviare spam, distribuire malware e
lanciare attacchi DDoS su una scala senza precedenti”.
48
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Il traffico dannoso, spesso
indizio di attacchi mirati, è
rilevato in tutte le reti aziendali
Un'analisi condotta da Cisco sulle tendenze dei dati sulle minacce
indica che nel 100% delle reti aziendali viene rilevato traffico
dannoso. Questo dimostra che i criminali particolarmente preparati
o altri soggetti sono riusciti a penetrare nelle reti e potrebbero
operare di nascosto e indisturbati a lungo.
Tutte le aziende dovrebbero dare per scontato di aver subito almeno una violazione. Non
si tratta di determinare se si subirà un attacco, ma piuttosto quando si verificherà e quanto
tempo durerà.
[ In un recente progetto in cui sono state esaminate le ricerche di DNS (Domain Name Service)
originate dall'interno delle reti aziendali, gli esperti di Cisco che si occupano dei dati sulle
minacce hanno constatato, nella totalità dei casi, l'utilizzo inappropriato o la compromissione
delle reti (figura 27). Ad esempio, il 100% delle reti aziendali analizzate da Cisco presenta
traffico destinato a siti Web che contengono malware, mentre il 92% genera traffico verso
pagine Web prive di contenuto, che in genere mascherano attività dannose. Il 96% delle reti
prese in esame rivela traffico verso server manomessi.
]
Cisco ha anche rilevato traffico diretto verso siti Web della pubblica amministrazione o di
organizzazioni militari all'interno di aziende che normalmente non hanno a che fare con
entità di questo tipo, nonché verso siti Web in aree geografiche ad alto rischio, come paesi
sottoposti a embargo commerciale da parte degli Stati Uniti. Cisco ha osservato che tali siti
potrebbero essere stati utilizzati per via della reputazione generalmente buona di cui godono
le organizzazioni pubbliche o governative. Il traffico verso questi siti potrebbe non essere
necessariamente il segno di una compromissione, ma per le aziende che non abitualmente non
intrattengono rapporti con la pubblica amministrazione o con le organizzazioni militari, questo
tipo di traffico potrebbe indicare che le reti sono state compromesse in modo da consentire ai
criminali di utilizzarle per violare siti Web e reti militari o della pubblica amministrazione.
49
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Nonostante gli sforzi per mantenere le minacce al di fuori delle reti, in tutte le aziende
esaminate da Cisco nel 2013 sono stati riscontrati segni di traffico sospetto. Il traffico
identificato tramite le ricerche di DNS può fornire validi indicatori di compromissione e merita
ulteriori indagini da parte delle aziende che desiderano fermare gli autori di queste minacce
difficili da rilevare nelle proprie reti. Si tratta di un metodo per aumentare la visibilità su attività
criminali che in genere sono molto difficili da individuare.
FIGURA 27
La diffusione del traffico dannoso
Malware molto
pericoloso
Connessioni a domini noti come siti di malware
o vettori di minacce.
100%
Pubblica amministrazione
e organizzazioni militari
Traffico eccessivo e sospetto verso posizioni che in
genere non vengono contattate dal pubblico.
100%
Manomissione
dell'infrastruttura
Connessioni a siti o infrastruttura noti per
essere stati compromessi o manomessi.
96%
Siti privi di contenuto
Connessioni a siti vuoti che potrebbero contenere
codice per l'inserimento di malware nei sistemi.
92%
Connessioni FTP
sospette
Connessioni impreviste a siti FTP irregolari.
88%
Connessioni VPN
sospette
Connessioni dall'interno di
un'azienda/organizzazione a siti VPN sospetti.
79%
Minacce mediante istituti
di istruzione
Connessioni a università in posizioni sospette,
potenzialmente utilizzabili come punti di pivoting per
altri tipi di malware.
71%
Pornografia
Volume molto elevato di tentativi di connettersi
a siti di pornografia noti.
50%
50
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
CISCO SECURITY RESEARCH
Le nuove tendenze del bitsquatting e i nuovi metodi per bloccare gli attacchi
Il cybersquatting, ovvero la pratica di registrare nomi di dominio identici o simili a quelli di marchi ben noti in modo da
generare confusione, è uno strumento utilizzato da tempo dai criminali informatici. Di recente, il “bitsquatting”, cioè la
registrazione di nomi di dominio con un solo numero binario di differenza rispetto al dominio originale, è diventato un
altro metodo per reindirizzare il traffico Internet verso siti che contengono malware o truffe.
Il bitsquatting è una forma di cybersquatting che sfrutta gli errori di bit nella memoria dei computer. Un errore di
memoria si verifica ogni volta che lo stato di uno o più bit letti dalla memoria cambia rispetto a quello scritto in
precedenza. Questi errori di memoria possono essere causati da molti fattori, inclusi i raggi cosmici (particelle
energetiche che colpiscono la Terra a una frequenza di 10.000 per metro quadro al secondo), l'utilizzo di un dispositivo
al di fuori dei parametri ambientali consigliati, difetti di fabbricazione e perfino esplosioni nucleari a basso rendimento.
Cambiando un singolo bit, un dominio come “twitter.com” può diventare il dominio bitsquat “twitte2.com”. L'autore di
un attacco può semplicemente registrare un dominio bitsquat, attendere che si verifichi un errore di memoria e quindi
intercettare il traffico Internet.
I ricercatori che si occupano di sicurezza ritengono che gli attacchi di bitsquatting abbiano maggiore probabilità di
verificarsi contro i nomi di dominio risolti di frequente, perché è più probabile che questi domini siano presenti in
memoria quando si verificano gli errori di bit. Tuttavia, secondo le previsioni formulate in recenti ricerche di Cisco, i
domini che in precedenza non venivano considerati sufficientemente “popolari” per un attacco in realtà producono
quantità utili di traffico bitsquat. Questo avviene perché sia la quantità di memoria per ogni dispositivo che il numero
di dispositivi connessi a Internet sono in aumento: in base alle stime di Cisco, entro il 2020 37 miliardi di “oggetti
intelligenti” saranno connessi a Internet.23
I vettori di attacco del bitsquatting
Cisco TRAC/SIO ha identificato alcuni nuovi vettori di attacco per il bitsquatting.
•Bitsquatting dei delimitatori dei sottodomini: in base alla sintassi accettata per le etichette dei nomi di dominio,
gli unici caratteri validi in un nome di dominio sono A-Z, a-z, 0-9 e il trattino. Tuttavia, durante il controllo dei
domini bitsquat, limitando la ricerca a questi caratteri si trascura un importante carattere che è comunque valido
all'interno dei nomi di dominio: il punto. Una nuova tecnica di bitsquatting sfrutta gli errori di bit che determinano la
trasformazione della lettera “n” (valore binario 01101110) in un punto “.” (valore binario 00101110) e viceversa.
•Delimitatori di sottodomini in cui “n” diventa “.”: secondo una variazione della tecnica precedente, se un nome di
dominio di secondo livello contiene la lettera “n” seguita da due o più caratteri, si è in presenza di un potenziale
bitsquat. Ad esempio, “windowsupdate.com” potrebbe diventare “dowsupdate.com”.
•Bitsquat di delimitatori di URL: gli URL rappresentano un contesto molto comune per i nomi di dominio. In un
tipico URL le barre “/” operano come delimitatori, che separano lo schema, il nome dell'host e il percorso URL.
Cambiando un solo bit, la barra (valore binario 00101111) può diventare la lettera “o” (valore binario 01101111)
e viceversa.
Continua alla pagina successiva
51
Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacce
Continua dalla pagina precedente
Impedire gli attacchi di bitsquatting con una RPZ bitsquat
Se le due tecniche di mitigazione utilizzate più di frequente per impedire il bitsquatting hanno senz'altro il loro posto
tra gli strumenti di sicurezza disponibili, nessuna delle due è ottimale.
•Utilizzare memoria con correzioni degli errori (ECC): per rendere efficace questa soluzione,
sarebbe necessario aggiornare simultaneamente l'intera base di dispositivi installati.
•Registrare il dominio bitsquat in modo che non possa essere registrato da terze parti: questo non
sempre è possibile, dal momento che molti domini bitsquat sono già stati registrati. A seconda
della lunghezza del nome di dominio, questa soluzione può anche rivelarsi costosa.
Fortunatamente, queste tecniche di mitigazione non sono le uniche che gli esperti della sicurezza possono
implementare per proteggere gli utenti da reindirizzamenti accidentali del traffico Internet. Con un livello di adozione
sufficiente, le nuove tecniche di mitigazione potrebbero eliminare quasi completamente il problema del bitsquatting.
Ad esempio, le RPZ (Response Policy Zone) rappresentano un'opzione di configurazione fin da BIND versione 9.8.1 e
sono disponibili patch per le versioni precedenti di BIND (BIND è un software DNS Internet ampiamente utilizzato). Le
RPZ sono file di zona locale che consentono al resolver DNS di rispondere a specifiche richieste DNS segnalando che
il nome di dominio non esiste (NXDOMAIN), reindirizzando l'utente a un “walled garden” (una piattaforma chiusa) o
offrendo altre possibilità.
Per attenuare gli effetti degli errori a singolo bit per gli utenti di un resolver DNS, l'amministratore del resolver può
creare una RPZ che garantisca la protezione dai bitsquat dei nomi di dominio risolti di frequente o solo interni. Ad
esempio, la RPZ può essere impostata in modo che qualsiasi richiesta effettuata al resolver DNS di varianti bitsquat di
questi domini ottenga una risposta NXDOMAIN, “correggendo” silenziosamente gli errori di bit senza alcuna attività
da parte del client in cui si verificano.24
52
Report annuale di Cisco sulla sicurezza 2014
La panoramica del
settore
Gli specialisti di Cisco SIO analizzano le tendenze di settore che
vanno oltre i dati di telemetria di Cisco.
53
Report annuale di Cisco sulla sicurezza 2014
La panoramica del settore
Tentativi di accesso brute-force:
una delle tattiche più diffuse
per compromettere i siti Web
Anche se i tentativi di accesso brute-force non rappresentano
assolutamente una tattica nuova per i criminali informatici, il loro
utilizzo è aumentato di tre volte nella prima metà del 2013.
Nel corso delle indagini, i ricercatori di Cisco TRAC/SIO hanno scoperto un hub di dati utilizzati
per queste attività. Includeva 8,9 milioni di possibili combinazioni di nome utente e password,
incluse password complesse (non del tipo “password123”, facile da violare). Le credenziali
utente rubate consentono di mantenere questo elenco e altri simili sempre aggiornati.
FIGURA 28
Il funzionamento dei tentativi di accesso brute-force
Il PC contatta il server di
comando e controllo e scarica
un trojan.
Il PC recupera i nomi dei siti
da colpire dal server di
comando e controllo.
Il PC attacca il sito utilizzando
vari exploit CMS/tentativi di
accesso brute-force.
In caso di successo, il PC
carica il bot PHP e altri script
nel sito Web compromesso.
I siti Web interessati diventano quindi relay di spam.
Alle future vittime viene inviato
il downloader e il ciclo si ripete.
54
Report annuale di Cisco sulla sicurezza 2014
La panoramica del settore
[ I principali bersagli dei più recenti tentativi di accesso brute-force sono piattaforme per sistemi
di gestione del contenuto (CMS) ampiamente utilizzate, come WordPress e Joomla. I tentativi
riusciti di accesso non autorizzato tramite una piattaforma CMS offrono agli autori dell'attacco
la possibilità di caricare backdoor PHP (Hypertext Preprocessor) e altri script dannosi nei siti
Web compromessi. In alcuni casi, la compromissione può consentire di arrivare fino a un
server host per impossessarsene ] (figura 28).
Considerando che nel mondo esistono più di 67 milioni di siti WordPress, e che numerosi
editori utilizzano la piattaforma per creare blog, siti di notizie, siti aziendali, riviste, social
network, siti sportivi e altro ancora, non sorprende che molti criminali
informatici abbiano scelto di ottenere l'accesso tramite questa
piattaforma CMS.25 Anche Drupal, una piattaforma CMS in
rapida crescita, è stata colpita quest'anno. Ad esempio, a
maggio la società ha consigliato agli utenti di cambiare le
proprie password perché “è stato effettuato un accesso non
autorizzato [a Drupal] tramite software di terze parti installato
nell'infrastruttura di server Drupal.org”.26
Molti criminali
informatici scelgono di
ottenere l'accesso tramite
la piattaforma CMS
Tuttavia, non è solo la diffusione di questi sistemi a renderli dei
bersagli interessanti. Molti di questi siti, anche se risultano attivi,
sono stati abbandonati dai loro proprietari. Vi sono probabilmente
milioni di blog abbandonati e domini acquistati inattivi, molti dei quali oggi
potrebbero essere diventati di proprietà di criminali informatici. Gli esperti della sicurezza
di Cisco prevedono che il problema potrà solo aggravarsi, dato che nei mercati Internet
emergenti di tutto il mondo sempre più persone creeranno un blog o un sito Web, molti dei
quali finiranno inevitabilmente per restare trascurati.
L'ampio uso di plug-in, progettati per estendere le funzionalità di un sistema CMS e per
supportare video, animazioni e giochi, rappresenta una situazione ideale per chi desidera
ottenere un accesso non autorizzato a piattaforme come WordPress e Joomla. Numerose
compromissioni di CMS osservate dai ricercatori Cisco nel 2013 possono essere fatte risalire
a plug-in creati nel linguaggio di scripting Web PHP, progettati in modo poco accurato e senza
tenere conto della sicurezza.
55
Report annuale di Cisco sulla sicurezza 2014
AMPLIFICAZIONE DNS:
tecniche di mitigazione
[Secondo gli esperti della sicurezza
Cisco, gli attacchi sferrati tramite
amplificazione DNS continueranno
a rappresentare un rischio anche
nel 2014. Open Resolver Project
(openresolverproject.org) indica che,
nel mese di ottobre 2013, la presenza
di 28 milioni di resolver aperti su
Internet rappresenta una “minaccia
significativa” (si tenga presente che
per l'attacco DDoS da 300 Gbps
contro Spamhaus sono stati utilizzati
solo 30.000 resolver aperti).
]
Se un resolver è aperto, non filtra le
destinazioni a cui invia le risposte.
DNS utilizza il protocollo UDP, che
è stateless, il che significa che
una richiesta può essere effettuata
per conto di un'altra parte. Tale
parte riceve quindi una quantità
di traffico amplificata. Per questo
motivo, identificare i resolver aperti
(e intervenire per chiuderli) deve
diventare una priorità del settore per il
prossimo futuro.
Le aziende possono ridurre la
possibilità di un attacco lanciato
tramite amplificazione DNS in diversi
modi, inclusa l'implementazione della
BCP (Best Current Practice) 38 di
Internet Engineering Task Force per
evitare di essere l'origine di attacchi.
Questa BCP raccomanda ai provider
upstream di connettività IP di filtrare
Continua alla pagina successiva
La panoramica del settore
Attacchi DDoS: una
vecchia tecnica
sempre attuale
Gli attacchi DDoS (Distributed Denial
of Service), che interrompono il traffico
da e verso i siti Web colpiti e possono
paralizzare i provider di servizi Internet
(ISP), sono in aumento sia per volume che
per gravità.
Poiché gli attacchi DDoS da tempo non rappresentano più
una novità in termini di tecniche per i crimini informatici,
molte aziende erano certe che le misure di sicurezza
adottate potessero fornire una protezione adeguata. Questa
certezza è stata tuttavia messa in discussione dagli attacchi
DDoS su vasta scala registrati nel 2012 e nel 2013, inclusa
l'Operazione Ababil, diretta contro diversi istituti finanziari,
probabilmente con motivazioni politiche.27
“Gli attacchi DDoS dovrebbero rappresentare una delle
principali preoccupazioni per la sicurezza delle aziende del
settore pubblico e privato nel 2014”, spiega John N. Stewart,
vicepresidente senior e Chief Security Officer di Cisco. “In
futuro dobbiamo aspettarci campagne ancora più vaste e
prolungate. Le aziende, in particolare quelle che operano o
hanno interessi in settori che rappresentano già importanti
bersagli, come i servizi finanziari e l'energia, devono
chiedersi se sono in grado di resistere a un attacco DDoS?”
Secondo una nuova tendenza, alcuni attacchi DDoS vengono
probabilmente utilizzati per nascondere altre attività criminali,
come truffe legate ai trasferimenti di fondi, durante o dopo
una campagna (vedere “DarkSeoul” a pagina 57). Questi
attacchi possono interferire con le attività del personale delle
56
Report annuale di Cisco sulla sicurezza 2014
La panoramica del settore
Continua dalla pagina precedente
i pacchetti che entrano nelle loro reti
dai clienti downstream ed eliminare
qualsiasi pacchetto con un indirizzo
di origine non allocato al cliente.30
Alla creazione di questa BCP ha
collaborato anche Cisco, che offre
linee guida per la distribuzione di
uRPF, la propria implementazione.31
Un'altra tecnica di mitigazione
è configurare tutti i server DNS
autorevoli per l'utilizzo della
limitazione della velocità. Il server
dei nomi autorevole, che gestisce il
dominio di un'azienda, generalmente
è aperto a tutte le richieste. DNS
Response Rate Limiting (DNS RRL)
è una funzionalità che è possibile
attivare per impedire che un server
DNS risponda troppe volte alla stessa
richiesta dalla stessa entità, evitando
che l'azienda venga sfruttata come
intermediario per attacchi DDoS.
DNS RRL è abilitato nei server DNS
e offre agli amministratori dei server
un modo per limitare l'efficacia con
cui un server può essere utilizzato
negli attacchi di amplificazione.
DNS Response Rate Limiting è una
nuova funzionalità e non è supportata
da tutti i server DNS; è comunque
supportata da ISC BIND, un server
DNS molto diffuso.
Inoltre, tutti i server DNS ricorsivi
devono essere configurati con un
elenco di controllo di accesso (ACL),
in modo da rispondere solo alle query
dagli host nella propria rete. Un ACL
Continua alla pagina successiva
banche, impedire l'invio ai clienti di notifiche dei trasferimenti
e impedire ai clienti di segnalare frodi. Inoltre, anche quando
riesce a riprendersi da un evento del genere, un istituto non
è in grado di recuperare le perdite finanziarie. Un attacco
di questo tipo, che ha avuto luogo il 24 dicembre 2012
contro il sito Web di un istituto finanziario della California, “ha
contribuito a distrarre i funzionari della banca dalla violazione
del conto online di uno dei clienti, permettendo ai criminali di
sottrarre più di 900.000 dollari”.28
I criminali informatici diventano sempre più competenti per
compromettere i server host e in futuro sarà più semplice
per loro lanciare attacchi DDoS e mettere a segno furti ai
danni delle aziende (vedere “Le fratture di un ecosistema
fragile” a pagina 43). Impadronendosi di una parte
dell'infrastruttura Internet, gli autori degli attacchi possono
trarre vantaggio da grandi quantità di larghezza di banda,
trovandosi in una posizione ideale per lanciare un numero
illimitato di potenti campagne. Hanno già iniziato: ad agosto
2013, il governo cinese ha reso noto di avere subito un
attacco DDoS senza precedenti, che ha mandato fuori uso la
rete Internet cinese per circa quattro ore.29
Anche gli spammer utilizzano gli attacchi DDoS per colpire le
organizzazioni che ostacolano le loro attività. A marzo 2013,
l'organizzazione no-profit Spamhaus, che tiene traccia degli
spammer e ha creato Spamhaus Block List, una directory
di indirizzi IP sospetti, è stata bersaglio di un attacco DDoS
che ha reso temporaneamente non disponibile il suo sito
Web e rallentato il traffico Internet a livello mondiale. Gli
autori dell'attacco sarebbero affiliati a CyberBunker, un
provider di hosting con condizioni di utilizzo particolarmente
permissive che ha sede nei Paesi Bassi, e STOPhaus, che
ha pubblicamente espresso la propria disapprovazione per
l'attività di Spamhaus. L'attacco DDoS è stato sferrato dopo
che il servizio Spamhaus, ampiamente utilizzato, ha incluso
CyberBunker nella propria blacklist. In quella che appare
una vera e propria rappresaglia, i sospetti spammer hanno
tentato di portare offline Spamhaus tramite un attacco DDoS.
57
Report annuale di Cisco sulla sicurezza 2014
La panoramica del settore
Continua dalla pagina precedente
non gestito correttamente può essere
un fattore primario negli attacchi
DNS, in particolare su server di
grandi dimensioni con grandi quantità
di larghezza di banda disponibile.
Questa tecnica aiuta anche a ridurre
la possibilità di operare come
intermediari in un attacco DDoS.
“Poiché a livello di settore si sta
discutendo della possibilità di
consentire ai server dei nomi
autorevoli di disabilitare il servizio
verso le entità che finiscono per
diventare intermediari in attacchi
DDoS, per le aziende è consigliabile
impiegare le semplici tecniche di
mitigazione descritte in precedenza”,
afferma Gavin Reid, direttore di Cisco
per i dati sulle minacce.
Per ulteriori informazioni sulle
best practice relative a DNS, fare
riferimento al documento “DNS Best
Practices, Network Protections, and
Attack Identification”: http://www.
cisco.com/web/about/security/
intelligence/dns-bcp.html.
In questo caso, è stato impiegato un attacco di amplificazione
DNS, che sfrutta i resolver DNS aperti che rispondono anche
alle query all'esterno del proprio intervallo IP. Inviando a un
resolver aperto una query molto piccola appositamente
progettata con un indirizzo di origine del bersaglio sottoposto
a spoofing, gli autori dell'attacco possono generare una
risposta significativamente più grande da parte del bersaglio
designato. Dopo il fallimento dei tentativi iniziali di portare
offline Spamhaus, gli autori dell'attacco hanno impiegato una
tecnica di amplificazione DNS contro provider upstream di
livello 1 e di altro tipo di Spamhaus.
DarkSeoul
Come osservato nella sezione “Attacchi
DDoS: una vecchia tecnica sempre
attuale”, il nuovo interesse dei criminali
informatici a compromettere i server host
e la loro preparazione tecnica sempre
più approfondita stanno rendendo più
semplice lanciare attacchi DDoS e mettere
a segno furti ai danni delle aziende.
Secondo i ricercatori di Cisco che si occupano di sicurezza,
le future campagne DDoS saranno probabilmente in grado
di interrompere i servizi e arrecare danni significativi, come
perdite finanziarie dovute a furti.
Gli attacchi DarkSeoul del marzo 2013 includevano
malware “wiper” progettato per distruggere i dati nei
dischi rigidi di decine di migliaia di PC e server. Gli
attacchi prendevano di mira istituti finanziari e aziende
multimediali in Corea del Sud, con il payload impostato
per attivarsi contemporaneamente. Il malware wiper
tuttavia rappresenta solo un aspetto dell'attacco. Nello
58
Report annuale di Cisco sulla sicurezza 2014
La panoramica del settore
stesso momento in cui il malware è stato attivato, è stato eseguito il defacing del sito Web
del provider di rete coreano LG U+ e le reti di altre aziende colpite hanno iniziato a subire
interruzioni, capacità non riproducibili nel malware wiper.32
Alcuni ritengono che gli attacchi siano conseguenza della guerra informatica scatenata dalla
Corea del Nord per indebolire economicamente la Corea del Sud o che rappresentino un atto
di sabotaggio da parte di un altro stato. Rimane tuttavia la possibilità che gli attacchi DarkSeoul
siano stati ideati per nascondere operazioni finanziarie.33
I ricercatori stanno ancora tentando di comprendere questi attacchi e di individuarne i
responsabili, ma le prove indicano che la progettazione di DarkSeoul sia iniziata già nel 2011. In
quell'anno, il Federal Bureau of Investigation (FBI) ha segnalato per la prima volta la diffusione
di trojan per il settore bancario, progettati per nascondere trasferimenti di fondi fraudolenti dai
conti delle vittime.34 Quindi, nel 2012, la società di sicurezza RSA ha reso nota la presenza
di una nuova generazione di criminali informatici che starebbero ideando una sofisticata
campagna trojan da lanciare in un giorno prefissato allo scopo di “prelevare denaro dal maggior
numero possibile di conti compromessi prima che le operazioni vengano arrestate dai sistemi
di sicurezza”.35 Infine, alla vigilia di Natale del 2012, alcuni criminali online hanno utilizzato un
attacco DDoS come copertura durante un furto da un istituto finanziario della California.36
Secondo gli specialisti di Cisco TRAC/SIO, un file binario di malware identificato negli attacchi
DarkSeoul contro aziende multimediali e istituti finanziari è un trojan per il settore bancario
destinato specificamente ai clienti delle stesse banche coreane. Questo fatto, insieme alla
sequenza temporale delle tendenze dei crimini informatici che hanno portato a DarkSeoul,
indica che la campagna potrebbe essere un modo per distogliere l'attenzione dai furti.
Ransomware
[ Per tutto il 2013, gli autori degli attacchi si sono progressivamente
allontanati dalle tradizionali infezioni di PC tramite botnet. In
parte, questo cambiamento ha comportato un maggiore
utilizzo del ransomware come payload malware finale da siti
Web compromessi, e-mail dannose e trojan downloader. Il
ransomware è una categoria di malware che impedisce il
normale funzionamento dei sistemi infetti finché non viene
effettuato il pagamento di una somma prestabilita. ]
Per tutto il 2013,
gli autori degli attacchi
si sono progressivamente
allontanati dalle
tradizionali infezioni di
PC tramite botnet.
Il ransomware assicura agli autori degli attacchi una fonte di entrate
diretta, ma al tempo stesso difficile da tracciare senza l'utilizzo di
servizi in lease intermedi, come quelli forniti dalle botnet tradizionali. Il successo
59
Report annuale di Cisco sulla sicurezza 2014
La panoramica del settore
di questa nuova forma di crimine riproduce le dinamiche delle economie locali legittime in cui
si è assistito a un significativo aumento delle imprese individuali come risultato della perdita
di posti di lavoro e della crisi economica, ma in questo caso la motivazione dei criminali
informatici è la perdita di disponibilità delle botnet e di kit di exploit accessibili dovuta alle azioni
di contrasto.
Nell'autunno del 2013, un nuovo tipo di ransomware, denominato CryptoLocker, ha iniziato
a crittografare i file delle vittime con una combinazione di coppie di chiavi a 2048 bit RSA e
AES-256, considerate impossibili da violare. Una volta in azione, CryptoLocker non si limita
al computer locale ma include i tipi di file corrispondenti in qualsiasi unità scrivibile connessa
al sistema. Al termine della routine di crittografia, alle vittime viene presentata una serie di
finestre di dialogo che forniscono istruzioni dettagliate per il pagamento del riscatto (figura 29).
Viene inoltre visualizzato un timer che indica il tempo concesso per il pagamento (variabile
da 30 a 100 ore). La finestra di dialogo segnala inoltre che, se il riscatto non viene pagato
entro il periodo di tempo specificato, la chiave privata verrà eliminata dal server di comando e
controllo, dopodiché risulterà impossibile decrittografare i file.
CryptoLocker ha raggiunto la massima diffusione a metà ottobre, probabilmente in risposta
alla perdita dei kit di exploit Blackhole e Cool in seguito all'arresto del presunto autore di questi
framework.
FIGURA 29
Le istruzioni di CryptoLocker per il pagamento del riscatto
60
Report annuale di Cisco sulla sicurezza 2014
La panoramica del settore
La carenza di esperti della
sicurezza e le lacune delle
soluzioni
[ La sofisticatezza delle tecnologie e delle tattiche utilizzate dai
criminali informatici, la quantità degli attacchi e delle minacce
richiedono risorse superiori alla capacità dei team IT e della
sicurezza. La maggior parte delle aziende non dispone di
personale o sistemi sufficienti per monitorare costantemente le reti
e determinare in che modo avvengono le infiltrazioni. ]
La carenza di esperti della sicurezza aggrava ulteriormente
il problema: anche quando i budget sono generosi, i CISO
faticano a trovare personale qualificato che sia anche
aggiornato sugli ultimi sviluppi e le tendenze del settore.
Secondo le stime per tutto il 2014 la domanda di esperti della
sicurezza resterà ancora insoddisfatta per oltre un milione
di professionisti in tutto il mondo. Vi è anche una carenza
di esperti della sicurezza con competenze di data science:
I CISO faticano
a trovare personale
qualificato e aggiornato
sugli ultimi sviluppi
e le tendenze della
sicurezza.
comprendere e analizzare i dati della sicurezza può contribuire a
migliorare l'allineamento agli obiettivi di business (vedere l'appendice
a pagina 68, “I team della sicurezza hanno bisogno di data scientist: gli
strumenti di base per l'analisi dei dati per i professionisti della sicurezza”).
61
Report annuale di Cisco sulla sicurezza 2014
La panoramica del settore
Il cloud come nuovo perimetro
Come riferiscono i CISO agli esperti della sicurezza di Cisco
(vedere pagina 18), il trasferimento nel cloud di volumi sempre
maggiori di dati aziendali importanti presenta problemi non
trascurabili per la sicurezza.
Secondo Michael Fuhrman, vicepresidente dell’engineering di Cisco, la rivoluzione introdotta
dal cloud è paragonabile alla diffusione delle soluzioni basate sul Web alla fine degli anni '90.
“Si è trattato di un cambiamento radicale nell'utilizzo delle nuove
tecnologie da parte delle aziende e allo stesso tempo abbiamo
assistito a un aumento degli attacchi online da parte dei
criminali informatici”, spiega Fuhrman. “Oggi il cambiamento
è introdotto dal cloud. Non solo le aziende ospitano molte
delle loro applicazioni critiche nel cloud, ma stanno anche
utilizzando il cloud per utilizzare e analizzare le informazioni
aziendali importanti”.
La diffusione del cloud
computing è innegabile e
inarrestabile.
La diffusione del cloud computing è innegabile e inarrestabile.
Secondo le previsioni di Cisco, il traffico di rete del cloud
aumenterà più di tre volte entro il 2017.37
[ Dal 2014 in poi, gli esperti della sicurezza possono aspettarsi di vedere l'intero perimetro
aziendale spostarsi nel cloud. Negli ultimi anni i confini della rete sono diventati molto meno
definiti. Parallelamente alla maggiore disponibilità di applicazioni e dati nel cloud, le aziende
stanno rapidamente perdendo la capacità di sapere chi e cosa attraversa i confini aziendali e
quali azioni stanno eseguendo gli utenti. ]
Questa transizione verso il cloud cambia le regole del gioco perché ridefinisce la posizione
in cui si archiviano, si spostano e si utilizzano i dati, oltre a offrire maggiori opportunità per gli
autori degli attacchi.
Al timore di cedere al cloud il controllo dei dati si aggiunge la mancanza di informazioni sul
modo in cui i fornitori di servizi cloud difendono i loro prodotti dalle violazioni della sicurezza.
Spesso le aziende non mettono in discussione il contenuto degli SLA (Service-Level
Agreement) dei fornitori o non verificano la frequenza con cui questi aggiornano il proprio
software di sicurezza o applicano patch alle vulnerabilità.
62
Report annuale di Cisco sulla sicurezza 2014
La panoramica del settore
Le aziende devono avere la certezza che un fornitore di servizi cloud utilizzi gli strumenti e
le strategie più sofisticati attualmente disponibili per contrastare gli attacchi o per rilevarli e
fermarli mentre sono in corso. Per i team responsabili della sicurezza delle informazioni, la
decisione di passare al cloud spesso si riduce a una sola domanda: “Quali controlli deve
effettuare un provider perché possa essere ritenuto affidabile per la gestione e la protezione
dei dati?”
Dall'altra parte, i fornitori di servizi cloud hanno difficoltà a identificare e implementare un
insieme di controlli gestibile, conforme a un crescente numero di normative internazionali
necessarie per affrontare un panorama di minacce sempre più ostile.
“Quando scegliamo i nostri fornitori per la sicurezza e l'infrastruttura critica, spesso ci basiamo
sulla reputazione e le qualifiche tecniche”, spiega John N. Stewart, vicepresidente senior e
Chief Security Officer di Cisco. “Ultimamente anche i loro processi interni e il nuovo approccio
alla sicurezza sono diventati criteri sempre più importanti nella selezione”.
I fattori che rendono il cloud pericoloso, ad esempio la collocazione all'esterno del perimetro di
rete e l’uso per dati business-critical, sono gli stessi che consentono alle aziende di prendere
decisioni sulla sicurezza più accurate e quasi in tempo reale . Con l’aumento del traffico
che attraversa il cloud, le soluzioni di sicurezza che a loro volta impiegano il cloud possono
analizzare questo traffico in modo semplice e veloce e ottenere così informazioni aggiuntive.
Inoltre, per le imprese più piccole o con budget limitati, un servizio cloud ben protetto e ben
gestito può offrire più garanzie di sicurezza rispetto ai server e ai firewall interni all'azienda.
“Quando scegliamo i nostri fornitori per la sicurezza
e l'infrastruttura critica, spesso ci basiamo sulla
reputazione e le qualifiche tecniche. Ultimamente
anche i loro processi interni e il nuovo approccio alla
sicurezza sono diventati criteri sempre più importanti
nella selezione”.
John N. Stewart, vicepresidente senior e Chief Security Officer di Cisco
63
Report annuale di Cisco sulla sicurezza 2014
I consigli
Molte aziende hanno difficoltà a formulare una visione della sicurezza
supportata da una strategia efficace, in grado di utilizzare nuove
tecnologie, semplificare l'architettura e le operazioni e aumentare
l'efficienza dei team responsabili della sicurezza.
64
Report annuale di Cisco sulla sicurezza 2014
I consigli
Obiettivi per il 2014:
verificare l'affidabilità e
migliorare la visibilità
Oggi il livello di affidabilità di una rete o un dispositivo deve
essere valutato in modo dinamico. Spesso le aziende sono
costrette a operare con modelli di sicurezza frammentati e
inevitabilmente applicati in modo incoerente, che producono dati
isolati sulle minacce e richiedono una moltitudine di fornitori e
prodotti da gestire.
Le connessioni tra le aziende, le organizzazioni, i dati e gli attacchi lanciati dai criminali
informatici sono semplicemente troppo complesse per essere gestite con una singola
appliance. Inoltre, la maggior parte delle aziende non dispone del personale di sicurezza
con le competenze e l'esperienza necessari per adattare i modelli di sicurezza alle sfide e
alle opportunità specifiche del cloud computing, della mobilità e delle altre nuove tendenze
tecnologiche che influenzano le attività aziendali.
Nell'ultimo anno le aziende di tutti i tipi hanno tentato con difficoltà di comprendere come
adottare l'innovazione senza creare nuove vulnerabilità o aumentare quelle esistenti. Il 2013
ha anche portato in primo piano il problema della fiducia. Oggi gli utenti di ogni tipo sono più
portati a dubitare dell'affidabilità delle tecnologie che utilizzano ogni giorno sul lavoro o nella
vita privata. È quindi quanto mai importante per i fornitori di tecnologie garantire ai clienti la
sicurezza dei processi di produzione.
[“In questa fase di transizione del mercato la fiducia è molto importante e i processi e le
tecnologie devono essere parte integrante della progettazione del prodotto, affinché un fornitore
sia in grado di soddisfare le esigenze dettate dalle attuali minacce”, afferma il Chief Security
Officer di Cisco, John N. Stewart. “La promessa di un'azienda non è sufficiente. Le aziende
devono essere sottoposte a verifica attraverso certificazioni dei prodotti, processi di sviluppo
integrati, tecnologie innovative e un’ottima reputazione nel proprio settore. Occorre anche
verificare l'affidabilità dei prodotti tecnologici che si utilizzano e dei fornitori che li producono”.
]
65
Report annuale di Cisco sulla sicurezza 2014
I consigli
Anche un migliore allineamento tra le attività svolte per implementare la sicurezza e gli
obiettivi di business è importante per rafforzare la sicurezza aziendale. In un panorama
caratterizzato da risorse limitate e budget ridotti, questo allineamento può aiutare i CISO e
gli altri responsabili della sicurezza dell'azienda a identificare i principali rischi e gli approcci
appropriati per mitigarli. Parte di questo processo è accettare il fatto che non tutte le risorse
aziendali possono essere completamente protette in qualsiasi momento. “È necessario definire
di comune accordo le priorità dal punto di vista della sicurezza informatica”, spiega Gavin Reid,
direttore di Cisco per i dati sulle minacce. “Si tratta di un approccio più produttivo rispetto a
sperare di trovare un rimedio universale per tutti i problemi”.
Per affrontare le attuali sfide della sicurezza, le aziende devono esaminare in modo olistico i
propri modelli di sicurezza e ottenere la visibilità su tutte le fasi degli attacchi.
•Prima di un attacco: per difendere la propria rete, le aziende devono conoscerne il
contenuto: dispositivi, sistemi operativi, servizi, applicazioni, utenti e altro. Inoltre, devono
implementare controlli di accesso, applicare policy di sicurezza e controllare le applicazioni
e l'accesso complessivo alle risorse critiche. Le policy e i controlli sono tuttavia solo una
piccola parte della strategia complessiva. Queste misure possono contribuire a ridurre la
superficie di attacco, ma resteranno sempre delle falle che i criminali potrebbero cercare di
sfruttare a proprio vantaggio.
•Durante un attacco: le aziende devono fare fronte a diversi vettori di attacco con soluzioni
in grado di operare ovunque la minaccia si manifesti: nella rete, negli endpoint, nei dispositivi
mobili e negli ambienti virtuali. L’adozione di soluzioni efficaci facilita il compito degli esperti
della sicurezza di bloccare le minacce e contribuire alla difesa dell'ambiente aziendale.
•Dopo un attacco: inevitabilmente molti attacchi hanno successo. Per questo motivo, le
aziende devono definire un piano di emergenza formale per determinare l'ambito del danno,
contenere l'evento, applicare contromisure e riportare le operazioni alla normalità il più
velocemente possibile.
[ “Gli autori degli attacchi e i loro strumenti si sono evoluti in modo da eludere le difese tradizionali.
In realtà non si tratta più di determinare se gli attacchi andranno a buon fine, ma piuttosto
quando succederà”, afferma Marty Roesch, Chief Security Architect del gruppo Security di
Cisco. “È necessario adottare un approccio alla sicurezza basato sulla visibilità e sul controllo
delle minacce per proteggere gli utenti in tutte le fasi: prima, durante e dopo un attacco.”
]
66
Report annuale di Cisco sulla sicurezza 2014
I consigli
L'utilità dei servizi per risolvere le sfide della sicurezza
L'ampiezza della superficie esposta agli attacchi, la diffusione e la sofisticatezza dei modelli di attacco e l'aumento
della complessità della rete rappresentano ostacoli concreti per le aziende che tentano di formulare una visione della
sicurezza in grado di utilizzare nuove tecnologie, semplificare l'architettura e le operazioni e aumentare l'efficienza
dei team.
La carenza di esperti della sicurezza, come descritto a pagina 60, complica questi problemi. Inoltre, l'innovazione
nel settore della sicurezza avviene a un ritmo superiore a quello con cui le aziende riescono ad adottare e rendere
operativi i nuovi strumenti.
Riuscire a trovare i professionisti con le competenze necessarie per gestire efficacemente i continui cambiamenti del
panorama della sicurezza non è facile. Avvalendosi della consulenza esterna di professionisti specializzati le aziende
non solo possono ridurre le spese, ma anche liberare il personale interno e dedicarlo ad altre attività strategiche.
Rafforzare gli anelli deboli della catena
Prevenire le minacce è naturalmente di vitale importanza per mantenere la sicurezza informatica. Dato l’aumento
dei criminali informatici che hanno come obiettivo la compromissione dell'infrastruttura Internet invece dei singoli
computer, gli esperti della sicurezza Cisco incoraggiano gli ISP e le società di servizi hosting ad assumere un ruolo
più proattivo nella protezione dell'integrità di Internet.
Per riuscire a identificare le minacce difficili da rilevare come DarkLeech e Linux/CDorked (vedere pagina 45) è
necessaria una maggiore collaborazione da parte dei provider di servizi hosting, ad esempio con l’indagine approfondita
delle segnalazioni degli utenti. Inoltre i provider di servizi dovrebbero implementare procedure di controllo migliori per
poter verificare l'integrità delle proprie installazioni dei sistemi operativi server. Secondo gli specialisti di Cisco, nel caso
di malware silenzioso come CDorked, i team della sicurezza non sarebbero stati in grado di determinare che il file binario
era stato sostituito se non avessero avuto modo di verificare l'integrità dell'installazione.
I sistemi dei singoli utenti sono ovviamente soggetti a compromissioni, ma di solito la catena è già indebolita
altrove molto prima che vengano colpiti. Sempre più spesso l'attacco avviene nella parte centrale della catena.
Per questo motivo, i provider devono avere una migliore conoscenza delle potenziali minacce che possono colpire
l'infrastruttura Internet.
67
Report annuale di Cisco sulla sicurezza 2014
Appendice
68
Report annuale di Cisco sulla sicurezza 2014
Appendice
I team della sicurezza hanno
bisogno di data scientist
Gli strumenti di base per l'analisi dei dati per i professionisti della
sicurezza
I team dei Chief Security Officer (CSO) stanno raccogliendo quantità enormi di dati troppo
preziosi per non essere sfruttati pienamente. L'analisi dei dati sulla sicurezza fornisce indizi sulle
attività degli autori degli attacchi e informazioni concrete su come contrastarli.
L'analisi dei dati non è una novità per i responsabili della sicurezza, che hanno già familiarità
anche con le procedure per la generazione e la classificazione dei record. I penetration
tester documentano un’indagine dopo una valutazione. I progettisti dei sistemi operativi
implementano i sottosistemi di controllo. Gli sviluppatori delle applicazioni
progettano le applicazioni che generano i log.
Indipendentemente da come vengono chiamati i record, è
chiaro che i responsabili della sicurezza hanno a disposizione
una grande quantità di dati, l'analisi dei quali può condurre a
importanti scoperte.
Se l'analisi dei dati di per sé non è una novità, l'evoluzione del
panorama della sicurezza ha avuto un impatto sul processo di
I responsabili della
sicurezza hanno a
disposizione una grande
quantità di dati e la loro
analisi può condurre a
importanti scoperte.
analisi dei dati:
•Il volume di dati generati è enorme;
•la frequenza delle analisi ad hoc dei dati necessarie sta aumentando;
•i report standardizzati, per quanto utili, non sono sufficienti.
69
Report annuale di Cisco sulla sicurezza 2014
Appendice
Fortunatamente, anche in questo ambiente complesso, le difficoltà che presenta l'analisi dei
dati ai responsabili della sicurezza non sono insormontabili e l'ecosistema di strumenti di analisi
dei dati è molto diversificato. Di seguito viene fornita una panoramica di alcuni degli strumenti
disponibili gratuitamente che è possibile utilizzare per le attività di base di analisi dei dati.
L'analisi del traffico con Wireshark e Scapy
Due strumenti eccellenti per l'analisi del traffico sono Wireshark e Scapy. Wireshark non ha
bisogno di presentazioni. Scapy è uno strumento basato su Python che può essere utilizzato
sia come modulo Python che in modalità interattiva per l'elaborazione o l'ispezione del traffico.
L'ampio set di strumenti da riga di comando e le funzionalità per la scomposizione dei
protocolli di cui è dotato, rendono Wireshark indispensabile. Ad esempio, utilizzando il campo
di filtro di visualizzazione tcp.stream di Wireshark, un file pcap che contiene più flussi TCP può
essere suddiviso in file più piccoli, ognuno dei quali contiene tutti i pacchetti che appartengono
a un singolo flusso TCP.
La figura A1 illustra questo comando che restituisce l'indice del flusso TCP dei primi cinque
pacchetti TCP in traffic_sample.pcap.
FIGURA A1
Comando tshark per estrarre l'indice tcp.stream
tshark -r traffic_sample.pcap -T fields -e tcp.stream tcp | head -n 5
tshark è uno degli strumenti da riga di
comando di Wireshark.
tcp.stream fa riferimento al campo di indice
del flusso per i filtri di visualizzazione TCP.
70
Report annuale di Cisco sulla sicurezza 2014
Appendice
Con queste informazioni, è possibile scrivere uno script che suddivida traffic_sample.pcap in
singoli file pcap:
$ cat ~/bin/uniq_stream.sh
#!/bin/bash
function getfile_name() {
orig_name=$1
stream=$2
file_name=”$(echo $orig_name | cut -d’.’ -f1)”
file_name+=”-${stream}.pcap”
echo “${file_name}”
return 0
}
streams=$(tshark -r ${1} -T fields -e tcp.stream | sort -un | tr ‘\n’ ‘ ‘)
for x in ${streams}
do
file_name=$(getfile_name ${1} ${x})
echo “Creating ${file_name}...”
tshark -r ${1} -w $file_name tcp.stream eq ${x}
done
$
Lo script crea un singolo file pcap per ognuno dei 147 flussi TCP in traffic_sample.pcap. In
questo modo è più semplice eseguire ulteriori analisi su ciascun flusso TCP. Si noti che i
pacchetti non TCP in traffic_sample.pcap non saranno contenuti in alcuno dei nuovi file pcap:
$ /bin/uniq_stream.sh traffic_sample.pcap
Creating traffic_sample-1,pcap...
Creating traffic_sample-2,pcap...
…
…
Creating traffic_sample-146,pcap...
Creating traffic_sample-147,pcap...
71
Report annuale di Cisco sulla sicurezza 2014
Appendice
Scapy offre vantaggi specifici. Essendo sviluppato in Python, è possibile utilizzare tutte le
funzionalità del linguaggio Python e altri strumenti Python. Il seguente frammento di codice
illustra come Scapy utilizza il sovraccarico degli operatori, consentendo di elaborare il traffico
in modo rapido e intuitivo:
# scapy
>>> dns_query = IP()/UDP()/DNS()
>>> from socket import gethostbyname,gethostname
>>> dns_query[IP].src = gethostbyname(gethostname())
>>> dns_query[IP].dst = “8.8.8.8”
>>> import random
>>> random.seed()
>>> dns_query[UDP].sport = random.randint(0, 2**16)
>>> dns_query[DNS].id = random.randint(0, 2**16)
>>> dns_query[DNS].qdcount = 1
>>> dns_query[DNS].qd = DNSQR(qname=“www.cisco.com”)
>>> scapy.sendrecv.sr1(dns_query)
>>> response = scapy.sendrecv.sr1(dns_query)
Begin emission:
............Finished to send 1 packets.
.*
Received 14 packets, got 1 answers, remaining 0 packets
>>> response[DNS].ar[DNSRR].rdata
‘64.102.255.44’
>>>
Questo esempio mostra in che modo è possibile creare i pacchetti e analizzare il traffico in tempo
reale. Scapy può comunque essere utilizzato per analizzare i file pcap con altrettanta facilità.
72
Report annuale di Cisco sulla sicurezza 2014
Appendice
L'analisi dei dati in formato CSV
I file con valori separati da virgole (CSV) rappresentano un formato molto comune per lo
scambio di dati. Numerosi strumenti (incluso tshark) consentono all'utente di esportare dati
in formato CSV. Generalmente i responsabili della sicurezza utilizzano programmi per fogli di
calcolo come Excel per analizzare i dati CSV. Spesso è anche possibile utilizzare strumenti da
riga di comando come grep, cut, sed, awk, uniq e sort.
Una possibile alternativa è rappresentata da csvkit. Csvkit fornisce numerose utilità che
rendono più semplice l'elaborazione di dati CSV dalla riga di comando. Il seguente esempio
dimostra quanto sia facile trovare tutte le righe che contengono l'host tty.example.org nella
colonna src:
$ head -n 3 tcp_data.csv
src,srcport,dst,dstport
“tty.example.org”,“51816”,”vex.example.org”,”443”
“vex.example.org”,”443”,”tty.example.org”,”51816”
$ csvgrep -n tcp_data.csv
1: src
2: srcport
3: dst
4: dstport
$ csvgrep -c 1 -r ‘tty\.example\.org’ tcp_data.csv | head -n 5
src,srcport,dst,dstport
tty.example.org,51816,vex.example.org,443
tty.example.org,51816,vex.example.org,443
tty.example.org,51427,paz.example.org,5222
tty.example.org,51767,bid.example.org,80
73
Report annuale di Cisco sulla sicurezza 2014
Appendice
Csvkit include numerosi strumenti. Csvstat è particolarmente utile perché calcola in modo
automatico varie statistiche. Ad esempio, è possibile calcolare facilmente la frequenza dei
primi cinque host src:
$ csvstat -c 1 tcp_data.csv
1. src
<type ‘unicode’>
Nulls: False
Unique values: 55
5 most frequent values:
tty.example.org:2866
lad.example.org:1242
bin.example.org:531
trw.example.org:443
met.example.org:363
Max length: 15
Row count: 6896
Matplotlib, Pandas, IPython e altri
Sono disponibili vari strumenti di analisi e visualizzazione dei dati basati su Python. Un'ottima
risorsa per trovare questi strumenti è il sito SciPy (http://www.scipy.org). Di particolare
interesse sono i pacchetti Matplotlib, pandas e IPython:
•Matplotlib offre una soluzione di visualizzazione semplice e flessibile.
•Pandas fornisce strumenti per manipolare ed esaminare dati raw.
•IPython aggiunge funzionalità all'interprete Python che agevolano l'analisi interattiva dei dati.
74
Report annuale di Cisco sulla sicurezza 2014
Appendice
Di seguito viene illustrato come è possibile utilizzare questi tre strumenti per rappresentare in
un grafico i primi host src in tcp_data.csv:
In [3]: df = read_csv(“/Users/shiva/tmp/data_analysis/tcp_data.csv”)
In [4]: df
Out[4]:
<class ‘pandas.core.frame.DataFrame’>
Int64Index: 6896 entries, 0 to 6895
Data columns (total 4 columns):
src 6896 non-null values
srcport 6896 non-null values
dst 6896 non-null values
dstport 6896 non-null values
dtypes: int64(2), object(2)
In [5]: df[‘src’].value_counts()[0:10]
Out[5]:
tty.example.org 2866
lad.example.org 1242
bin.example.org 531
trw.example.org 443
met.example.org 363
gee.example.org 240
gag.example.org 126
and.example.org 107
cup.example.org 95
chi.example.org 93
dtype: int64
In [6]: df[‘src’].value_counts()[0:10].plot(kind=“bar”)
Out[6]: <matplotlib.axes.AxesSubplot at 0x8479c30>
75
Report annuale di Cisco sulla sicurezza 2014
Appendice
FIGURA A2
Grafico generato tramite Plot ()
3000
2500
2000
1500
1000
500
chi.example.org
cup.example.org
and.example.org
gag.example.org
gee.example.org
met.example.org
trw.example.org
bin.example.org
lad.example.org
tty.example.org
0
L'aspetto interessante di Pandas è il modo in cui consente agli utenti di esplorare i dati. Ad
esempio, è piuttosto semplice trovare il numero di srcport univoche da cui tty.example.org si
connette per ogni combinazione univoca di dst e dstport con cui comunica:
In [229]: tty_df = df[df.src == “tty.example.org”]
In [230]: num_ports = lambda x: len(set(x))
In [231]: pivot_table(tty_df, rows=[‘dst’,‘dstport’], values=‘srcport’, aggfunc=num_ports)
Out[231]:
dst dstport
add.example.org 80 2
ala.example.org 80 3
and.example.org 80 1
auk.example.org 80 2
bid.example.org 80 1
…
76
Report annuale di Cisco sulla sicurezza 2014
Appendice
Iniziare ad analizzare i dati
Gli esempi delle pagine precedenti illustrano solo alcuni dei possibili usi e non rendono
giustizia agli strumenti citati. Sono tuttavia sufficienti per iniziare a condurre analisi significative
dei dati.
I Chief Security Officer hanno bisogno di professionisti della sicurezza pronti a indossare
il camice degli scienziati. L’analisi approfondita dei dati disponibili consente di ottenere
informazioni che non sarebbe possibile acquisire altrimenti. Con il tempo sarà più facile intuire
quali parti dei dati esplorare. Alcune aziende potrebbero perfino scoprire che è vantaggioso
avere data scientist dedicati nei propri team.
77
Report annuale di Cisco sulla sicurezza 2014
L'ecosistema
Cisco SIO
78
Report annuale di Cisco sulla sicurezza 2014
L'ecosistema Cisco SIO
Cisco SIO
Gestire e garantire la sicurezza delle infrastrutture di rete
dinamiche e distribuite di oggi è una sfida sempre più difficile.
I criminali informatici continuano a sfruttare la fiducia degli utenti nelle applicazioni e nei
dispositivi disponibili in commercio, presentando rischi maggiori per le aziende e i dipendenti.
La sicurezza tradizionale basata sulla stratificazione dei prodotti e sull'utilizzo di filtri diversi, non
è più sufficiente come difesa nei confronti del malware di ultima generazione, che si diffonde
rapidamente, ha obiettivi a livello mondiale e utilizza vettori diversi per propagarsi.
Cisco anticipa le minacce perché sfrutta le funzioni di rilevamento in tempo reale di Cisco
Security Intelligence Operations (SIO). Cisco SIO è il più grande ecosistema di sicurezza
basato sul cloud che utilizza più di 75 terabit di feed in tempo reale provenienti dalle soluzioni
Cisco e-mail, Web, firewall e dei sistemi di prevenzione delle intrusioni (IPS) implementate.
Cisco SIO valuta ed elabora i dati, classificando automaticamente le
minacce e creando regole con più di 200 parametri. I ricercatori
raccolgono e forniscono le informazioni sugli eventi di sicurezza
che possono avere un impatto significativo su reti, applicazioni
e dispositivi. Le regole vengono inviate dinamicamente ai
dispositivi di sicurezza Cisco implementati ogni 3/5 minuti.
Inoltre il team Cisco SIO pubblica regolarmente best practice
e consigli tattici per contrastare le minacce. Cisco si impegna
La sicurezza
tradizionale non è più
sufficiente come difesa
nei confronti del
malware di ultima
generazione.
a fornire soluzioni di sicurezza complete, integrate, tempestive,
ed efficaci basate su una strategia di sicurezza olistica adatta alle
aziende di tutto il mondo. Con Cisco, le aziende possono risparmiare
tempo nella ricerca delle minacce e delle vulnerabilità e concentrarsi sull'adozione di un
approccio proattivo alla sicurezza.
Per ulteriori informazioni sugli avvisi di pre-allarme, l’analisi delle minacce e delle vulnerabilità e
le soluzioni Cisco per mitigare i rischi, visitare il sito www.cisco.com/go/sio.
79
Report annuale di Cisco sulla sicurezza 2014
Note
1Per ulteriori informazioni sull'evoluzione verso l'infrastruttura any-to-any, vedere “The Nexus of Devices, Clouds, and
Applications” nel report annuale di Cisco sulla sicurezza del 2013: https://www.cisco.com/web/offer/gist_ty2_asset/
Cisco_2013_ASR.pdf.
2Ibid.
3
No More Chewy Centers: Introducing The Zero Trust Model Of Information Security, di John Kindervag, Forrester,
12 novembre 2012.
4“Timeline of Edward Snowden’s Revelations”, Al Jazeera America: http://america.aljazeera.com/articles/multimedia/timelineedward-snowden-revelations.html.
5“NSA collecting phone records of millions of Verizon customers daily”, di Glenn Greenwald, The Guardian, 5 giugno 2013:
http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order.
6
GCHQ: Government Communications Headquarters, un'agenzia di intelligence britannica.
7“NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say”, di Barton Gellman e Ashkan
Soltani, 30 ottobre 2013, The Washington Post: http://www.washingtonpost.com/world/national-security/nsa-infiltrateslinks-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74d89d714ca4dd_story.html.
8Per ulteriori informazioni, vedere “Cisco Secure Development Life cycle (CSDL)”: http://www.cisco.com/web/about/security/
cspo/csdl/index.html.
9Ibid.
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Cisco definisce Internet of Everything “la nuova era dello sviluppo di Internet che vedrà confluire persone, processi, dati e
oggetti”.
“Massive Spam and Malware Campaign Following the Boston Tragedy”, Cisco Security Blog, 17 aprile 2013:
http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/.
Ibid.
Ibid.
Pagina Web “Informazioni sulla tecnologia Java”: http://www.java.com/it/about/.
Per ulteriori informazioni sull'evoluzione verso l'infrastruttura "any-to-any", vedere il report annuale di Cisco sulla sicurezza
del 2013: http://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.
“Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities”,
di Craig Williams, Cisco Security Blog, 4 maggio 2013: http://blogs.cisco.com/security/department-of-labor-watering-holeattack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/.
“Watering-Hole Attacks Target Energy Sector”, di Emmanuel Tacheau, Cisco Security Blog, 18 settembre 2013:
http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/.
“Apache DarkLeech Compromises”, di Mary Landesman, Cisco Security Blog, 2 aprile 2013: http://blogs.cisco.com/security/
apache-DarkLeech-compromises/.
“Ongoing malware attack targeting Apache hijacks 20.000 sites”, di Dan Goodin, Ars Technica, 2 aprile 2013:
http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/.
“Linux/CDorked FAQS”, di Mary Landesman, Cisco Security Blog, 1 maggio 2013: http://blogs.cisco.com/security/
linuxcdorked-faqs/.
“DarkLeech Apache Attacks Intensify”, di Matthew J. Schwartz, InformationWeek, 30 aprile 2013:
http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922.
Il typosquatting è la pratica di registrare domini con nomi che differiscono da quelli di domini molto noti per un solo carattere.
“Thanks to IoE, the next decade looks positively ‘nutty’”, di Dave Evans, Cisco Platform Blog, 12 febbraio 2013:
http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/.
80
Report annuale di Cisco sulla sicurezza 2014
24
Per ulteriori informazioni sulle strategie di mitigazione per il bitsquatting, consultare il white paper di Cisco Examining the
Bitsquatting Attack Surface, 2013: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_
Surface-whitepaper.pdf.
25
26
27
28
29
30
31
32
33
34
35
36
37
“WordPress Sites in the World” e “A Look at Activity Across WordPress.com”, WordPress.com:
http://en.wordpress.com/stats/.
“Important Security Update: Reset Your Drupal.org Password”, Drupal.org, 29 maggio 2013:
https://drupal.org/news/130529SecurityUpdate.
Un report dettagliato degli schemi e dei payload degli attacchi dell'Operazione Ababil è disponibile in “Cisco Event Response:
Distributed Denial of Service Attacks on Financial Institutions”: http://www.cisco.com/web/about/security/intelligence/
ERP-financial-DDoS.html.
“DDoS Attack on Bank Hid $900.000 Cyberheist,” di Brian Krebs, blog KrebsonSecurity, 19 febbraio 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
“Chinese Internet Hit by Attack Over Weekend”, di Paul Mozer, China Real Time Report, WSJ.com, 26 agosto 2013:
http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/.
Fonte: Wikipedia: “Ingress Filtering”: http://en.wikipedia.org/wiki/Ingress_filtering.
“Understanding Unicast Reverse Path Forwarding”, sito Web di Cisco: http://www.cisco.com/web/about/security/intelligence/
unicast-rpf.html.
“Your Hard Drive Will Self-Destruct at 2 p.m.: Inside the South Korean Cyberattack”, di Sean Gallagher, Ars Technica, 20
marzo 2013: http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-koreancyber-attack/.
“Thoughts on DarkSeoul: Data Sharing and Targeted Attackers”, di Seth Hanford, Cisco Security Blog, 27 marzo 2013:
http://blogs.cisco.com/tag/darkseoul/.
Ibid.
“Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks”, di Mor Ahuvia, RSA, 4 ottobre
2012: https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/.
“DDoS Attack on Bank Hid $900.000 Cyberheist,” di Brian Krebs, blog KrebsonSecurity, 19 febbraio 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
“Cisco projects data center-cloud traffic to triple by 2017”, ZDNet, 15 ottobre 2013: http://www.zdnet.com/cisco-projectsdata-center-cloud-traffic-to-triple-by-2017-7000021985/.
Sede centrale Americhe
Cisco Systems, Inc.
San Jose, CA (USA)
Sede centrale Asia e Pacifico
Cisco Systems (USA) Pte. Ltd.
Singapore
Sede centrale Europa
Cisco Systems International
BV Amsterdam,
Paesi Bassi
Le sedi Cisco nel mondo sono oltre 200. Gli indirizzi, i numeri di telefono e di fax sono disponibili sul sito Web Cisco all'indirizzo
www.cisco.com/go/offices.
Tutti i contenuti sono protetti da Copyright © 2011-2014 Cisco Systems, Inc. Tutti i diritti riservati. Il presente documento contiene
informazioni pubbliche di Cisco. Cisco e il logo Cisco sono marchi registrati di Cisco Systems, Inc. e/o dei relativi affiliati negli Stati
Uniti e in altri paesi. L'elenco dei marchi Cisco è disponibile all'indirizzo www.cisco.com/go/trademarks. I marchi commerciali di terze
parti citati sono proprietà dei rispettivi titolari. L'utilizzo del termine partner non implica una relazione di partnership tra Cisco e altre
aziende. (012114 v1)