Quasi la metà degli attacchi di sicurezza avvenuti nel settore finanziario nel 2014 sono identificabili principalmente in due tipologie: attacchi Denial of Service (DoS) e crimeware. Nonostante molte aziende del settore siano consapevoli di gestire dati particolarmente sensibili, il rischio per loro di subire attacchi informatici resta comunque molto elevato.
Dal Verizon 2015 Data Breach Investigations Report (DBIR) è emerso che gli incidenti di sicurezza possono essere fatti risalire a nove schemi di attacco. Due terzi delle minacce che hanno colpito il settore finanziario sono riconducibili a tre tipologie, due delle quali – DoS e crimeware – contano per circa la metà degli attacchi.
Un cambiamento radicale rispetto ai dati rilevati al Report dello scorso anno, dove la maggior parte degli incidenti registrati erano attacchi a web app (27%), seguiti da attacchi skimmer (22%).
I criminali non stanno affatto abbandonando queste tecniche, infatti si è registrato un consistente incremento degli attacchi DoS. Lo scorso anno questa tipologia di attacco è stata associata al 26% degli incidenti, mentre nel 2015 la percentuale è salita al 32%.
Di seguito un approfondimento sulle principali tipologie d’attacco registrate nel settore finanziario e gli strumenti utili alle aziende per difendersi.
Denial of Service (DoS)
Gli attacchi DoS inondano i sistemi internet-addressable con pacchetti di dati singolarmente innocui, ma che inviati contemporaneamente sono in grado di bloccare la rete e le applicazioni con traffico malevolo causando l’arresto delle normali attività.
Il 32% degli incidenti registrati nel settore finanziario è stato ricondotto ad attacchi DoS e questo genere di minacce continua a crescere sia per frequenza, sia per dimensioni raggiunte.
Gli attacchi DoS puntano a non rendere disponibili i servizi, diversamente da altre tipologie di attacchi che mirano invece a introdursi nei sistemi per sottrarre dati sensibili come dettagli delle carte di pagamento, proprietà intellettuale o dati in ambito sanitario.
Gli attacchi DoS sono studiati col fine di interrompere il corretto funzionamento di sistemi e reti; sono in grado di creare danni significativi portando a un’interruzione, per esempio, dei servizi di customer care, di vendita o del flusso delle transazioni, danneggiando notevolmente l’immagine dell’azienda e dei servizi offerti.
L’utilizzo di questi attacchi non è limitato ai singoli siti web, ma può essere sfruttato anche per colpire sistemi particolarmente critici, quali piattaforme di online banking, di quoting, di trading, oltre che per i sistemi interni che utilizzano internet.
Inoltre, le perdite legate all’interruzione improvvisa delle attività lavorative e il tempo necessario a far fronte all’attacco possono causare al business rilevanti cali di produttività per diversi giorni, se non settimane.
Gli attacchi DoS possono essere talmente pericolosi e causare danni tali che alcuni criminali richiedono un riscatto per eliminare l’uso di botnet e ripristinare i sistemi compromessi.
Gli attacchi tipici possono durare diversi giorni ed è difficile farvi fronte solamente con risorse interne all’azienda: esistono provider altamente specializzati che individuano, intercettano e contrastano il traffico DoS, utilizzando infrastrutture massive-scale.
Azioni consigliate
- Predisporre una strategia di mitigation: assicurarsi che le policy aziendali prevedano un piano d’azione in caso di attacchi particolarmente pesanti, con indicazioni precise sulle best practice da adottare. Predisporre una strategia solida, completa e dettagliata su come l’azienda dovrebbe agire nel caso in cui le azioni anti-DoS si rivelino inefficaci ad annullare l’attacco.
- Assicurarsi che la difesa sia valida: non aspettare di subire un attacco per verificare l’efficacia del sistema di difesa o per identificare eventuali miglioramenti necessari. Meglio testare le patch di sicurezza e aggiornarle regolarmente affinché siano conformi ai cambiamenti dell’infrastruttura e dei processi e alle nuove tecniche di attacchi DoS.
- Mantenere i dati separati: impedire che sistemi secondari diventino un gateway ai sistemi più importanti. Mantenere i sistemi critici separati su diversi circuiti di rete.
Crimeware
Per crimeware si intende l’utilizzo di malware volti a compromettere i sistemi e ottenere accesso a informazioni confidenziali o dati sensibili. Il DBIR 2015 ha ricondotto a questo genere di attacchi il 16% di tutte le violazioni avvenute In ambito finanziario: una percentuale in aumento rispetto al 4% registrato nel report del 2014.
Il termine crimeware include tutti i malware, compresi phishing e attacchi web-based come i malicious download. Questi incidenti variano in termini di obiettivi e forma dell’attacco, ma generalmente hanno come fine ultimo il furto di dati finanziari. Per esempio un hacker potrebbe utilizzare un malware per individuare i dati d’accesso bancari di un utente o sottrarne le credenziali per entrare in sistemi finanziari come l’online banking.
Il 28% degli incidenti è causato dal social engineering
Spesso sono proprio le persone l’anello debole del meccanismo nelle violazioni: le tecniche di social engineering, quali il phishing, sono utilizzare per lanciare malware nei dispositivi.
Come combatterlo?
- Aspettarsi i malware: prepararsi monitorando costantemente file di esecuzione o programmi introdotti nell’ambiente IT, utilizzare software anti-virus e intelligence feed per combattere gli item infetti.
- Monitorare il traffico: identificare il traffico command-and-control direttamente dai malware per arrivare ai malware server, affidandosi a un sistema di controllo della rete.
- Abilitare sistemi di autentificazione a due fattori: il 30% dei dati rubati sono credenziali di accesso. Implementare quindi sistemi di autentificazione a due fattori aiuta a prevenire che le stesse credenziali siano utilizzate per arrecare danno all’azienda.
- Educare i dipendenti: implementare semplici procedure e best practice, come training specifici per insegnare a non cliccare su link o aprire allegati di email provenienti da mittenti sconosciuti; o ancora, non inserire le credenziali d’accesso in siti web sospetti.
Attacchi a Web app
Oltre il 14% delle violazioni che avvengono nel settore finanziario sono riconducibili allo schema degli attacchi a web app. In questo caso gli hacker utilizzano credenziali rubate o sfruttano le vulnerabilità delle applicazioni web, come per esempio nelle piattaforme di Content Management System (CMS) o di e-commerce.
Nel 2014 quasi tutti gli attacchi alle web app sono stati attacchi opportunistici rivolti a bersagli ‘facili’. In gran parte degli attacchi sono state utilizzate credenziali di accesso sottratte dai dispositivi dei clienti.
Nel 2014 DBIR 27% degli incidenti sono stati attacchi a web app
Come ci si può difendere?
- Implementare sistemi di sicurezza di qualità: è necessario fare controlli accurati sui documenti pubblicati sui siti web e verificare regolarmente la presenza di dati sensibili sui siti accessibili al pubblico. Nel caso di invio di mail a liste ampie, assicurarsi, attraverso semplici test, che i dati contenuti siano inviati al giusto destinatario.
- Prendere in considerazione soluzioni di Data Loss Prevention (DLP): i servizi di DLP sono in grado di individuare processi interni danneggiati e/o bloccare l’invio di informazioni sensibili via email.
- Formare i dipendenti: insegnare che gestire bene dati e asset critici può ridurre in maniera rilevante il numero di violazioni. Documenti e computer non possono essere abbandonati a se stessi.
Il tempo che intercorre tra una violazione e la sua scoperta
Rispetto ad altri settori, quello finanziario si è rivelato piuttosto lento nel riconoscere le violazioni.
Il 30% degli attacchi sono stati scoperti nell’arco di qualche giorno, mentre il 38% non è stato individuato per mesi o ancora più a lungo.
Raramente le organizzazioni finanziarie si rendono conto da sole di essere state vittime di un attacco: spesso ne prendono atto in seguito a segnalazione da parte di terzi, come per esempio le società che emettono le carte di pagamento. Questo succede quando gli attacchi comportano l’uso legittimo delle credenziali d’accesso degli utenti per compiere transazioni fraudolente.
Il pericolo di tempistiche così lunghe è che più tempo intercorre tra una violazione e la sua scoperta, più a lungo i criminali avranno libero accesso ai sistemi per cercare informazioni e dati di valore.
In Verizon mettiamo a disposizione ogni giorno la nostra security insight lavorando a tutte le soluzioni che offriamo. I nostri prodotti e servizi possono essere un valido aiuto contro le minacce.
Application Vulnerability Scanning Services sono servizi software-as-a-service (SaaS) che permettono di identificare le vulnerabilità delle web app prima che vengano sfruttate dagli hacker.
Il servizio DoS Defense Detection and Mitigation analizza il traffico di rete e non solo avvisa della presenza di un attacco DoS, ma è anche in grado di mitigare gli attacchi più vasti e di allontanaredalla rete il traffico infetto.
I nostri consulenti di PCI Compliance, possono aiutare a trasformare la vostra tecnologia e i processi aziendali per aiutare a proteggere i dati delle carte di pagamento da skimming o attacchi web-based.