Il 2014 è stato già particolarmente impegnativo per i professionisti della sicurezza IT. Molte delle minacce che erano state previste all’inizio dell’anno da Check Point sono emerse in modo puntuale, mentre altri problemi significativi hanno colto di sorpresa l’intero settore. L’azienda ha anticipato, e constatato, un aumento degli exploit di social engineering, che hanno portato importanti violazioni dei dati presso una serie di organizzazioni molto note. Le campagne di malware mirato hanno inoltre fatto un ulteriore passo avanti, con attacchi RAM scraper e ransomware che hanno fatto notizia. Le problematiche di mobile security si sono confermate man mano più presenti, con l’incremento nel numero di dispositivi portati dai dipendenti sulle reti aziendali.
Tuttavia, nessuno probabilmente si attendeva le massicce vulnerabilità che sono state scoperte in componenti IT consolidati, come il bug Heartbleed su OpenSSL e la falla BadUSB, che hanno avuto impatto su decine di milioni di siti ben noti in tutto il mondo. Queste problematiche hanno evidenziato proprio quanto possa essere imprevedibile – e arduo – applicare e mantenere la sicurezza.
Tenendo queste considerazioni a mente, ecco di seguito 10 trend che mi attendo si verifichino in tema di minacce e sicurezza IT durante il 2015, con la speranza che indicazioni del genere possano risultare utili alle organizzazioni nell’anticipare le possibili tattiche utilizzate dai criminali per prenderle di mira, e mitigare i potenziali rischi di sicurezza.
Malware zero-second
La rete globale di sensori Check Point ha rivelato come oltre un terzo delle organizzazioni abbia scaricato almeno un file infetto da malware sconosciuto nel corso dell’anno passato. Gli autori del malware stanno utilizzando in maniera crescente strumenti di offuscamento in modo che i loro attacchi possano evitare di essere riconosciuti da prodotti anti-malware e infiltrarsi nelle reti. La Threat Emulation, conosciuta come sandboxing, rappresenta un livello critico di difesa contro questa esplosione di agenti infetti sconosciuti. Le bot continueranno inoltre a rappresentare una tecnica chiave di attacco, semplicemente perché sono efficaci. Il nostro Security Report del 2014 ha analizzato le reti di migliaia di aziende in tutto il mondo, e ha riscontrato che il 73% aveva infezioni bot già esistenti – in crescita del 10% rispetto al 2013. Il 77% di queste infezioni erano attive da oltre quattro settimane.
Quanto conta il mobile
Il problema di proteggere i dispositivi mobili diventerà più rilevante nel 2015, in modo più rapido rispetto alla capacità di controllo delle organizzazioni. Delle oltre 700 aziende intervistate nel 2014, il 42% ha sofferto di incidenti di sicurezza mobile la cui soluzione ha richiesto oltre 250.000 dollari, e l’82% si aspetta una crescita degli incidenti nel corso del 2015. Dato piuttosto preoccupante, il 44% delle organizzazioni non gestisce i dati aziendali sui dispositivi posseduti dai dipendenti. Come percorso di attacco potenziale, il mobile fornisce un accesso diretto a più asset differenti e di valore rispetto a qualsiasi altro vettore di attacco individuale. È anche l’anello più debole nella catena della sicurezza, offrendo agli aggressori accesso a informazioni personalmente identificabili, password, email aziendale e personale, documenti aziendali, e accesso alle reti e applicazioni aziendali.
All’attacco dei pagamenti mobile
Con l’introduzione di Apple Pay con l’iPhone 6 l’adozione di sistemi di pagamento mobile da parte dei consumatori riceverà con ogni probabilità una spinta importante – assieme a numerosi altri sistemi di pagamento che competono per il market share. Non tutti questi sistemi sono stati testati in modo approfondito per fronteggiare le minacce del mondo reale, e questo potrebbe rappresentare una grande opportunità per gli aggressori, che trovano vulnerabilità da poter sfruttare.
Open source, open target
Heartbleed, Poodle, Shellshock. Si tratta di recenti vulnerabilità open source che sono salite agli onori delle cronache, perché hanno riguardato quasi ogni attività IT al mondo. Le vulnerabilità critiche nelle piattaforme più note, open source o meno (Windows, Linux, iOS), sono molto ambite dagli aggressori perché rappresentano opportunità eccezionali; per questo, continueranno a cercare questo tipo di falle per provare a sfruttarle, mentre aziende e vendor di sicurezza cercheranno di essere il più reattivi possibile.
Attacchi alle infrastrutture
Gli attacchi informatici rivolti a utility pubbliche e processi industriali chiave continueranno, utilizzando malware per prendere di mira i sistemi SCADA che controllano quei processi. Poiché sempre più spesso anche questi sistemi di controllo diventano connessi, questo estenderà i vettori di attacco che sono già stati sfruttati in passato da agenti malware ben noti quali Stuxnet, Flame e Gauss. Lanciati da stati esteri o da gruppi criminali, questi attacchi sono già diffusi: circa il 70% dei fornitori di infrastrutture critiche intervistati dal Ponemon Institute ha registrato una falla di sicurezza nel corso dello scorso anno
Dispositivi sospetti
La sempre maggiore diffusione di dispositivi IP-based nei luoghi di lavoro e negli ambienti domestici permette un mondo più connesso ed efficiente: questo però offre anche ai criminali reti più connesse ed efficienti per lanciare i loro attacchi. C’è necessità di proteggere i dispositivi, così come di proteggere noi stessi da questi dispositivi man mano che diventano sempre più spesso online. Dispositivi wearable ed iperportatili che si connettono a tablet e smartphone si stanno già infiltrando nelle reti – e le aziende hanno bisogno di essere pronte a gestirne l’impatto.
Proteggere le software-defined networks
Le SDN possono supportare la sicurezza gestendo il traffico attraverso un gateway e IPS, riprogrammando e ridisegnando dinamicamente una rete sottoposta ad attacco denial-of-service, e consentendo una quarantena automatica di endpint o network che risultano infette da malware. Tuttavia, la sicurezza non è per forza parte del concetto di SDN; ha bisogno di essere progettata all’interno. Poiché viene sempre più adottata nei data center, prevediamo di vedere attacchi mirati che cercano di sfruttare controller centrali SDN per prendere il controllo della rete e bypassare le protezioni di rete.
Unificare i layer di sicurezza
Le architetture di sicurezza single-layer o le soluzioni puntuali multi-vendor non offrono più alle aziende una protezione realmente efficace. Vedremo sempre più spesso l’introduzione da parte dei vendor di soluzioni unificate e single source, attraverso lo sviluppo, le partnership e le acquisizioni. Questo sta già accadendo, e vedremo una crescente collaborazione per combattere le minacce.
Estendere la protezione al Cloud
Con la crescita dell’uso dei servizi SaaS, prevediamo una maggiore adozione e uso di soluzioni di sicurezza as-a-service per fornire visibilità e controllo, prevenzione delle minacce e protezione dei dati. Tale adozione aumenterà di pari passo con la crescita dei servizi di sicurezza in outsourcing su cloud pubblico.
Evoluzione della threat intelligence e delle capacità di analisi
Nessuna organizzazione può avere un quadro realmente completo del panorama delle minacce. I big data costituiranno un’eccezionale opportunità di l’analisi delle minacce, consentendo l’identificazione di nuovi modelli di attacco. I vendor integreranno sempre più l’intelligence derivante da queste analisi all’interno delle loro soluzioni, e le aziende investiranno sulle loro funzionalità analitiche per aiutare a prendere le decisioni giuste, attraverso un contesto più dettagliato e una migliore consapevolezza delle minacce relative al proprio business. La condivisione collaborativa della threat intelligence continuerà a svilupparsi per offrire protezioni aggiornate che si adattano alle necessità specifiche degli utenti. A loro volta, queste capacità si trasformeranno in potenti soluzioni di unified security, in grado di fornire automaticamente protezione contro le nuove minacce emergenti, rafforzando la sicurezza delle organizzazioni.
di Roberto Pozzi di Check Point Software Technologies