Sito dedicato alle Aziende Associate

Cisco 2017 Midyear Cybersecurity Report: l’IoT sarà la nuova frontiera in cui “buoni e cattivi” si scontreranno mentre sul vecchio campo di battaglia si fanno strada i DeOS

Nessuno è immune: la convergenza tra IT e OT impone a tutti i settori di migliorare il livello di sicurezza generale

San Jose, CA, 24 luglio 2017 - Ecco arrivato un appuntamento importante per Cisco, il rilascio del Midyear Cybersecurity Report (MCR). Partiamo subito con la notizia più preoccupante: i “cattivi” stanno sferrando attacchi ancora più sofisticati e il loro obbiettivo non è solo colpire bensì distruggere per impedire a chi si difende di ripristinare i propri sistemi e dati. Abbiamo coniato un nuovo nome per questi attacchi: destruction of service (DeOS).

Gran parte dei trend legati alla sicurezza che abbiamo esplorato in questa edizione del report sono proprio legati ai DeOS. Ad esempio, gli attaccanti stanno evolvendo e innovando le campagne ransomware e DDoS in modo che siano realmente in grado di distruggere le reti delle aziende. Così facendo, viene danneggiata anche la capacità dell’azienda di riprendersi dall’attacco.

Nella loro battaglia per guadagnare tempo e spazio per agire, gli avversari cercano continuamente nuovi modi per eludere i sistemi di rilevamento, di solito cambiando velocemente approccio quando la tattica utilizzata non funziona. Come spiegato nel report, stanno facendo un cambio di rotta abbandonando gli strumenti più recenti per tornare a quelli più vecchi, ad esempio allontanandosi dagli exploit kit e riutilizzando attacchi di tipo social engineering, come i “Business email compromise” (BEC).

Si sta inoltre ampliando la superficie d'attacco, la portata e l'impatto di queste minacce. I recenti attacchi, come ad esempio WannaCry e Nyetya, sono la dimostrazione della rapidità con cui si diffondono e dell’effetto distruttivo di attacchi che sembrano i “soliti” ransomware che conosciamo, ma che in realtà sono molto più distruttivi.

Ciò di cui possiamo essere certi, e che emerge chiaramente dal report, è che l’IInternet of Things (IoT), e la sua miriade di dispositivi e sistemi con numerose debolezze pronte per essere sfruttate, avranno un ruolo centrale nel far sì che l’impatto di queste campagne sia maggiore. L’IoT è quindi il nuovo confine in cui “buoni e cattivi” si scontreranno.

La misurazione dell'efficacia delle procedure di sicurezza di fronte a questi attacchi è fondamentale. E in questo Cisco garantisce tempi di rilevamento delle minacce (“time to detection” TTD) unici. Tempi rapidi di rilevamento sono essenziali per limitare da una parte lo spazio di manovra di chi attacca e dall’altra le interruzioni del business. Da novembre 2015, il tempo medio di rilevamento Cisco (TTD) è diminuito da 39 ore a circa 3,5 ore registrate nel periodo tra novembre 2016 e maggio 2017.

Panorama delle minacce: chi sale e chi scende

I ricercatori Cisco hanno osservato come si è evoluto il malware durante la prima metà del 2017 e hanno individuato nuove modalità con cui gli avversari stanno personalizzando le loro tecniche di distribuzione, di offensiva e di evasione. L’approccio è sempre più quello di spingere le vittime ad attivare una minaccia cliccando un collegamento o aprendo un file dannoso. Stanno inoltre sviluppando un tipo di malware ‘fileless’ che risiede nella memoria ed è più difficile da rilevare o investigare perché si cancella al riavvio del dispositivo. Infine, gli avversari si basano su infrastrutture anonime e decentrate, come il servizio di proxy Tor, per oscurare le attività di comando e controllo.

Se da un lato vi è un notevole declino negli exploit kit, altri attacchi tradizionali stanno vivendo una ripresa:

  • Il volume dello spam è aumentato considerevolmente, poiché molti attacchi utilizzano metodi collaudati, come l'email, per distribuire malware e ricavare profitti. I ricercatori di sicurezza di Cisco prevedono che lo spam con allegati dannosi continuerà ad aumentare mentre l’andamento degli exploit  kit rimane costante.
  • Spyware e adware, spesso poco considerati dai professionisti della sicurezza, perché ritenuti più noiosi che dannosi, sono forme di malware che continuano a persistere e ad essere pericolosi per le imprese. Cisco ha monitorato 300 aziende per un periodo di quattro mesi e ha scoperto che 3 famiglie di spyware più di altre hanno infettato il 20% del campione. In un ambiente professionale gli spyware possono rubare le informazioni personali e aziendali, indebolire il livello di sicurezza dei dispositivi e aggravare le infezioni da malware.
  • I progressi del ransomware, come la disponibilità di Ransomware-as-a-Service, semplificano già di per sé gli attacchi dei criminali informatici, a prescindere dalla loro effettiva abilità. Ransomware non ha solo fatto notizia, ha fatto guadagnare oltre 1 miliardo di dollari nel 2016; potrebbe essere una stima al ribasso, essendo ancora molte le aziende che anche a fronte di perdite più elevate non ne danno notizia. La “truffa del Ceo”, o Business email compromise (BEC), un attacco di social engineering in cui viene inviata un'email con l’intento di ingannare le aziende per far trasferire denaro agli aggressori, sta diventando molto redditizia. Secondo l’Internet Crime Complaint Center tra ottobre 2013 e dicembre 2016 sono stati rubati 5,3 miliardi di dollari con questo metodo.

Tutti i settori affrontano sfide comuni

I criminali informatici creano un numero crescente di minacce sempre più sofisticate, di fronte alle quali le imprese nei vari settori industriali sono chiamate a mettersi in pari con i requisiti basilari in materia di cybersecurity. Poiché Information Technology e Operation Technology convergono nell’Internet of Things, le aziende devono anche combattere contro la mancanza di visibilità e la complessità. Nell'ambito dello studio Security Capabilities Benchmark Study, Cisco ha intervistato circa 3.000 responsabili della sicurezza in 13 paesi e ha rilevato che i team di sicurezza sono sempre più sopraffatti dal volume degli attacchi in tutti i settori verticali. Questo fa sì che in molti applichino controlli di sicurezza in modo reattivo.

  • Non più di due terzi delle aziende analizza gli alert di sicurezza. In alcuni settori (come la sanità e i trasporti), la stima si avvicina al 50%.
  • Anche nei settori più reattivi (come la finanza e la sanità), le aziende mitigano meno del 50% per cento degli attacchi anche se sanno che si tratta di attacchi dannosi.
  • Le violazioni sono un campanello di allarme. Nella maggior parte dei settori, le violazioni hanno favorito un modesto miglioramento della sicurezza nel 90% delle aziende. Alcuni settori (come i trasporti) sono un po’ meno reattivi, con il valore che scende a poco più dell'80%.

Principali risultati per settore:

  • Pubblica Amministrazione - Delle minacce analizzate, il 32% è identificato come minaccia dannosa, ma solo il 47% viene infine rimediato.
  • Retail – Il 32% degli intervistati afferma di aver perso fatturato a causa di attacchi nell'ultimo anno, con circa un quarto che dichiara di aver perso clienti o opportunità di business.
  • Manifatturiero – Il 40% dei professionisti della sicurezza in questo settore ha dichiarato di non avere una strategia di sicurezza definita e di non seguire standard di sicurezza informatica, come ISO 27001 o NIST 800-53.
  • Utility - I professionisti della sicurezza hanno riferito che gli attacchi mirati (42%) e le minacce persistenti avanzate, o APT (40%), rappresentano i rischi più rilevanti per la sicurezza delle loro aziende.
  • Sanità - Il 37% delle aziende di questo settore ha affermato che gli attacchi mirati rappresentano i principali rischi di sicurezza.

Cisco suggerisce alcune azioni da intraprendere per la protezione degli ambienti aziendali

Per combattere gli attacchi odierni frutto di ablità sempre maggiori, le imprese devono affrontare la sicurezza con un atteggiamento proattivo. Cisco consiglia di:

  • Mantenere le infrastrutture e le applicazioni aggiornate in modo che gli aggressori non possano sfruttare le vulnerabilità note.
  • Combattere la complessità adottando una difesa integrata. Limitare gli investimenti a silos.
  • Rendere il management consapevole dei rischi, dei vantaggi e degli impatti economici per poi trasferire la consapevolezza all’intera azienda.
  • Stabilire metriche chiare. Usare i dati analizzati per convalidare e migliorare le pratiche di sicurezza.
  • Prendere in esame la formazione dei dipendenti in tema di sicurezza preferendo una formazione differenziata a seconda dei ruoli rispetto a una formazione universale per tutti.
  • Trovare un equilibrio tra difesa reattiva e risposta proattiva. I controlli o i processi di sicurezza non sono procedure del tipo "imposta e dimentica".

Nel MCR 2017, Cisco ha coinvolto un gruppo di 10 partner tecnologici per condividere i dati su cui elaborare congiuntamente le conclusioni sul panorama delle minacce. I partner che hanno contribuito al report includono Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect e TrapX. L'ecosistema di partner tecnologici nella security di Cisco è una componente essenziale della visione della società per offrire ai clienti una sicurezza semplice, aperta e automatizzata.

Dichiarazioni

"Come mostrano i recenti incidenti WannaCry e Nyetya, i nostri avversari stanno diventando sempre più creativi nel modo di architettare i loro attacchi. Mentre la maggior parte delle imprese ha intrapreso misure per migliorare la sicurezza a seguito di una violazione, le imprese di tutti i settori sono costantemente in lotta con chi effettua gli attacchi. L'efficacia della sicurezza inizia colmando le lacune più evidenti e rendendo la sicurezza una priorità".

Steve Martino, Vice President and Chief Information Security Officer, Cisco

"La complessità continua a ostacolare gli sforzi di sicurezza di molte aziende. È ovvio che gli anni di investimento in prodotti singoli che non si integrano fra loro creano enormi opportunità per gli attaccanti che possono facilmente identificare vulnerabilità trascurate o lacune nelle procedure di sicurezza. Per ridurre efficacemente il tempo di rilevamento e limitare l'impatto di un attacco, il settore deve adottare un approccio più integrato e architettonico che aumenta visibilità e gestibilità, consentendo ai team di sicurezza di colmare le lacune".

‑ David Ulevitch, Senior Vice President and General Manager, Security Business Group, Cisco

Il Report

Il Cisco 2017 Midyear Security Report esamina i più recenti dati di intelligence delle minacce raccolti dagli esperti di sicurezza del Cisco Collective Security Intelligence. Il report fornisce informazioni basate sugli approfondimenti di mercato e le tendenze della cybersecurity nella prima metà dell’anno insieme a raccomandazioni di iniziative da intraprendere per migliorare il livello di sicurezza generale. Esso si basa su dati provenienti da una vasta gamma di prodotti, pari a oltre 40 miliardi di punti di telemetria analizzati quotidianamente. I ricercatori Cisco traducono poi i dati di intelligence in protezione in tempo reale per i prodotti e l’offerta dei servizi che vengono immediatamente distribuiti a livello globale ai clienti Cisco.

Supporting Resources

 

Esegui ricerca

ASSINFORM Associazione italiana per l'Information Technology | CF: 97383050156 |  ©2008-2017 All rights reserved

 Linkedin - Twitter - Facebook

 

Power by Kalì