Crescono le minacce che arrivano da dipendenti e collaboratori. La criminalità organizzata è responsabile del’85% dei furti di dati. L’analisi di Verizon Business e i suggerimenti per difendersi
Aumentano le minacce che arrivano da utenti interni, il social engineering viene sempre più usato e si assiste a un massiccio coinvolgimento della criminalità organizzata.
La versione 2010 del Data Breach Investigation Report (Dibr) di Verizon Business – lo studio sulla violazione dei dati realizzato in collaborazione con i Servizi Segreti degli Stati Uniti – evidenzia alcuni fatti noti, ma dà una chiave di lettura interessante sui crimini informatici.
Il report ha analizzato 900 violazioni, con 900 milioni di record compromessi e questi sono i risultati principali: la maggior parte delle violazioni dei dati è stata causata sì da fonti esterne, ma crescono in modo preoccupante le violazioni legate al personale interno all’azienda.
Il 48% delle violazioni è stato attribuito a utenti che hanno usato i propri privilegi di accesso alle informazioni per scopi illeciti.
La criminalità organizzata è in ogni caso responsabile dell’85% di tutti i furti perpetrati lo scorso anno. Furti che, si badi bene, non riguardano solo le grandi aziende: il report non ha evidenziato alcuna correlazione fra le dimensioni di un’organizzazione e la probabilità di subire una violazione dei dati.
“I criminali – ha commentato Matt Van Der Wel, Manager Principal Forensics Emea di Verizon Business – scelgono i bersagli in base al “ROI”. E sono molto pazienti: nel caso di un importante istituto finanziario hanno studiato per settimane il traffico interno della rete per mappare il network e capire le procedure interne prima di impadronirsi dei dati”.
In base al report, il furto di credenziali ha rappresentato il sistema più comune per ottenere un accesso non autorizzato all’interno delle organizzazioni. Questo sistema è difficile da scoprire, perché agli occhi del security manager l’accesso appare assolutamente legale.
Da questo punto di vista i social network sono una ottima fonte. Strumenti come LinkedIn aiutano a capire chi occupa le caselle di un’organizzazione e tramite Facebook si possono avere importanti informazioni sull’individuo. “Supponiamo – prosegue Van Der Wel – che da Facebook un cybercriminale abbia saputo che l’utente target ha comprato uno smartphone. Risulta semplice confezionare una e-mail falsificata con mittente il produttore dello smartphone che si congratula dell’acquisto e informa l’utente che è un disponibile un nuovo firmware. L’utente è meno sospettoso perché l’e-mail è circostanziata, tempestiva, parla proprio del suo modello di smartphone, cita il suo nome e cognome. E’ più incline a cliccare sul link del firmware che è in realtà è un collegamento a un codice maligno e il danno è fatto”.
Il Dibr sottolinea che la maggior parte delle organizzazioni sono ancora molto lente nel rilevare e rispondere agli incidenti: il 60% delle violazioni viene scoperto da persone esterne e dopo molto tempo. E spesso, nonostante le prove di violazione dei log di sicurezza, la questione non viene affrontata per mancanza di personale, di strumenti o di processi.
Come sempre, la migliore difesa è la prevenzione, considerando anche che solo il 4% delle violazioni avrebbe richiesto misure di protezione complesse. Di seguito alcuni consigli di Verizon Business:
- Limitare e monitorare gli utenti privilegiati. Secondo i dati del report, le violazioni che arrivano dal personale interno stanno crescendo a dismisura.
- Controllare anche le piccole violazioni delle policy. Il Dibr ha evidenziato una correlazione fra violazioni apparentemente minori della policy e abusi più gravi. Ad esempio la presenza di contenuti non leciti nei sistemi degli utenti o altri comportamenti inappropriati sono un ragionevole indicatore di una violazione futura.
- Implementare misure per contrastare l’uso di credenziali rubate. La priorità numero uno è impedire la propagazione di malware in grado di acquisire le credenziali. In questo senso possono essere utili regole relative ai tempi di utilizzo o l’impiego di blacklist degli indirizzi IP.
- Monitorare e filtrare il traffico in uscita. Il processo di una violazione dei dati prevede a un certo punto un traffico di dati inusuale. E’ importante conoscere il traffico “normale” e lavorare poi per eccezioni.
- Modificare l’approccio del log. Il report evidenzia che tutte le vittime avevano prova della violazione dei dati nei log. E’ importante quindi che le aziende si prendano tutto il tempo necessario per esaminare in modo approfondito i log e la sequenza dei dati elaborati. Bisogna avere strumenti, processi e personale per identificare le anomalie e rispondere in modo appropriato.
- Condividere le informazioni sugli incidenti. La condivisione delle informazioni è cruciale nella lotta contro i crimini informatici.