Il nuovo volto dell’attacker

Punta essenzialmente a sottrarre proprietà intellettuale industriale o informazioni di identificazione personale. Elementi anche non utilizzabili subito, ma da spendersi o usarsi nel tempo, quando conviene. Il dato emerge da un recente rapporto di Verizon.

Secondo il recente rapporto di Verizon, 2012 Data Breach Investigation, stanno aumentando i casi di hacktivismo, ossia di cyberattacchi che intendono raggiungere obiettivi di natura politica e sociale.
La cifra: il 58% dei grandi casi di sottrazione dati verificatisi lo scorso anno è attribuibile a questi fenomeni. Più di uno su due. Ciò non significa peraltro che i cyber criminali non siano più mossi da scopi di lucro.
Cambia però la loro prospettiva. Si punta essenzialmente a sottrarre proprietà intellettuale industriale o informazioni di identificazione personale. Elementi anche non utilizzabili subito, ma da spendersi o usarsi nel tempo, quando conviene.

Fra i rimedi tattici consigliati per contrastare il fenomeno si spazia dal buonsenso (deduplicare ed eliminare i dati di troppo) all’accortezza: esaminare i log degli eventi alla ricerca di attività sospette.
Si suggerisce la modifica delle credenziali di base dei dispositivi o una più attenta valutazione dell’affidabilità dei partner.
Ne abbiamo parlato con Wade Baker, Director, Risk Intelligence Team di Verizon.

D: Dal DBIR 2012 emerge che gli attacchi sono sempre più motivati da intenti politici e sociali. Evidente che Anonymous sta facendo scuola, ma presso chi? Ed esattamente contro chi?

B: Per quanto possiamo affermare, non ci sono caratteristiche standard comuni tra le vittime di gruppi attivisti come Anonymous, se non il fatto che solitamente si tratta di grandi organizzazioni. Questi gruppi attaccano varie tipologie di settori in tutto il mondo e per motivi diversi. Penso che questo possa parzialmente essere dovuto al fatto che gruppi come Anonymous non hanno una struttura centralizzata da cui partono i comandi per gli attacchi. Quello che ci troviamo davanti è più simile a un movimento composto da persone differenti, che agiscono in momenti diversi e sono motivate da cause altrettanto diverse.

D: Spicca anche che il 96% degli attacchi non è stato così complesso, nel senso che non ha richiesto particolari competenze. Questo è forse più preoccupante: non mette completamente in discussione le modalità con cui le reti sono state protette sinora?

B: Assolutamente sì. Spesso la considerazione fatta dalle persone sulla base dei risultati della statistica è che gli hacker non sono molto esperti. Io invece leggo più questi risultati come un’indicazione della forza, o della mancanza di forza, delle misure di sicurezza piuttosto che delle abilità di chi attacca. Il fatto è che non ci troviamo di fronte ad attacchi sofisticati perché i nostri avversari hanno successo anche utilizzando attacchi semplici.

D: Gli attacchi esterni sono i maggiori responsabili delle violazioni dei dati, mentre i business partner sono stati responsabili di meno dell’1% delle violazioni. La consideriamo una buona notizia? E se sì, quali sono i vantaggi?

B: Direi che non la possiamo considerare una buona notizia, perché nella realtà sono tutte situazioni negative. Anche se si fosse verificato il contrario, cioè se fossero cresciuti gli attacchi interni, non sarebbe stato positivo. Il drammatico aumento degli attacchi esterni che abbiamo osservato negli ultimi anni di studio è dovuto per lo più alla tendenza, da parte dei gruppi criminali organizzati, di automatizzare, standardizzare e ripetere gli attacchi su un vasto numero di vittime, per lo più piccoli obiettivi. Ciò può alterare la proporzione verso gli attacchi esterni.

D: L’hacking è stato causa dell’81% delle violazioni dei dati e del 99% delle perdite dei dati. Il punto cruciale è il furto di informazioni aziendali e credenziali personali. Sapere questo dovrebbe essere un vantaggio per le aziende. Ma non dovrebbe essere implicito nel concetto di sicurezza sinora costruito?

B: Concordo sul fatto che molto di quello che stiamo osservando dovrebbe rientrare nei principi base di sicurezza del nostro campo. Le violazioni sono quasi sempre il risultato di ciò che sappiamo di dover fare ma che non è stato fatto (o non è stato fatto in maniera corretta), piuttosto che qualcosa di assolutamente nuovo.

D: Alle grandi aziende viene raccomandato di eliminare i dati inutili, effettuare i controlli di sicurezza essenziali e dare i importanza ai log degli eventi. Delle tre, forse l’elemento più innovativo e costruttivo è l’ultimo. Ma come si fa?

B: Se parliamo di come sia possibile trarre vantaggio dai log degli eventi, direi che per iniziare è importante utilizzarli realmente invece di limitarsi a raccoglierli. Spesso quando si parla di log le organizzazioni si limitano a registrarli solo per soddisfare un requisito procedurale, facendo il minimo indispensabile e senza mai esaminare i log. Se si prestassero attenzione e risorse sufficienti a questo aspetto, penso si vedrebbero dei notevoli risultati. È importante notare che per fare ciò non è necessario utilizzare strumenti esageratamente costosi. Nei report del 2010 e in quello di quest’anno abbiamo incluso delle note dal titolo “Log, aghi e pagliai”, descrivendo approcci semplici ed efficaci per l’analisi dei log. Tali note offrono numerosi suggerimenti per iniziare e il programma può crescere e maturare in base alle esigenze. Come per tutte le cose, l’importante è iniziare e poi fare pratica.

D: Alle piccole aziende invece viene raccomandato l’utilizzo di un firewall, il controllo delle terze parti e la modifica delle credenziali di default dei dispositivi. Anche qui l’ultimo concetto è incisivo. Fino ad ora sono tutti aspetti tattici validi. Ma saranno sufficienti?

B: Quanto suggerito può essere efficace in molti casi per gli attacchi opportunistici, che rappresentano la maggioranza. Gli hacker potrebbero provare con una seconda ondata di attacchi più sofisticati e avere successo, ma non è il loro stile. Se si respingono le automated probe spesso presenti in rete, ci sono buone possibilità di non finire mai nei radar che portano poi ad attacchi più diretti. I metodi di attacco, alla fine, evolveranno e le raccomandazioni che abbiamo inserito nel report per le piccole imprese dovranno essere aggiornate, ma queste semplici azioni possono aiutarle ad evitare ben l’80/90% degli attacchi che abbiamo analizzato negli anni passati.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome