Con il rilascio del Threat Report 2015, Websense ha evidenziato una serie di tendenze comportamentali e tecniche per aiutare le aziende a proteggersi da minacce sempre più sofisticate.
Fare Cybercrime è diventato più facile: In questa epoca di MAAS, anche autori di minacce del tutto alle prime armi possono creare e sferrare con successo attacchi mirati al furto di dati, a causa di un accesso sempre più semplice all’utilizzo di exploit kit in affitto, Maas, e altre opportunità di acquisto o noleggio di porzioni o di un intero attacco informatico complesso e pluri strutturato. Oltre a un più facile accesso a strumenti all’avanguardia, gli autori di malware sono anche in grado di mescolare nuove tecniche con le vecchie, con la conseguente creazione di tecniche altamente evasive. Così, mentre il codice sorgente e l’exploit potrebbero essere minacce uniche ed avanzate, gran parte delle altre tecniche utilizzate negli attacchi vengono ricliclate e riutilizzate dagli elementi criminali. Ad esempio nel 2014, il 99,3% dei file malevoli utilizzava un URL di comando e controllo (C&C) che era stato utilizzato in precedenza da uno o più malware. Inoltre, il 98,2% degli autori di malware hanno utilizzato C&C identificato in altri cinque tipi di malware.
Qualcosa di nuovo o Déjà Vu?: gli autori di minacce informatiche sono soliti mescolare tattiche obsolete, quali ad esempio le macro in e-mail indesiderate, con nuove tecniche di evasione. Vecchie minacce vengono “riciclate” all’interno di nuove minacce lanciate attraverso canali e-mail e web, sfidando le difese più robuste. L’Email, il principale vettore di attacco di un decennio fa, rimane un veicolo molto potente per l’invio della minaccia, nonostante il ruolo ormai dominante del web negli attacchi informatici. Si osserva infatti che nel 2014, l’81% di tutte le email scansite da Websense sono state identificate come malevole. Questo numero è in crescita del 25% rispetto all’anno precedente.
Digital darwinismo – Sopravviveranno le minacce in continua evoluzione: gli autori delle minacce informatiche si sono concentrati sulla qualità dei loro attacchi, piuttosto che sulla quantità. I Websense Security Labs hanno osservato 3.9 milioni di minacce alla sicurezza nel 2014, il 5,1% in meno rispetto al 2013. Eppure, le numerose violazioni di aziende altamente critiche insieme agli ingenti investimenti in security, attestano l’efficacia delle minacce dello scorso anno.
Gli aggressori hanno reinventato la metodologia di attacchi per ridurre la visibilità delle minacce. Lo hanno fatto seguendo in maniera sempre meno lineare la tradizionale catena di attacco (Kill Chain). Le minacce sono più difficili da rilevare se alcuni stadi vengono saltati, ripetuti o applicati solo parzialmente, riducendo così la visibilità della minaccia stessa. Ad esempio, le e-mail sospette sono aumentate del 25% anno su anno, i dropper file sono diminuiti del 77%, l’attività di call home è aumentata del 93% e l’utilizzo di exploit kit è calato del 98%, mentre l’attività di malicious redirect è rimasta invariata.
Evitare la trappola dell’attribuzione: E’ particolarmente difficile fare una corretta attribuzione di un attacco informatico, data la facilità con cui gli hacker possono falsificare le informazioni, aggirare la registrazione e il monitoraggio o comunque rimanere anonimi. Spesso un’analisi delle stesse prove circostanziali può portare a conclusioni molto diverse. Molto meglio utilizzare tempo prezioso per concentrarsi su come rimediare ad un attacco.
Elevare il QI dell’IT: Con un ammanco mondiale previsto di 2 milioni di professionisti della sicurezza qualificati entro il 2017, a meno di nuovi approcci per l’utilizzo di risorse e l’adozione della tecnologia, è inevitabile che le organizzazioni saranno facilmente sconfitte dai loro avversari criminali.
Insight sugli insider: le minacce interne continueranno ad essere tra i maggiori fattori di rischio per il furto di dati, sia quando derivano da azioni accidentali, sia malevole da parte dei dipendenti.
Infrastrutture fragili: il 2014 ha visto il panorama delle minacce espandersi nell’infrastruttura di rete stessa, ad esempio vulnerabilità nascoste sono state rinvenute all’interno dei codici di base Bash, OpenSSL, SSLv3 e altri che sono stati in uso per decenni.
IoT – Moltiplicatore delle minacce: L’Internet of Things (IoT) aumenterà esponenzialmente l’esposizione agli attacchi, poichè la crescita di dispositivi connessi è stimata tra 20 e 50 miliardi entro il 2020. IoT offre connettività ed applicazioni inimmaginabili, ma la facilità di implementazione e il desiderio di innovare spesso non tengono conto dei problemi di sicurezza.
