Con l'aumentare del numero di dispositivi connessi in rete, i cybercriminali continueranno ad affinare la loro abilità in fatto di attacchi attraverso L’IoT e tecniche di elusione avanzate, continuando inoltre a sfruttare le vulnerabilità su vasta scala dei server per ottenere guadagni economici e per altri scopi criminali. Si tratta di uno scenario descrittivo a cui potremmo quasi dire di essere ormai ‘abituati’, soprattutto se analizziamo i più recenti report dai quali emerge spesso come “dal punto di vista dell’adozione di comportamenti e contromisure adeguati alla mitigazione delle crescenti minacce ‘cyber’, si sono fatti passi avanti insufficienti e, all’atto pratico, nonostante gli sforzi egregi delle Forze dell’Ordine di tutto il mondo, si sono ottenuti risultati poco significativi nel contrasto al cyber crime ed al cyber espionage, mentre i rischi connessi allo scoppio di ostilità condotte (anche) tramite tecniche di information warfare si sono moltiplicati sensibilmente. Detto diversamente, in questa fase storica la superficie di attacco complessivamente esposta dalla nostra civiltà digitale cresce più velocemente della nostra capacità di proteggerla” [fonte: Rapporto Clusit 2015 – ndr].
Le tecniche e le strategie di difesa, probabilmente, risultano ancora inefficaci nonostante i crescenti investimenti in sicurezza informatica (saliti globalmente, secondo i dati rivelati da Gartner, dell’8% nel 2014) dai quali non deriva però una difesa adeguata, dato il continuo aumento del numero e della gravità degli attacchi in un contesto nel quale, per altro, si stima che 2/3 degli incidenti non vengano nemmeno rilevati dalle vittime [dati 2014 di Academia, noto portale in cui analisti e ricercatori pubblicano i propri report per condividerli con la community web – ndr].
La divisione di ricerca di Fortinet, FortiGuard Labs, ha recentemente rilasciato alcune importanti analisi dalle quali emerge il quadro di quelle che saranno le minacce cibernetiche alla sicurezza più significative nel 2015, sia dal punto di vista di un hacker Black Hat (un hacker malintenzionato o con intenti criminali) sia dal punto di vista di un vendor di soluzioni di Threat Intelligence.
Dalla prospettiva del cybercrime, dunque, queste le tendenze e le minacce cibernetiche alla sicurezza più significative:
1) Blastware per distruggere sistemi, cancellare dati e nascondere le tracce degli hacker
La nuova tendenza distruttiva del malware potrebbe conferire agli hacker la capacità di infiltrarsi nei sistemi, raccogliere dati e quindi cancellare le informazioni lasciate in sistemi e hard drive per coprire le proprie tracce e ostacolare il corso della legge. Gli esperti hanno rilevato per la prima volta alcuni Blastware (questo il nome della minaccia rilevata) nel 2014, attraverso i quali gli hacker avevano integrato codice malevolo che, se alterato, si sarebbe autodistrutto eliminando tutti i dati contenuti sull'hard drive. Secondo le indagini dei FortiGuard Labs, gli sviluppatori di Apt (Advanced Persistent Threat) integreranno sempre più sofisticati meccanismi di autodistruzione, che potrebbero ostacolare il rispetto e il decorso della legge (potrebbero anche tentare di utilizzare queste tattiche per ottenere un riscatto, minacciando di distruggere i dati se non venisse pagato un riscatto entro un determinato periodo di tempo).
2) Avanzate tecniche di elusione
Nel 2015, le tecniche di elusione avanzate si evolveranno per consentire agli autori degli attacchi di dissimulare le tracce. Fino ad ora, l'elusione si è focalizzata su operazioni di contrasto nei confronti di antivirus e sistemi di prevenzione delle intrusioni/antibotnet. Secondo le previsioni che si possono ricavare analizzando i dati dei report dei FortiGuard Labs, questa tendenza si evolverà concentrandosi sull'elusione della Sandbox [cioè quel meccanismo/sistema che impedisce a programmi e applicazioni di avere libero accesso alle risorse del computer – ndr].
3) L'Internet of Things diventa l'Internet of Threats
Guardando al 2015, gli hacker Black Hat faranno sempre più leva sull'Internet of Things essendoci sempre più dispositivi connessi in rete. Le vulnerabilità che gli hacker cercheranno di sfruttare includono i sistemi consumer di home automation & security, nonché le webcam. Per quanto riguarda le aziende, dispositivi NAS (Network Attached Storage) e router continueranno a essere obiettivo di attacchi, così come l'infrastruttura critica, i sistemi HMI (Human Machine Interfaces) e la supply chain, che creeranno problemi significativi per la gestione di patch e componenti di terze parti. Il malware comune distribuito e venduto includerà funzionalità Scada (Supervisory Control And Data Acquisition).
4) Denial of Revenue/Violazioni dei dati proseguono e si estendono, soprattutto nel Retail
Il 2014 sta diventando noto come "L'anno della violazione dei dati", con furti significativi da negozi come Target, Michaels, P.F. Chang’s e Home Depot. Dalle analisi dei FortiGuard Labs si prevede che questa tendenza proseguirà anche in questo 2015, poiché gli hacker diventeranno più sofisticati e individueranno nuovi espedienti per infiltrarsi nei sistemi Retail e finanziari. Nel corso di quest’anno, i danni potrebbero anche estendersi al Denial of Service nelle linee di assemblaggio, nelle fabbriche e nei sistemi Erp, nonché ai sistemi di gestione di edifici e del servizio sanitario, creando ulteriori minacce come la compromissione dei dati critici dei consumatori, perdite di fatturato e danni alla reputazione per le aziende.
5) Aumento della Counter Threat Intelligence
I principali vendor supportano già da tempo le aziende attraverso servizi di Threat Intelligence in real-time (scansionando campioni di malware e analizzandone in dettaglio il comportamento attraverso laboratori di ricerca e analisi dislocati in tutto il mondo). Queste azioni, però, rappresentano per gli stessi hacker delle potenzialità, dato che essi stessi sfruttano i cosiddetti “indicatori di compromissione” (IoC – che consentono di correlare gli eventi e far in modo che i sistemi di ‘intelligenza condivisa’ delle minacce possano fornire protezione continua alle aziende dalle minacce più avanzate) per ideare attacchi sempre più sofisticati.
Mentre i servizi per la lotta al crimine estenderanno le capacità di ricerca e copertura, infatti, gli hacker utilizzeranno lo stesso tipo di processi per definire i modi migliori per aggirare i sistemi di sicurezza. Ad esempio, attualmente i servizi per la lotta al crimine effettuano la scansione del malware in relazione alle capacità dei fornitori di bloccarlo e attribuiscono loro un punteggio. Mentre i fornitori passano dal rilevamento del malware alla correlazione con la threat intelligence, i criminali si adopereranno per contrastare questo movimento con lo stesso tipo di approccio, in modo da scoprire se la loro infrastruttura botnet è segnalata anche in altri sistemi di intelligence (con l’obiettivo quindi di perpetrare l’attacco nascondendo le tracce).
Guardando a questo scenario, secondo gli analisti/ricercatori dei FortiGuard Labs, le azioni che i fornitori di threat intelligence e network security dovrebbero adottare per fronteggiare le nuove minacce sono:
1) Threat Intelligence fruibile
I fornitori di soluzioni di sicurezza sono sovraccaricati da threat intelligence, ma la tecnologia deve essere integrata per automatizzare la protezione da tale intelligence. Quest’anno i vendor di cyber security e le soluzioni di sicurezza gestita registreranno una spinta ancora maggiore verso la cosiddetta ‘threat intelligence fruibile’ con servizi proattivi che filtrano i dati importanti e avvisano i clienti in merito a potenziali vulnerabilità e misure di protezione, prima di un attacco. La capacità di un fornitore di garantire l'interoperabilità tra diversi prodotti di sicurezza e tra dispositivi di networking, computer, storage e terminali sulla rete sarà fondamentale per avere successo.
2) Risposta proattiva agli incidenti
Fino ad ora la risposta agli incidenti è sempre stata reattiva. Per riuscire a passare ad un approccio proattivo, i provider dovranno sempre più organizzare dei team dedicati al Product Security Incident Response, approccio grazie al quale, oltre ad una ricerca più approfondita delle minacce, si potranno limitare gli scenari delle violazioni intervenendo prima che si verifichino. In quest’ottica, è presumibile che già nel corso del 2015 aumenteranno gli investimenti delle aziende verso soluzioni e tecnologie per l'autenticazione avanzata a due fattori come misura proattiva primaria, seguita poi da una crescita di domanda dei servizi di incident response.
