Nel 2014 il numero di target oggetto di cyberattacchi nel mondo aziendale è più che raddoppiato, rispetto al 2013. Il dato emerge da un rapporto del Kaspersky Lab che ha reso noti i principali eventi chiave che l’anno scorso hanno definito il panorama globale delle minacce informatiche.
Thierry Karsenti, Vice President Europe Engineering & New Technologies di Check Point, cita questa informazione per spiegare l’attuale trend, come le minacce informatiche di tipo evoluto stiano crescendo a vista d’occhio nel mondo, e colpiscano un numero sempre maggiore di obiettivi nel settore corporate.
Tra le vittime, dice, vi sono le banche: verso la fine del 2014, un importante istituto finanziario mondiale come JPMorgan Chase ha dovuto rendere nota una mega violazione della sicurezza che ha interessato i dati di 76 milioni di famiglie e di 7 milioni di piccole imprese.
Ma le vittime sono anche i grandi magazzini del settore retail, o per meglio dire i loro utenti: si va dalla “breccia” procurata a Home Depot (56 milioni di carte di credito compromesse), alla violazione subita dal grande retailer Target, che ha colpito circa 40 milioni di carte di credito, e questo solo per citare i casi più eclatanti.
Non si tratta poi naturalmente solo degli Stati Uniti: anche l’Europa è colpita con intensità crescente. Tra gli obiettivi degli hacker vi sono sempre più anche i media, come testimonia il recente attacco, definito senza precedenti, che ha preso di mira la tv francese TV5Monde.
Panorama completamente mutato
Gli hacker sono alcuni passi avanti rispetto alle aziende, e le minacce informatiche non riguardano le sole organizzazioni, ma ciascuno di noi, sottolinea Karsenti, facendo notare come lo scenario sia completamente cambiato rispetto a una decina di anni fa. «È interessante osservare come sia mutato il livello di consapevolezza di questo problema.
Quella che prima era una discussione technology-related è diventata una discussione di business, e in certi casi anche una discussione politica. È interessante osservare la portata dei danni provocati da questo crescente numero di attacchi: l’obiettivo non è più solo violare un sito web, ma bloccare, sconvolgere il business di un’organizzazione». Di consenguenza le aziende stanno concependo l’IT security non più come fine a se stessa, o come costo necessario, ma come information security.
Una sicurezza delle informazioni che sta diventando non solo un rischio per il technical department, ma per l’attività stessa delle organizzazioni, tutte ormai pesantemente dipendenti dall’IT e dall’economia digitale. Un rischio di business che, oltre ad avere impatto sui reparti IT, e su quello che i CSO riportano ai CIO, sempre più interessa il general management e le riunioni del board, dove la preccupazione per le possibili conseguenze sull’attività aziendale aumenta.
«Oggi, non i CSO, ma i CIO delle grandi organizzazioni, incluse le telco, devono riportare al board su base settimanale, in merito alle specifiche dei rischi di security» spiega Karsenti. Ad essi è demandata la responsabilità su quali livelli di rischio si possono accettare e quali no, anche in relazione alle implicazioni legate alla compliance e alle possibili ripercussioni a livello legale e assicurativo. La discussione sui rischi di security investe poi naturalmente, a cascata, anche i manager delle varie LOB (line of business).
Tempo di spostare il focus sugli endpoint
Guardando al quadro di crescente propagazione globale del malware, la domanda che sorge spontanea, dice Karsenti, è perché questi attacchi continuino a verificarsi. E una parte della risposta si può trovare nel fatto che oggi molte organizzazioni tendono ancora a focalizzare la protezione sull’ambiente IT rappresentato dal data center.
Perché? Perché è lì dove i dati sono in genere memorizzati, nei grandi server e database. Le aziende investono nella sicurezza del data center, installando firewall, sistemi IPS, antivirus, e dedicano risorse e personale al loro controllo. «È qui dove molti investimenti stanno andando e dove è posta la maggior attenzione» chiarisce il manager.
Da parte loro, gli hacker cercano di focalizzarsi sui punti più deboli della sicurezza e dell’ambiente IT. E oggi, il punto più debole, nella maggior parte dei casi, non è il data center, ma sono gli endpoint costituiti dai dispositivi mobile, che senza dubbio sono diventati un vettore di attacco molto valido per penetrare i sistemi informativi.
«Questi sono i maggiori punti deboli». Primo, per natura, perché vi sono più di questi endpoint che server, e la sfida di mettere in sicurezza tutti questi dispositivi elettronici è più grande.
Secondo, perché smartphone e tablet sono gestiti da normali utenti e non da system administrator dotati di un buon livello di consapevolezza sui rischi di security.
«Gli utenti tendono a concentrarsi sulle loro necessità di business». E ciò può includere, ad esempio, voler aprire senza troppa attenzione una email potenzialmente pericolosa, piuttosto che preoccuparsi per la sicurezza IT.
Terzo, perché ci sono più endpoint che utenti e, indipendentemente dal loro form factor, brand di appartenenza o grado di modernità, tali device non consentono alle varie organizzazioni di integrare con facilità in essi il corretto livello di security che si desidera ottenere.
Quarto, il potenziale in termini di valore estraibile è assai elevato. «Oggi uno smartphone è molto più potente di un laptop di cinque anni fa. Possiede due videocamere, vari sensori, un GPS embedded, una capacità di storage di dati privati, ma anche di business.
Si immagini quindi cosa ciò possa significare in termini di quello che si può guadagnare, violando questo device invece di un laptop, che probabilmente resta spento in media dodici ore al giorno. Uno smartphone rimane acceso anche 24 ore al giorno. È dunque ovvio che dove occorre focalizzarsi oggi è su questi endpoint: più finestre sono aperte, più gli hacker concentreranno su di esse gli attacchi».
E qui, le applicazioni usate su smartphone e tablet, quelle con cui gli utenti interagiscono giornalmente creando valore, sono l’obiettivo precipuo al centro delle attività dei cybercriminali. Alcune di queste applicazioni sono state identificate come quelle top in classifica, in termini di numero di vulnerabilità critiche: fra queste Internet Explorer (114 vulnerabilità), Firefox (90), Adobe Reader (62), Java (58), Adobe Flash (55) e Microsoft Office (12).