Lo scenario del cybercrime a cui assistiamo oggi rappresenta un inedito: siamo nella nuova era della distruzione dei servizi. A coniare il termine destruction of service (DeOS) è il Midyear Cybersecurity Report di Cisco appena rilasciato che, oltre a certificare un aumento del livello di scontro informatico fra gli hacker e i loro bersagli (aziende, istituzioni, Pa e singoli utenti), segnala nuovi fenomeni decisamente preoccupanti.
L’obiettivo dei criminali che agiscono sul web non è più solo colpire, ma distruggere per impedire a chi si difende di ripristinare i propri sistemi e dati. Le campagne ransomware e DDoS si evolvono innovandosi affinché siano realmente in grado di distruggere intere reti aziendali, danneggiando di conseguenza la capacità dell’impresa di riprendersi dall’attacco.
Gli hacker riscoprono gli attacchi di social engineering
Addio agli strumenti offensivi più recenti. Si sta tornando, spiega il report, a soluzioni più datate allontanandosi dagli exploit kit per riutilizzare attacchi di social engineering come i Business email compromise. Ad esempio il volume dello spam è aumentato considerevolmente. O ancora spyware e adware, spesso poco considerati dai professionisti della sicurezza perché ritenuti più noiosi che dannosi, sono forme di malware che continuano a persistere e ad essere pericolosi per le imprese. Per non parlare dei progressi del ransomware, come la disponibilità di strumenti as-a-service che semplificano già di per sé gli attacchi dei criminali informatici, a prescindere dalla loro effettiva abilità.
“Come mostrano i recenti incidenti WannaCry e Nyetya, i nostri avversari stanno diventando sempre più creativi nel modo di architettare i loro attacchi – commenta Steve Martino, Vice President and Chief Information Security Officer di Cisco (nella foto) -. Mentre la maggior parte delle imprese ha intrapreso misure per migliorare la sicurezza a seguito di una violazione, le imprese di tutti i settori sono costantemente in lotta con chi effettua gli attacchi. L’efficacia della sicurezza inizia colmando le lacune più evidenti e rendendo la sicurezza una priorità”.
La complessità, aggiunge David Ulevitch, Senior Vice President and General Manager, Security Business Group di Cisco, “continua a ostacolare gli sforzi di sicurezza di molte aziende. È ovvio che gli anni di investimento in prodotti singoli che non si integrano fra loro creano enormi opportunità per gli attaccanti che possono facilmente identificare vulnerabilità trascurate o lacune nelle procedure di sicurezza. Per ridurre efficacemente il tempo di rilevamento e limitare l’impatto di un attacco – sottolinea Ulevitch – il settore deve adottare un approccio più integrato e architettonico che aumenta visibilità e gestibilità, consentendo ai team di sicurezza di colmare le lacune”.
L’IoT sarà il campo di battaglia preferito dagli hacker
Si sta insomma ampliando la superficie d’attacco, la portata e l’impatto di queste minacce grazie a un ritorno al passato che, come dimostrano i casi recenti di WannaCry e Nyetya, garantisce un effetto più distruttivo. E sarà sempre peggio visto che, come emerge chiaramente dal report, l’Internet of Things e la sua miriade di dispositivi e sistemi connessi scontano numerose debolezze pronte per essere sfruttate. L’IoT, prevedono gli esperti di Cisco, sarà il nuovo confine in cui “buoni e cattivi” si scontreranno.
La misurazione dell’efficacia delle procedure di sicurezza di fronte a questi attacchi è fondamentale. Su questo aspetto Cisco, che recentemente ha annunciato una partnership ad hoc sulla cybersecurity con Ibm, ha concentrato negli ultimi anni tutti i suoi sforzi, arrivando a garantisci tempi di rilevamento delle minacce sempre minori. Da novembre 2015, giusto per dare un’indicazione numerica, il tempo medio per individuare una minaccia o un attacco è diminuito da 39 ore a circa 3,5 ore registrate nel periodo tra novembre 2016 e maggio 2017.
Cybersecurity, l’avanzata dei malware “fileless”
L’approccio degli hacker è sempre più quello di spingere le vittime ad attivare una minaccia cliccando un collegamento o aprendo un file dannoso. Non solo: si stanno sviluppando nuovi tipi di malware fileless, che risiedono nella memoria e sono più difficili da rilevare o investigare perché si cancellano al riavvio del dispositivo. Ultimo, ma non meno importante, il fatto che gli avversari utilizzino con grande accuratezza infrastrutture anonime e decentrate, come il servizio di proxy Tor, per oscurare le attività di comando e controllo.
Le imprese di ogni settore industriale sono dunque chiamate a mettersi in pari con i requisiti basilari in materia di cybersecurity. Poiché Information Technology e Operation Technology convergono nell’Internet of Things, spiega il report di Cisco, le aziende devono anche combattere contro la mancanza di visibilità e la complessità.
Uno dei problemi è che i team di sicurezza sono sempre più sopraffatti dal volume degli attacchi in tutti i settori verticali. Questo fa sì che in molti applichino controlli di sicurezza in modo reattivo e non proattivo o predittivo. Interessante e allarmante il dato relativo al settore manifatturiero alla prese con una nuova rivoluzione industriale che non può che aumentare l’esposizione al rischio. Il 40% dei professionisti della sicurezza in questo settore ha dichiarato di non avere una strategia di sicurezza definita e di non seguire standard di sicurezza informatica. Non proprio il massimo per proteggere il futuro dell’industria 4.0.
Dalle competenze alle tecnologie, come difendersi dal cybercrime
Secondo gli esperti di Cisco per combattere gli attacchi odierni, frutto di abilità sempre maggiori, le imprese devono affrontare la sicurezza con un atteggiamento proattivo. Ciò significa: mantenere le infrastrutture e le applicazioni aggiornate in modo che gli aggressori non possano sfruttare le vulnerabilità note; combattere la complessità adottando una difesa integrata e limitare gli investimenti a silos; rendere il management consapevole dei rischi; stabilire metriche chiare e usare i dati analizzati per creare delle best practice; prendere in esame la formazione dei dipendenti in tema di sicurezza; trovare un equilibrio tra difesa reattiva e risposta proattiva. I controlli o i processi di sicurezza, si legge chiaramente nel rapporto di Cisco, non sono procedure del tipo “imposta e dimentica”.