Il quinto rapporto stilato dal Clusit apre il sipario su un 2016 in cui la sicurezza informatica è minata da continui attacchi e minacce che descrivono l’evoluzione del cybercrime ma anche delle vulnerabilità aziendali.
L’Associazione Italiana per la Sicurezza Informatica presenta il frutto del lavoro di un centinaio di professionisti che evidenziano la crescita inarrestabile delle violazioni compiute con finalità criminali: il cybercrime, infatti, segna un +30% nel 2015 rispetto all’anno precedente. Gli esperti sottolineano come stia diminuendo invece l’hacktivism il che significa che crescono gli attacchi sempre più mirati al business. La media di durata di un attacco? 18 ore, il che per un’azienda si può immaginare cosa possa significare. Negli ultimi 36 mesi, infatti, le perdite economiche sono aumentate di 4 volte (molto più del numero degli attacchi).
In generale, i crimini informatici nel nostro Paese e nel mondo fanno registrare il numero di attacchi gravi più elevato degli ultimi 5 anni: 1012 solo quelli di dominio pubblico nel 2015 (contro gli 873 del 2014).
Cresce lo spionaggio industriale
“Il cybercrime passa dal 60% al 68% del totale mentre l’hacktivism cala di 18 punti percentuali – ha spiegato Alessio L.R. Pennasilico, Security Evangelist e membro direttivo e del comitato Tecnico Scientifico del Clusit -. Solo in Italia, negli ultimi 60 mesi abbiamo registrato una media di 88 incidenti al mese. In questa quinta edizione del rapporto Clusit abbiamo dovuto cambiare i criteri di classificazione degli attacchi gravi anche perché, rispetto al 2011, quelli pregressi sono diventati di ordinaria amministrazione”.
Tra le segnalazioni più significative evidenziate dagli esperti, un diverso approccio delle risorse che i criminali informatici utilizzano per progettare i loro attacchi. I cybercriminali, infatti, sono molto attenti al loro business e studiano tutte le innovazioni tecnologiche che possono aiutarli nel loro lavoro malevolo. Avendo capito che oggi esistono tutta una serie di servizi gestiti e tutto un mondo di risorse più convenienti, ad esempio, sfruttano le logiche dell’on demand e del pay per use, offrendo un cybercrime as a service. Gli specialisti, infatti, parlano di una consumerization del cybercrime tale per cui oggi è possibile acquistare virus e malware o sistemi di attacco complessi a moduli, attivati in base alle diverse strategie. Ma non solo: il nuovo trend degli hacker, infatti, è prendere in affitto una serie di server in host e compiere attacchi per alcuni ore o giorni sufficienti allo scopo malevolo.
“Il cybercrime studia molto – ha proseguito Pennasilico – e si documenta moltissimo. Non a caso, ha iniziato a spostare il proprio modello di business dall’utilizzo delle bootnet al cloud per portare i propri attacchi, bypassando l’onere di dover gestire in prima persona reti di computer infetti che per altro andavano manutenuti con costi elevatii. Oggi preferisce noleggiare un server, pagando il servizio per il tempo che è gli è necessario a fare l’azione criminosa: che sia inviare spam, fare un attacco DDos per esaudire le risorse di un’azienda, che sia per calcolare le password che hanno rubato da qualche database. Ci sono già moltissimi esempi di organizzazioni criminali che hanno noleggiato le risorse necessarie a eseguire un attacco e al termine dismettere il servizio”.
Quali sono le categorie più a rischio
Rispetto al 2014, nel 2015 la crescita maggiore degli attacchi gravi si osserva verso le categorie Critical Infrastructure, Automotive, Online Services/Cloud (che include i principali sistemi di Web mail, i social network, i siti di e-commerce e le piattaforme cloud pubbliche) oltre all’ampia categoria dell’Infotainment in cui sono inclusi i siti di informazione, le testate online, le piattaforme di gaming e di blogging.
Anche se in misura minore crescono gli attacchi verso i settori Research/Education, tipicamente con finalità di spionaggio, ma anche verso il Banking/Finance dove, per la prima volta, gli analisti segnalano una crescita di attacchi verso gli istituti e non solo verso i loro correntisti. Una terza categoria a rischio? I vendor software e hardware. Per la prima volta il Rapporto Clusit introduce anche una nuova categoria: quella dell’Hospitality, ovvero di tutte le strutture ricettive come hotellerie, ristoranti, residence, agriturismi e club vacanze che hanno subito furti nei loro database avendo gli hacker finalità di lucro rispetto ai clienti.
Il bollettino di guerra vede in testa ai settori più colpiti quello governativo e, al secondo posto, la categoria Online Services. Con un + 153% la crescita percentuale maggiore, rispetto al 2014, è comunque quella registrata dal comparto Critical Infrastructure.
Gli attacchi ad applicazioni web, vedono al primo posto il settore retail, seguito a ruota da Media & Intrattenimento e Hotellerie & turismo. Il settore dei servizi finanziari ha registrato invece un decremento degli attacchi, in virtù di un potenziamento della sicurezza più efficace.
La distribuzione geografica degli attacchi mostra come ci siano dati da interpretare. Ad esempio a essere colpite non sono necessariamente gli haed quarter. In generale, la classificazione delle vittime per nazione di appartenenza, classificata per base continentale, racconta come in tutte le aree non ci sia stato un aumento significativo (nell’aria europea, ad esempio, si è passati dal 20% al 21%).
SQL Injection in testa alla classifica
Rispetto al 2014, tra le root cause degli attacchi gravi analizzati nel 2015 tornano in auge le SQL Injection. Secondo i ricercatori il motivo si spiega per il fatto che tra gli attacchi più gravi, molti sono stati compiuti sfruttando le web application mal scritte. Al secondo posto? Le APT, ovvero le malware sofistication, spesso combinate con tecniche di social engineering, phishing &Co. Tornano a crescere anche gli attacchi DDOS (il 54% ha colpito aziende del settore gaming, mentre il 23% era indirizzato a aziende del settore software e tecnologia), mentre rimane stabile lo sfruttamento delle vulnerabilità note.
In estrema sintesi, il Rapporto indica alcune direttive chiare sia a livello di governance che si approccio.
“Non importa chi sei, non importa cosa fai, non importa dove sei – ha concluso Pennasilico -: quello che è certo è che sicuramente sarai attaccato. I risultati che riuscirai a ottenre con le tue contromosse dipenderanno da come sarai stato capace a scegliere strategie e soluzioni efficaci. Cioè da come avrai imparato a gestire la sicurezza. Le aree di attenzione rispetto al tema sono diverse: evoluzione degli smart services, e-commerce, furto di credenziali, includendo nel tema della protezione aziendale anche nuovi modelli di prevenzione e gestione degli incidenti. A questo si aggiunge il tema delle nuove sfide nel campo della robotica e la sicurezza informatica associata all’evoluzione della Internet of Things, che è un disastro annunciato. A fronte di una crescita degli attacchi ai servizi di storage, web mail, ai siti di dating e di gaming il principale vettore di attacco sono i social network”.
Nella ricerca emerge anche come crescano gli attacchi dei dati sul VoIP. Rispetto al tema della IoT, infatti, va ricordato che anche il telefono è un oggetto di Internet, così come i centralini che lavorano in convergenza fonia/dati e che sono connessi a un server che smista telefonate e può essere compromesso. Il problema è che chi li gestisce non ha una grande sensibilità al tema della sicurezza, il che diventa un ennesimo elemento di vulnerabilità.