Il Verizon 2017 DBIR – Data Breach Investigations Report, che quest’anno raccoglie il contributo di 65 organizzazioni partner di ricerca (che hanno raccolto i dati dalle aziende utenti e li hanno trasferiti anonimizzati a Verizon) e analizza più di 42mila incidenti e 1900 violazioni (incidenti da cui deriva la divulgazione confermata – non solo l’esposizione potenziale – dei dati a una parte non autorizzata) avvenuti nel 2016, è un ottimo punto di partenza per osservare lo scenario degli attacchi alla sicurezza IT. Abbiamo chiesto a Laurance Dine, Managing Principal, Investigative Response di Verizon di commentarne alcuni dei più significativi.
Who's Who
Laurence Dine
Ecco, in tre punti, le maggiori minacce per le aziende in ambito sicurezza It:
- Aumenta il cyberspionaggio – Gli attacchi di spionaggio e quelli di natura finanziaria coprono insieme il 93% delle violazioni: sebbene siano questi ultimi i più numerosi (73%) si sta verificando una forte crescita di quelli della prima tipologia (figura 1), un trend che si spiega in primis con l’aumento dell’interesse per il furto di dati sensibili e proprietà intellettuale. I più colpiti risultano essere i settori produttivo, PA, istruzione; Dine si sofferma in particolare su quest’ultimo dove la crescita è stata esponenziale: gli attacchi di cyberspionaggio riguardano nel 2016 il 26% delle violazioni mentre l’anno precedente la percentuale era sotto il 5%. La sfida per questo settore è alta proprio per le peculiarità del verticale: “È estremamente difficile – dice l’analista – implementare controlli di sicurezza e proteggere le informazioni personali e sensibili in un mondo, quello dell’education, che si è sempre basato su una cultura di apertura e di libero e aperto scambio di idee e informazioni”; le difficoltà legate alla gestione di una popolazione studentesca e di utenti diversificata e con differenti gradi di competenze tecniche è un ulteriore elemento di complessità.
Figura 1 – Trend degli attacchi classificati secondo lo scopo che muove i cybercriminali Fonte: Verizon DBIR 2017
- Si diffonde l’utilizzo dei ransomware – Il 51% delle violazioni analizzate vede il ricorso al malware. In particolare è il ransomware a meritare attenzione (figura 2): i casi nel 2016 sono aumentati del 50% rispetto all’anno precedente ed è diventato la quinta tipologia di malware più comune (nel 2014 DBIR si posizionava al 22esimo posto). “Nonostante questo, e nonostante la relativa copertura mediatica che circonda il tema, molte organizzazioni continuano a fare affidamento su soluzioni di sicurezza obsolete; in sostanza, optano per pagare il riscatto piuttosto che investire in servizi di security che potrebbero prevenire gli attacchi”, commenta Dine, e spiega che poiché i cybercriminali prediligono i percorsi più semplici a dati e soldi, questa disponibilità a pagare rappresenta un incentivo importante alla crescita del fenomeno.
Figura 2 – Crescita del Ransomware
Fonte: Verizon DBIR 2017
Un successo che si riflette nell’aumento e nella diversificazione dell’offerta presente nel dark web; non solo è ormai diffuso l’as a service, ma si producono nuove varianti: ransomware con limiti di tempo oltre i quali i file vengono eliminati, riscatti che aumentano col passare delle ore o calcolati sulla base della sensibilità stimata dei file interessati, decrittografia gratuita per vittime che diventano attaccanti infettando due o più persone.
3) Sempre più attacchi di ingegneria sociale – Tra gli attacchi di ingegneria sociale, tecnica sfruttata nel 43% dei casi analizzati e che mostra un trend in crescita negli ultimi anni (figura 3), il phishing rimane la tattica preferita dagli attaccanti. Il 95% delle volte è una e-mail che provoca (generalmente attraverso l’apertura di un allegato alla stessa) l’installazione di un malware grazie al quale l’hacker può stabilire e mantenere il controllo del dispositivo dell’utente. Cresce anche il pretexting (Verizon parla di pretexting, e non di phishing, quando avviene un dialogo tra autore e vittima dell’attacco, dove il primo sfrutta un ‘pretesto’ per fare delle richieste a quest’ultima), che mira soprattutto ai dipendenti del settore finanziario responsabili delle transazioni di denaro. Nell’88% degli incidenti di pretexting finanziari è nuovamente l’e-mail il principale vettore di comunicazione; al secondo posto le comunicazioni telefoniche con poco meno del 10 %. “L’educazione e la formazione dei dipendenti su base regolare è essenziale – commenta Dine – La criminalità informatica è in continua evoluzione e i dipendenti dovrebbero essere aggiornati sui nuovi metodi di attacco su base mensile perché possano aumentare la loro consapevolezza ed essere in grado di riconoscere e segnalare i messaggi sospetti al dipartimento di sicurezza della propria società”.
Figura 3 – Trend degli attacchi classificati secondo la tecnica utilizzata Fonte: Verizon DBIR 2017
Le 7 regole per proteggersi dal cybercrime
Oltre all’importanza di muoversi sul fronte formativo, cosa possono fare le aziende per proteggersi ed evitare gli errori più diffusi?
- Dare un posto di rilievo alla sicurezza nell’agenda aziendale e mantenersi informate sulle minacce che insidiano in particolare il proprio settore aziendale. Solo con questa attenzione, strategie e tecnologie legate alla security potranno evolversi correttamente e rimanere aggiornate rispetto a un panorama in costante cambiamento.
- Controllare l’accesso ai dati: i sistemi aziendali devono essere raggiungibili soltanto ai dipendenti che ne hanno davvero bisogno per il proprio lavoro.
- Aggiornare rapidamente i sistemi appena le patch sono disponibili.
- Crittografare i dati sensibili: in questo modo, in caso di furto, saranno comunque inaccessibili.
- Privilegiare l’autenticazione a due fattori grazie alla quale è possibile limitare molto il danno generato da credenziali perse e rubate.
- Quando non è possibile, diventa almeno importante impostare correttamente le password: l’81% delle violazioni di tipo “hacking” (attacco che sfrutta un difetto dei sistemi o il possesso illecito delle credenziali di un utente) ha infatti interessato password non solo sottratte, ma anche deboli o predefinite;
- È bene infine ricordare di curare la sicurezza fisica: non tutti i furti di dati si verificano online!
