La nuova edizione del Cisco 2016 Midyear Cybersecurity Report prevede l’arrivo di una nuova generazione di ransomware più evoluta così come l’emergere di nuove tattiche per massimizzare il profitto
Il recente studio Cisco 2016 Midyear Cybersecurity Report indica come le organizzazioni non siano preparate per l’arrivo di ceppi di ransomware più sofisticati. Infrastrutture fragili, scarsa cura della rete e tempi di rilevamento lenti, stanno dando ai criminali informatici tutto il tempo e ampi margini per operare. Secondo i risultati del report, la lotta per limitare lo spazio operativo degli hacker è la più grande sfida per le imprese, nonché una minaccia per la trasformazione digitale. I risultati dello studio sottolineano inoltre come gli avversari stiano indirizzando la loro attenzione verso attacchi lato server, continuando ad evolvere i metodi di attacco e aumentando l’uso della crittografia per mascherare la propria attività.
Nella prima metà del 2016, ransomware è diventato il malware più redditizio di sempre. Secondo Cisco, questa tendenza continuerà con l’arrivo di ceppi ancora più distruttivi in grado di diffondersi da soli e di tenere intere reti, e quindi aziende, in ostaggio. Nuovi ceppi modulari di ransomware saranno in grado di cambiare rapidamente le loro tattiche di diffusione per massimizzare l’efficienza. Ad esempio, i futuri attacchi ransomware sapranno eludere il rilevamento, riuscendo a limitare l’utilizzo della CPU e ad astenersi da azioni di comando e controllo. Questi nuovi ceppi di ransomware si diffonderanno più velocemente e potranno anche auto-replicarsi all’interno delle aziende prima di coordinare le attività di riscatto.
La visibilità lungo le reti e gli endpoint rimane una sfida primaria. In media, le organizzazioni impiegano fino a 200 giorni per identificare le nuove minacce. Il tempo medio di Cisco per il rilevamento (TTD: time to detection) supera la media del settore, con un nuovo tempo minimo di circa 13 ore per rilevare compromissioni precedentemente sconosciute relativamente ai sei mesi conclusi in aprile 2016. Questo risultato abbassa il livello medio registrato nel periodo terminato a ottobre 2015 pari a 17,5 ore. Un tempo più veloce per il rilevamento delle minacce è fondamentale per limitare lo spazio operativo degli aggressori e minimizzare i danni dovuti alle intrusioni. Questa cifra si basa sui dati raccolti e sulla telemetria di sicurezza derivante dai prodotti di security Cisco installati in tutto il mondo.
Mentre i criminali informatici fanno progressi, molti difensori continuano a lottare per mantenere sicuri i propri dispositivi e sistemi. I sistemi non supportati e senza patch creano ulteriori opportunità di ottenere facilmente l’accesso, rimanere inosservati, e massimizzare i danni e il guadagno. Secondo il Cisco 2016 Midyear Cybersecurity Report questa sfida persiste in tutto il mondo. Sebbene le organizzazioni in settori critici come la sanità, abbiano registrato un piccolo miglioramento in termini di attacchi nel corso degli ultimi mesi, i risultati del report indicano che tutti i settori verticali e tutte le regioni del mondo possono essere presi di mira. Nella prima metà del 2016 è stato registrato un aumento degli attacchi diretti a società, aziende, enti non profit, organizzazioni non governative (ONG) e imprese che operano nel campo dell’elettronica. A livello globale, le preoccupazioni geopolitiche includono complessità normative e disomogeneità delle policy di sicurezza informatica tra i vari paesi.
Gli aggressori operano indisturbati
Peri criminali informatici, poter disporre di più tempo per operare, significa maggiori opportunità di guadagno. Nella prima metà del 2016 i profitti della criminalità informatica sono saliti alle stelle per i seguenti motivi:
Ampliamento degli obiettivi: gli aggressori stanno ampliando la loro attenzione dagli exploit lato client ad attacchi verso i server, per evitare il rilevamento e massimizzare i potenziali danni e i guadagni.
• Le vulnerabilità di Adobe Flash continuano a essere uno degli obiettivi principali per malvertising e gli exploit kit. Nel popolare exploit kit ‘Nuclear’, Flash ha rappresentato l’80% dei tentativi di attacco riusciti.
• I ricercatori Cisco hanno notato anche una nuova tendenza negli attacchi ransomware che sfruttano le vulnerabilità dei server – in particolare all’interno di server JBoss – di cui, sono stati trovati compromessi il 10% dei server JBoss connessi a Internet in tutto il mondo. Molte delle vulnerabilità JBoss utilizzate per compromettere questi sistemi sono state identificati cinque anni fa, il che significa che gli aggiornamenti di base e gli aggiornamenti del vendor avrebbero potuto facilmente prevenire tali attacchi.
Evoluzione dei metodi di attacco: durante la prima metà del 2016, i criminali informatici hanno continuato ad aggiornare i loro metodi di attacco per sfruttare la mancanza di visibilità da parte di chi deve proteggere le imprese.
• Gli exploit binari di Windows rappresentano il metodo principale di attacco dal Web nel corso degli ultimi sei mesi. Questo metodo consente l’ingresso nelle infrastrutture di rete e rende questi attacchi più difficili da identificare e rimuovere.
• Durante questo stesso arco di tempo, le truffe di social engineering via Facebook sono scese al secondo posto, rispetto al primo posto detenuto nel 2015.
Abilità nel nascondere le proprie tracce: gli avversari stanno facendo maggiore ricorso alla crittografia per mascherare le varie componenti delle loro operazioni.
• Cisco ha registrato un maggiore uso di valuta criptata, Transport Layer Security e Tor, che consente la comunicazione anonima sul web.
• Il malware criptato HTTPS utilizzato nelle campagne di malvertising è aumentato significativamente del 300% da dicembre 2015 a marzo 2016. Il malware crittografato consente agli avversari di nascondere la loro attività su web e di avere più tempo per operare indisturbati.
Lotta per ridurre le vulnerabilità
A fronte di attacchi sofisticati, risorse limitate e infrastrutture obsolete, i responsabili della sicurezza fanno fatica a tenere il passo con i loro avversari. I dati suggeriscono che i responsabili della sicurezza hanno difficoltà a prendersi un’adeguata cura della rete, a partire dall’applicazione delle patch, in particolare per le tecnologie più critiche per il business. Per esempio:
• Tra i browser, Google Chrome, che fa ricorso ad aggiornamenti automatici, conta un 75-80% di utenti che utilizzano la versione più recente del browser o una versione immediatamente precedente.
• Passando al software, anche per Java le migrazioni sono piuttosto lente con un terzo dei sistemi esaminati che hanno ancora in esecuzione Java SE 6, in fase di dismissione da parte di Oracle (essendo SE 10 la versione attuale).
• In Microsoft Office 2013, versione 15x, meno del 10% della popolazione sta utilizzando la versione più recente del service pack.
Inoltre, Cisco ha scoperto che gran parte delle infrastrutture prese in esame non è supportata o opera con vulnerabilità note. Questo problema è sistemico sia tra i vendor che gli endpoint. In particolare, i ricercatori Cisco hanno esaminato 103.121 dispositivi Cisco connessi a Internet e hanno scoperto che:
• Su ogni dispositivo in media sono in esecuzione 28 vulnerabilità note.
• Sui dispositivi erano presenti vulnerabilità note in media da circa 5 anni.
• Tra cui più del 9% delle vulnerabilità sono note da oltre 10 anni.
Per fare un confronto, Cisco ha esaminato anche l’infrastruttura software di un campione di oltre 3 milioni di installazioni. Per la maggior parte si trattava di Apache e OpenSSH con una media di 16 vulnerabilità note, in media da 5,05 anni.
Gli aggiornamenti del browser sono quelli meno pesanti per gli endpoint, mentre le applicazioni aziendali e le infrastrutture di server sono più difficili da aggiornare anche perché possono causare problemi di business continuity. In sostanza, più un’applicazione è critica per il business, meno è probabile che venga aggiornata, creando lacune e opportunità di essere attaccati.
Cisco suggerisce alcuni semplici passi per proteggere gli ambienti aziendali
I ricercatori di Cisco Talos hanno osservato che le aziende possono migliorare notevolmente la propria sicurezza anche solo prendendo alcune semplici ma significative iniziative, tra cui:
• Migliorare la pulizia della rete, monitorandola; distribuendo tempestivamente le patch e gli aggiornamenti segmentando la rete; implementando le difese perimetrali, incluse soluzioni per la protezione della posta elettronica e di sicurezza web, firewall e IPS di nuova generazione.
• Integrare le difese, sfruttando un approccio architetturale di sicurezza invece di installare prodotti di nicchia non integrati.
• Misurare il tempo di rilevamento, ottenere un tempo di rilevamento delle minacce il più rapido possibile e prendere immediatamente le contromisure in modo da limitare i danni. Instaurare policy di sicurezza che includano anche le metriche relative ai tempi di rilevamento e mitigazione delle minacce.
• Protezione degli utenti ovunque si trovino e ovunque stiano lavorando, non limitare la protezione ai sistemi e dispositivi utilizzati quando sono connessi alla rete aziendale.
• Eseguire il backup dei dati critici e testare sistematicamente la loro efficacia facendo anche in modo che i back-up non siano a rischio di compromissione.
“Mentre le aziende sono sempre più orientate verso i nuovi modelli di business introdotti dalla trasformazione digitale, la sicurezza è la base fondamentale. I criminali informatici stanno agendo inosservati e si stanno prendendo sempre più tempo per operare. Per chiudere queste finestre di opportunità, le aziende avranno bisogno di più visibilità lungo le loro reti e devono migliorare le attività di base, come l’applicazione delle patch, dicendo addio alle infrastrutture obsolete, prive di funzioni di sicurezza avanzate. Poiché i criminali informatici continuano a monetizzare i loro attacchi e a creare modelli di business altamente redditizi, Cisco sta lavorando con i propri clienti al fine di aiutarli a contrastare e superare il livello di sofisticazione, visibilità e controllo degli aggressori.”
– Marty Roesch, Vice President e Chief Architect, Security Business Group, Cisco