CYBER SECURITY REPORT 2020

La quantità e la qualità degli attacchi informatici nel mondo stanno proliferando senza sosta: mentre leggi questo report vengono progettati nuovi attacchi basati su vulnerabilità note e sempre più intelligenti. I professionisti della sicurezza dei dati devono andare oltre un semplice approccio difensivo e pensare a soluzioni più proattive, che anticipino i pericoli della rete. Le misure di sicurezza costituite da un unico livello di protezione tra i dati ed il mondo esterno non sono più un’opzione affidabile.
Le minacce odierne sono troppo variegate e si moltiplicano troppo velocemente per fare affidamento non solo su software di protezione dei punti di accesso, ma anche sui professionisti dell’IT incaricati di aggiornarli e mantenerli stabili. Si tratta di attività estremamente time consuming che potrebbero non essere sostenibili e soprattutto sicure sul lungo periodo, specialmente per grandi aziende che necessitano di movimentare enormi quantità di dati. Nel 2020 proteggere i punti di accesso contro minacce note non è più abbastanza, i dati devono essere protetti anche contro rischi non ancora definiti.
Per tutti questi motivi, le ultime tendenze della sicurezza informatica si sono spo state da una tattica difensiva monolivello ad una strategia multilivello che mira a conservare i dati aziendali in più copie e su diversi supporti in modo tale che la manomissione di un nodo non implichi il crollo dell’intera rete.

Le domande da porsi

Fortunatamente le tecnologie per la sicurezza informatica si evolvono insieme alle minacce. Passati i bei tempi delle applicazioni antivirus semplici e reattive, ad oggi la maggioranza delle reti aziendale possiede un mix di tecnologie e supporti creati ed assemblati in modo da poter combattere possibili intrusioni. Non tutti i sistemi di cybersicurezza sono uguali: alcuni sono installati su architetture informatiche obsolete e non possono affrontare in modo efficiente le nuove minacce della rete, altre, seppur moderne e progettate per immunizzare attacchi standard, potrebbero non intercettare tutte le possibili vulnerabilità di una rete, specialmente se collegate ad azioni umane (v. un click su un link sospetto).

Le vere domande da porsi in questo scenario sono 3:

  • Perché reagire agli attacchi informatici?
  • Cosa c’è lì fuori che il mio attuale sistema di sicurezza potrebbe non vedere e che attaccherà prima o poi?
  • Perché un sistema di sicurezza dovrebbe rilevare solo pericoli informatici che hanno già uno storico?

Le moderne tecnologie di sicurezza informatica devono essere predittive, pro attive e preparate per qualsiasi tipo di minaccia: devono essere la scudo ed insieme la spada. Per questo motivo sono nati modelli multilivello che, combinati con una politica di zero tolleranza sulla sicurezza informatica, sono in grado di monitorare i processi informatici dell’intera rete aziendale, senza che nessuna applicazione sia eseguita senza controllo.

Dati generali

Il 2019 ha visto ben 2.013 attacchi informatici andare a segno. Tali attacchi han no provocato ingenti danni, economici e non, e non hanno risparmiato nemmeno i big del settore. A Marzo del 2019 Facebook ha ammesso di non aver ben garantito la sicurezza delle password di 600 milioni di utenti e la stessa Microsoft ha ammesso che un attacco informatico, durato dal primo Gennaio al 28 Marzo 2019, ha permesso ad alcuni hacker di accedere agli account di posta degli utenti dopo aver manomesso il portale dedicato al servizio clienti.

Dal rapporto Clusit 2020 sulla sicurezza ICT in Italia, nel 2019 il numero mag giore di attacchi gravi si osserva verso le categorie “Multiple Targets” (+29,9%), “Online Services / Cloud” (+91,5%) ed “Healthcare” (+17,0%), seguite da “GDO/ Retail” (+28,2%), “Others” (+76,7%), “Telco” (+54,5%) e “Security Industry” (+325%).

Già nei primi mesi del 2020 si sono verificati ulteriori attacchi ai danni di piccole e grandi aziende, basti ricordare gli oltre 500.000 account di utenti Zoom hackerati e venduti nel dark web per 0,02 centesimi.

I costi di una falla di sicurezza

Come ben noto, ogni violazione di sicurezza è un amaro costo per un’azienda. Per calcolare il costo medio di un attacco informatico occorre considerare sia spese dirette, p.e. esperti di sicurezza, costi per l’adeguamento delle architettu re informatiche, rimborsi e assicurazioni, sia spese indirette ad esempio i costi del personale interno deputato a risolvere il problema, del calo di domanda per effetto di un blocco della produzione o il peggioramento della reputazione, crolli delle azioni in borsa o richieste di risarcimento danni verso terzi a fronte di un databreach (rif. GDPR).

Al momento i dati suggeriscono che il cybercrime è costato alle aziende circa 2.000 miliardi solo nel 2019 e minaccia di salire fino alla vertiginosa cifra di 6.000 miliardi fino al 2021.

Dati alla mano, è evidente come sia necessario passare dall’ottica del “Non capiterà mai alla mia azienda” a quella del “È solo questione di tempo”.

Quali attacchi saranno usati nel 2020

Vulnerabilità del Cloud

Forbes prevede che l’83 percento del carico di lavoro sarà sul cloud entro il 2020. Le aziende che ne fanno uso sono obiettivi allettanti per gli hacker malintenzionati. Violazione dei dati, errata configurazione, interfacce e API non sicure, dirottamento degli account, minacce interne pericolose e attacchi DDoS sono tra le principali minacce alla sicurezza del cloud che continueranno a persegui tare le aziende che non investono in una solida strategia di sicurezza del cloud.

AI Fuzzing

L’intelligenza artificiale e l’apprendimento automatico hanno interessato ogni settore. Grazie alla capacità di creare un impatto significativo sui servizi di marketing, produzione, sicurezza, gestione della catena di approvvigionamento e altri campi, l’Intelligenza Artificiale si sta facendo strada in tutti i business.
Parallelamente l’IA si sta dimostrando un vantaggio anche per i criminali informatici. Pensaci: le capacità di intelligenza artificiale utilizzate per identificare e bloccare gli attacchi informatici possono essere utilizzate anche dagli hacker stessi per lanciare attacchi sofisticati sotto forma di software dannosi, complessi e adattivi.
In effetti, l’AI fuzzing (AIF) e la manomissione del machine learning (ML) sono tutti pronti per essere le prossime grandi minacce alla sicurezza informatica.

Machine Learning Poisoning

Se un hacker prende di mira un modello di apprendimento automatico e inserisce istruzioni in esso, il sistema diventa vulnerabile agli attacchi. I modelli di machine learning in genere utilizzano i dati provenienti dai social media.
Sfruttano anche le informazioni generate dagli utenti come per esempio i questionari di soddisfazione, le cronologie degli acquisti o della navigazione. I criminali informatici coinvolti in manomissioni del Machine Learning potrebbero potenzialmente utilizzare campioni dannosi o introdurre backdoor o trojan per manomettere le procedure di apprendimento del sistema e comprometterlo.

Smart Contract Hacking

Sebbene gli Smart Contract siano nelle loro prime fasi di sviluppo, le aziende li utilizzano già quotidianamente per eseguire scambi di risorse digitali. Gli Smart Contract sono programmi software che portano codice auto-eseguito. Questo codice consente agli sviluppatori di creare le regole e i processi che creano un’applicazione basata su tecnologia blockchain. Di conseguenza, questi con
tratti sono un obiettivo primario dei criminali online che cercano di compromettere tali applicazioni. Inoltre, dal momento che si tratta di un campo nuovo di zecca, gli esperti di sicurezza stanno ancora trovando bug in molti di essi.
Queste vulnerabilità rendono facile per i criminali hackerare i contratti. Poiché questa tecnologia continua a maturare, l’hacking degli Smart Contract rappresenterà una minaccia significativa per le aziende nel 2020 e oltre.

Attacchi IoT

Man mano che un numero sempre maggiore di dispositivi si connette a Internet sia a casa che nelle aziende, gli attacchi IoT sono cresciuti e continueranno a crescere. Gli attacchi informatici sui dispositivi IoT sono aumentati del 300% nel 2019, secondo Chris Hass, direttore della sicurezza delle informazioni e della ricerca presso la società di sicurezza Automox. Tali dispositivi in genere utilizzano credenziali predefinite e quindi sono maturi per accesso e infezione non autorizzati.
“Attualmente non esistono standard e certificazioni comuni applicabili al dominio IoT e i fornitori tendono a tacere sulle capacità specifiche che utilizzano per garantire il proprio servizio”, ha affermato Tom Anderson, tecnico principale di The Alliance for Telecommunications Industry (ATIS). “In quanto tale, l’utente ha poche garanzie che vengano applicati o meno i migliori metodi di sicurezza della classe. Per contribuire a mitigare questa situazione, ATIS e altre organizzazioni del settore si sono coordinate per creare un insieme di base di requisiti di sicurezza IoT: il consenso C2 sulle funzionalità di base della sicurezza dei dispositivi IoT.
Le grandi aziende possono richiedere che i loro fornitori IoT forniscano una re visione completa della sicurezza dei loro sistemi prima dell’acquisto e della distribuzione. “
Per difendersi dagli attacchi IoT, le organizzazioni dovrebbero utilizzare la segmentazione della rete e i firewall, suggerisce Jonathan Langer, CEO della società di sicurezza IoT Medigate. Tramite la micro-segmentazione, le organizzazioni possono limitare i possibili danni che un attacco IoT può causare sulla
rete, garantendo al contempo che dispositivi simili vengano sottoposti a patch e aggiornati regolarmente.

Phishing

Il phishing rimarrà uno dei metodi di attacco più popolari da parte dei criminali in formatici nel 2020. Impersonando in modo convincente marchi legittimi, le e-mail di phishing possono indurre gli utenti ignari a rivelare credenziali dell’account, informazioni finanziarie e altri dati sensibili. I messaggi di spear phishing sono particolarmente astuti, in quanto sono rivolti a dirigenti, personale IT e altre per sone che potrebbero avere privilegi amministrativi o di fascia alta.
La difesa contro gli attacchi di phishing richiede sia formazione tecnologica sia un’adeguata sensibilizzazione. Al di là dei filtri antispam e di tutto ciò che è necessario per impedire a questo tipo di richieste di arrivare agli ignari destinatari, deve esserci prima di tutto un’adeguata formazione aziendale che impedisca ai dipendenti di diventare essi stessi hub di pericoli informatici.

Ransomware

Il ransomware continuerà a rappresentare una delle principali minacce alla sicurezza informatica nel 2020. I criminali informatici stanno utilizzando approcci più mirati per ingannare e infettare gli utenti, mentre i dipendenti potrebbero avere difficoltà a individuare e-mail dannose. Una volta infettate, molte organizzazioni scelgono di pagare i soldi piuttosto che vedere i loro dati sensibili tenuti in ostaggio.
Per difendersi dai malware, la formazione e l’istruzione degli utenti sono fonda mentali. Dal punto di vista IT, il backup dei dati critici dell’utente e dell’azienda è fondamentale nel caso in cui tali dati vengano compromessi e barattati in cambio di un cospicuo riscatto.
Il sito web No More Ransom Project fornisce strumenti di decrittazione per alcune versioni precedenti di ransomware che sono ancora in uso. Prima di provare a decrittografare i dati riscattati, dovrai rimuovere il ransomware, che puoi eseguire tramite software antivirus.

DDoS

Nel 2020, gli attacchi DDoS continueranno a rappresentare una grande minaccia per i siti Web. Un attacco Denial of Service riuscito può inondare il traffico di un server Web, causando così un rallentamento o un arresto anomalo. Si possono rilevare tre tipi di attacchi DDoS che possono colpire le organizzazioni:
Attacchi volumetrici. Questi inondano la larghezza di banda della rete del server con false richieste di dati su ogni porta aperta del server. Poiché le macchine gestiscono continuamente richieste di dati dannosi, non sono in grado di elaborare il traffico del server legittimo.
Attacchi a livello di applicazione. Questi si concentrano sul livello più alto del modello di rete OSI. Gli aggressori che seguono il livello dell’applicazione si con centrano principalmente su HTTP, HTTPS, DNS o SMTP. Questo tipo di attacco Denial-of-Service può essere difficile da catturare in quanto a volte colpisce solo una macchina.
Attacchi di protocollo. Questi si concentrano su tabelle di connessione dannose nelle aree di rete inviando ping lenti o malformati e pacchetti parziali. La memo ria sulla macchina interessata è sovraccarica, causando un arresto anomalo.

Protezione multilivello

Le minacce informatiche non sono mai state così varie come nel 2020. In qualsiasi momento un punto di accesso qualunque potrebbe incappare in una truffa di phishing con collegamento a un file dannoso, acquisire ransomware da un sito Web contraffatto, cadere preda di un APT (Advanced Persistent Threat) che in maniera silente rimane all’interno della nostra rete per settimane o mesi prima di attivarsi o anche di più.

In un momento in cui il numero di minacce è in crescita e in costante evoluzione, i professionisti IT devono distribuire tutti gli strumenti a loro disposizione per mantenere le reti sicure.

La soluzione proposta da Data Storage Security è pensata per garantire un altissimo livello di sicurezza dei dati aziendali, consentirne il recupero in tempi brevi e minimizzare le possibilità che interi database aziendali collassino per causa di un attacco informatico. Il servizio VTL RBS (Remote Backup Storage) implementa il paradigma 3-2-1 (3 copie dei dati, 2 supporti differenti, 1 conservato off line) in maniera automatica e sicura.

La soluzione prevede:

  • Nodo Locale: repository dei dati presso la sede del Cliente, con funzioni di deduplica, cifratura e storicizzazione dei dati
  • Nodo Remoto: sincronizzazione dei dati su canale cifrato verso repository situato presso datacenter Tier IV, con funzioni di deduplica, cifratura e storicizzazione dei dati
  • Nodo Offsite: copia del dato su nastro e trasporto con furgoni blindati verso caveau di massima sicurezza, per custodia offsite.

La soluzione software utilizzata (basata su tecnologia VTL) è caratterizzata da un potente motore di deduplica, che permette di:

  • Ridurre lo spazio allocato sui singoli nodi (Locale e Remoto)
  • Ridurre la richiesta di banda per la replica tra il Nodo Locale ed il Nodo Remoto
  • Gestire volumi di dati superiori al Petabyte

Gli aspetti di sicurezza sono un altro elemento centrale della soluzione, che per mette la cifratura di tutti i dati lungo tutta la filiera, dalla sede del Cliente fino al nastro magnetico. Il Cliente è autonomo nella gestione dei propri dati e nelle fasi di backup e restore, attraverso l’accesso diretto al Nodo Locale, situato presso il proprio datacenter.

In caso di necessità (per esempio indisponibilità del Nodo Locale in seguito ad un attacco hacker o un evento esterno, p.e. incendio) Data Storage Security è in grado di riconsegnare i nastri contenenti la copia aggiornata dei dati presso la sede del Cliente, attraverso un servizio di reperibilità h24/365gg all’anno.  La soluzione non inserisce nessun tipo di vendor lock-in in tutte le fasi di replica e memorizzazione, ed i dati scritti su nastro sono quindi leggibili direttamente dall’infrastruttura del Cliente.

Il servizio VTL RBS include:

  • Servizio End to End completamente automatizzato
  • Reperibilità H24/ 365 giorni l’anno
  • In caso di restore da nastro, trasporto dei nastri con furgoni blindati fino alla sede del Cliente
  • Due test di restore all’anno inclusi nel contratto
  • Custodia off site automatica e trasparente per il committente

Il servizio (che include la fornitura dell’hardware necessario, le licenze software, il trasporto dei nastri, la custodia in caveau e tutti i servizi associati) è erogato a fronte di un canone mensile (full opex) in modalità pay-per-use. Il canone infatti è indicizzato in base allo spazio realmente occupato dai dati di backup, permettendo un maggior governo della spesa nel tempo, coerentemente con il piano di crescita ipotizzato, ed eliminando costosi investimenti iniziali. Tra i vari ambiti di impiego della soluzione, uno dei più utilizzati è quello che vede coinvolte aziende multi-sede, che utilizzano la soluzione normalizzare le policy di backup pres so le sedi remote e verificarne la reale applicazione, centralizzando allo stesso tempo i dati critici presso la sede centrale.