Il Cybercrime in Italia è la causa maggior parte degli attacchi (oltre il 50%), almeno secondo l'ultimo Rapporto Clusit 2014 che verrà presentato a Milano il prossimo 18 marzo in occasione del Security Summit. Se da una parte il 2013 si è contraddistinto con un numero di attacchi in linea con l'anno precedente, la loro gravità è aumentata in modo significativo in termini di quantità, valore economico dei dati sottratti, di ampiezza delle conseguenze - nel caso di sabotaggi ed attacchi di tipo "Denial of Service".
"Lo studio, che si riferisce ad un campione di oltre 2800 incidenti noti avvenuti negli ultimi 36 mesi, indica come il Cybercrime sia la causa della maggior parte degli attacchi (oltre il 50%) nel 2013, con una crescita del 258% in due anni, e come attività di Hacktivism e Cyber Espionage siano in costante aumento, con una crescita del 22,5% e del 131% rispetto al 2012", puntualizza il documento.
Le vittime appartengono per lo più al settore governativo (+7,5%) e Banking/Finance, che passa dal 5% del totale nel 2012 al 9% nel 2013. "Appaiono per la prima volta nel campione attacchi noti contro Infrastrutture Critiche, che si posizionano al 3% del totale, ed attacchi verso altri due settori, quello Automotive (principalmente con finalità di spionaggio industriale) e quello delle ONG (principalmente con finalità di spionaggio politico o di Hacktivism)", prosegue la nota.
Una delle tecniche più usate è senza dubbio quella che appartiene alla categoria DDoS: su tutti Account Cracking e soprattutto APT (Advanced Persistent Threats) che passa dal 1% del 2012 al 6% del 2013. Ampio lo sfruttamento di vulnerabilità note o di misconfigurazioni dei sistemi bersaglio, che rappresentano circa un quarto dei casi analizzati (22%), con una crescita dell'87% rispetto al 2012.
"La crescita di attacchi complessi realizzati tramite tecniche miste di tipo APT (Advanced Persistent Threat) passa dal 1% al 6% del totale, mentre le tecniche di attacco basate su SQL Injection (il 19% nel 2013) e l’utilizzo di semplice malware (tipicamente in connessione con attività di phishing o con attacchi realizzati infettando siti web) sono in flessione. I vettori di attacco più semplici da sfruttare, ovvero SQLi, DDoS e Vulnerabilities, nel 2013 rappresentano ancora il 58% del totale, contro il 69% dell'anno precedente", prosegue il documento
Da rilevare che per la prima volta il Rapporto Clusit si avvale anche di dati relativi agli attacchi (di qualsiasi dimensione ed impatto) rilevati dal Security Operations Center di Fastweb, che ha acconsentito a condividere una dimensione statistica del fenomeno.
Bersagli
In base a quanto rilevato dal SOC di Fastweb, che è in grado di monitorare e difendere da attacchi e minacce sia l'infrastruttura ICT aziendale sia quella dei clienti, la maggior parte delle minacce (81%) arriva tramite software malevoli utilizzati principalmente per due tipologie di attività: crimine e spionaggio industriale. Mentre gli attacchi DDoS crescono in maniera esponenziale rispetto agli scorsi anni e costituiscono il 14% degli eventi noti. "Il 60% degli attacchi rilevati è dovuto ad azioni di cybercrime ed il 24% ad azioni di spionaggio industriale volto a sottrarre informazioni. Le azioni dimostrative, portate avanti tramite attacchi informatici (Hacktivism), costituiscono solamente il 16%", puntualizza il rapporto.
Pur essendo quasi impossibile riuscire a capire quale sia l'origine esatta di un attacco, è stato analizzato il dato che più gli si avvicina, cioè la localizzazione dei server utilizzati come centri di controllo (Command and Control). I risultati confermano che la maggior parte di questi attacchi (50%) ha come origine l’Asia. L’'uropa costituisce la seconda origine (30%) mentre Stati Uniti e Medio Oriente sono rispettivamente al terzo e quarto posto (10% ognuno).