Il Threat Report 2015 dei Websense Security Labs si basa sui dati raccolti dal ThreatSeeker Intelligence Cloud, in grado di ricevere oltre cinque miliardi di input al giorno da 900 milioni di endpoint in tutto il mondo. Da quest'anno, però, sono state aggiunte altre fonti, frutto del lavoro di cooperazione tra diversi protagonisti della sicurezza, impegnati a contrastare le ingenti risorse di ricerca e sviluppo impiegate dalle organizzazioni cybercriminali.
L'interpretazione degli esperti dei Websense Security Labs, poi, si basa su interviste e indagini eseguite da ricercatori e ingegneri in Europa, Medio Oriente, Asia e Nord America.
Emiliano Massa, Director of Regional Sales Websense South EMEA (una region recentemente allargatasi comprendendo Francia e Israele), evidenzia una tendenza in particolare: effettuare attacchi diventa sempre più facile, grazie all'evoluzione dei servizi di cybercrimine.
In sostanza, si assiste alla crescita di un mercato, che risponde a tutte le logiche standard del business: aumenta la concorrenza e conseguentemente scendono i prezzi e vengono sviluppati nuovi servizi, più performanti e user friendly. Il risultato è un incremento di funzionalità all'avanguardia che agevolano i criminali nel loro intento. Per esempio catene di redirect, riutilizzo di codice e altre tecniche, che consentono tra l'altro a queste persone di rimanere anonime, rendendo l'attribuzione sempre più lunga e inaffidabile.
Addirittura, afferma Massa, spesso non conviene neanche spendere tempo e risorse in attività forensi che non portano né a identificare l'origine dell'attacco né a comprendere come intervenire per evitare che si possa ripetere. Del resto, viene evidenziato nel rapporto, è diventato più difficile fare una corretta attribuzione di un attacco informatico, data la facilità con cui gli attaccanti possono falsificare le informazioni, aggirare la registrazione e il monitoraggio o comunque rimanere anonimi. Spesso un'analisi delle stesse prove circostanziali può portare a conclusioni molto diverse.
Per questo in Websense hanno sviluppato, con il rilascio di Triton APX all'inizio dell'anno, le soluzioni DTP (Data Threat Prevention), che si basano sull'analisi delle anomalie osservate sulla rete, per esempio in termini di comportamenti non consueti per un utente o non congruenti al contesto. Come il caso di un utente che risulta loggato contemporaneamente da due IP diversi.
Il Threat Report 2015 dei Websense Security Labs spiega quali sono le tendenze comportamentali e tecniche del cybercrime e allo stesso tempo fornisce informazioni e suggerimenti utili per aiutare i professionisti della sicurezza a pianificare la loro strategia di difesa della rete.
Ecco altri tra gli aspetti principali emersi dallo studio.
Innanzitutto, come accennato il cybercrime è più facile, anche per persone alle prime armi, accedendo più facilmente ed economicamente a exploit kit in affitto attraverso servizi Maas (Malware as a Service), così come all'acquisto o noleggio di porzioni o di un intero attacco informatico complesso e pluri strutturato. Infatti, si è affinata ulteriormente la capacità di abbinare tecniche nuove e tradizionali, dando origine a soluzioni maligne altamente evasive.
Sembra che gli autori degli attacchi si stiamo concentrando più sulla qualità, piuttosto che sulla quantità come in passato. Peraltro, si parla di Digital darwinismo, facendo riferimento alla sopravvivenza delle minacce in grado di evolvere. Non solo: si assiste al riutilizzo di vecchie minacce, per esempio i macro virus.
Nello specifico, Luca Mairani, senior sales engineer di Websense, riporta di un recente attacco indirizzato in Italia, che partiva con mail plausibili con in allegato un file Word, il quale attivaga una macro per scaricare malware, soprattutto Cryptolocker.
Se le minacce sono diminuite (i Websense Security Labs hanno osservato 3.9 milioni di minacce alla sicurezza nel 2014, il 5,1% in meno rispetto al 2013), sono però sempre più sofisticate, aumentando quelle utilizzate in attacchi con logiche multifase tipo APT. Qui, sottolienea Mairani, le criticità sono legate soprattutto a Java e altri sistemi, come Acrobat Adobe o Microsoft Explorer, ma anche open source, che le aziende devono mantenere nella vecchia versione perché è la sola compatibile con le applicazioni legacy aziendali. Quindi non possono applicare le patch e rimangono esposti a vecchie e nuove vulnerabilità.
A rendere più sofisticati gli attacchi APT concorre anche il fatto che i cyber criminali hanno reinventato la metodologia di attacchi per ridurre la visibilità delle minacce. Lo hanno fatto seguendo in maniera sempre meno lineare la tradizionale catena di attacco. Gli attacchi sono più difficili da rilevare se alcuni stadi vengono saltati, ripetuti o applicati solo parzialmente, riducendo così la visibilità della minaccia stessa.
Un'attività varia fortemente se svolta in una diversa fase della catena di attacco. Così come l'attività di spam si concentra sulle prime fasi della catena, altre fasi della catena subiscono diverse attività malevole. Alcune fasi hanno visto un maggior numero di attività; altre ne hanno rilevate molto meno rispetto all'anno precedente.
Per concludere, va evidenziata ancora una volta la carenza di professionisti della sicurezza: ne mancano 2 milioni, secondo il rapporto e il problema, aggiunge Massa, è che la formazione di una figura altamente qualificata sulla cybersecurity richiede almeno 11 anni.
Ma il bisogno di aumentare l'IQ, cioè l'intelligenza sulla sicurezza non riguarda solo i professionisti, occorre continuare a insistere per educare i propri dipendenti e adottare strumenti automatici che impediscono ai dipendenti di commettere errori fatali o, peggio, atti dolosi intenzionali. Il rapporto continua a porre al primo posto le cosiddette minacce interne.
Due ultimi punti rilevati: la fragilità delle infrastrutture, con un aumento delle minacce che si espandono nell'infrastruttura di rete stessa, per esempio vulnerabilità nascoste sono state rinvenute all'interno dei codici di base Bash, OpenSSL, SSLv3 e altri che sono stati in uso per decenni.
Infine, l'Internet of Things (IoT) che avrà un impatto notevole sull'esposizione agli attacchi informatici, poiché si stima che la crescita di dispositivi connessi raggiungerà una cifra tra i 20 e i 50 miliardi entro il 2020.