Check Point Security Report 2013

Transcript

C H EC K PO INT 2013 SEC UR IT Y R EPO RT
CHECK POINT
2013
SECURITY
REPORT
G EN N A I O 2 0 1 3
CHECK POINT 2013 SECURITY REPORT
C h e c k P o i n t 2013
Security Report
01
02
03
04
05
06
AP
Introduzione e metodologia004
Minacce per le aziende006
Applicazioni enterprise020
Casi di perdita di dati all’interno della rete030
Conclusioni e strategia di sicurezza036
Check Point Software Technologies038
Appendice
042
003
2013 CHECK POINT ANNUAL SECURITY REPORT
01
INTRODUZIONE E
METODOLOGIA
“COME L’ACQUA NON HA UNA SUA
FORMA COSTANTE, ANCHE IN CASO DI
GUERRA NON ESISTONO CONDIZIONI
COSTANTI.” 1
ANCHE SE QUESTA FRASE È
VECCHIA DI 2.600 ANNI, È ANCORA
SORPRENDENTEMENTE SIGNIFICATIVA
E RIFLET TE LE FORME DI GUERRA
MODERNE – LA GUERRA CIBERNETICA
Le tecniche degli hacker cambiano continuamente,
sfruttando metodi di attacco sempre più moderni e
sofisticati, portando la sfida della sicurezza a nuovi livelli.
I data center, i computer e i cellulari dei dipendenti sono
l’obiettivo primario degli hacker, che si avvalgono di una
varietà pressoché infinita di malware come bot, trojan e driveby download. I cyber criminali utilizzano trucchi e social
engineering per manipolare utenti innocenti ed ottenere
accesso alle informazioni aziendali, quali documenti interni,
registri finanziari, numeri di carta di credito e credenziali di
accesso, o semplicemente bloccare servizi con attacchi di tipo
denial of service. Questa moderna guerra, fatta di minacce
ed attacchi avanzati, è qui per rimanere. Le informazioni
aziendali salvate nei data center, nei server, nei PC e nei
dispositivi mobili aumentano alla velocità della luce, e la
crescita in termini di volume di dati e piattaforme genera
rischi maggiori. Infine, la lista di minacce alla sicurezza non
diventa sicuramente più breve, ed ogni nuovo attacco rivela
un livello di sofisticazione superiore.
Quali sono stati i principali rischi di sicurezza che la vostra
004
rete si è trovata ad affrontare lo scorso anno? A quali
minacce verrà esposta il prossimo anno? Queste sono le
questioni principali che hanno occupato il team di ricerche
sulla sicurezza di Check Point nel corso degli ultimi
mesi. Raccogliendo le risposte a queste precise domande,
Check Point è stata in grado di effettuare un’approfondita
valutazione.
Questo report offre un’analisi degli eventi di sicurezza di rete
che nel corso del 2012 hanno coinvolto le organizzazioni di
tutto il mondo. Presenta gli eventi di sicurezza indentificati
presso queste organizzazioni, con esempi relativi agli
incidenti resi noti, spiegazioni di come alcuni di questi
attacchi sono stati condotti, e raccomandazioni su come
proteggersi da questo tipo di minacce. Il report è strutturato
in tre sezioni distinte, ognuna dedicata a un aspetto
differente della security. La prima parte si concentra sulle
minacce di sicurezza, quali bot, virus, security breach ed
attacchi. La seconda analizza alcune rischiose applicazioni
web che mettono a repentaglio la sicurezza di rete delle
organizzazioni. La terza è dedicata alle perdite di dati causate
da comportamenti non intenzionali da parte dei dipendenti.
Metodologia
Il Security Report 2013 di Check Point è basato su una
ricerca collaborativa e sulla successiva analisi degli eventi di
sicurezza raccolti tramite quattro principali risorse: i Check
Point Security Gateway Analysis Report2, Check Point
ThreatCloud™ 3, la rete Check Point SensorNet™ ed i report
Check Point Endpoint Security.
Una meta-analisi sugli eventi di sicurezza che hanno
coinvolto le reti di 888 aziende è stata condotta utilizzando
dati raccolti dai Security Gateway Check Point, che hanno
scansito in tempo reale il traffico di rete delle aziende,
01 _ INTRODUZIONE E METODOLOGIA
4% Consulenza 31
7 % Telco 59
Fonte: Check Point Software Technologies
20 % APAC* 178
10 % Pubblica Amministrazione 89
14 % Finance 128
39 % Industria 346
Tabella 1-Aׁ
40 % America 356
ori
Sett ali
ic
Ve r t
26 % Altro 235
Inoltre sono stati analizzati oltre 111,7 milioni di eventi
raccolti da 1.494 Security Gateway usando dati generati da
Check Point ThreatCloud™, un enorme database di sicurezza
aggiornato in tempo reale e popolato con dati provenienti da
una estesa rete di sensori globali, distribuiti strategicamente
in tutto il mondo, che raccolgono informazioni su minacce
ed attacchi malware. ThreatCloud permette di identificare i
trend e le minacce emergenti a livello di sicurezza globale,
creando un network collaborativo per combattere il
cybercrime. Nella nostra ricerca abbiamo analizzato dati di
ThreatCloud raccolti lungo un periodo di tre mesi, tra agosto
e ottobre 2012. Un riferimento per i dati relativi alle minacce
è stato raccolto dalla rete di sensori Check Point SensorNet
nel periodo che va dal 1° luglio al 30 settembre 2012. Check
Point SensorNet è una rete di sensori distribuita a livello
mondiale, in grado di fornire informazioni di sicurezza e
statistiche di traffico ad un sistema centrale di analisi. Questi
dati vengono studiati per identificare tendenze ed anomalie,
e per ottenere uno spaccato in tempo reale della sicurezza
in tutto il mondo. Infine, una meta-analisi su 628 report
di endpoint security condotti presso una grande varietà
di organizzazioni. L’analisi di sicurezza prevedeva una
scansione di ogni singolo host con validazione dei rischi di
perdita di dati, di intrusione e legati al malware. L’analisi è
stata condotta con lo strumento di reportistica Check Point
Endpoint Security, verificando se sull’host è presente un AntiVirus, se l’Anti-Virus è aggiornato, se i software presenti sono
alla versione più aggiornata, ed altro ancora. Lo strumento è
gratuito e liberamente disponibile, può essere scaricato dal
sito web pubblico di Check Point4.
Questo report è basato su dati raccolti da queste fonti.
a
ienz
n
e
v
Pro ra f i c a
g
Geo
40 % EMEA* 354
in entrata e in uscita. Il traffico è stato analizzato con la
tecnologia multilivello delle Software Blade Check Point,
per indentificare una serie di minacce alla sicurezza, quali
applicazioni ad elevato rischio, tentativi di intrusione, virus
e bot, perdita di dati sensibili, ecc… Il traffico di rete è stato
monitorato in tempo reale, utilizzando Check Point Security
Gateway inline o in modalità monitor (tap).
In media, il traffico di rete di ogni organizzazione è stato
monitorato per 134 ore. Le aziende interessate dalla nostra
ricerca provengono da una grande varietà di settori e sono
distribuite in tutto il mondo, come mostrato dalle tabelle
1-A e 1-B.
*APAC – Asia, Pacifico e Giappone. EMEA – Europa, Medio Oriente e Africa
Settori Verticali
Industria – Chimica/Petrolchimica, Sanità, Farmaceutica, IT,
Manifatturiero, Trasporti, Utility, Infrastrutture
Finance – Finanza, Contabilità, Banche, Investimenti
Pubblica Amministrazione – Pubblica Amministrazione,
Difesa
Telco – Telecomunicazioni, Service Provider, ISP, MSP
Consulenza – Servizi di Consulenza
Altro – Pubblicità/Media, Distribuzione, Education, Studi
legali, Hospitality/Intrattenimento, Vendita all’ingrosso e al
dettaglio, Titoli di stato, Altro
005
02
MINACCE PER
LE AZIENDE
Edizione straordinaria:
rilevato un nuovo attacco informatico
Nel 2012, gli attacchi informatici hanno continuato a crescere
ed a finire in prima pagina. Quasi ogni giorno le prime
pagine dei giornali riportano minacce di software malevoli,
attacchi e botnet, portando alla luce il successo di hacker che
rubano dati, paralizzano le attività e spiano grandi aziende e
governi. Gli esempi che seguono sono solamente la punta
dell’iceberg degli attacchi informatici che si sono verificati
nel corso del 2012: hacker all’attacco della rete della Casa
Bianca6, il gruppo hacktivista Anonymous che ha bloccato i
siti web di organizzazioni come U.S. Telecom Association e
TechAmerica7, attacchi informatici hanno colpito Capital One
Financial, BB&T e HSBC Bank USA8, e tanti altri ancora.
Advanced Persistent Threats
I cyber criminali non sono più dilettanti che operano in modo
isolato. In molto casi, appartengono ad organizzazioni ben
strutturate che ricordano le cellule terroristiche – hanno accesso
“CI SONO SOLO DUE TIPI DI AZIENDE,
QUELLE CHE SONO STATE ATTACCATE
E QUELLE CHE LO SARANNO.”
Robert Mueller, Director, FBI, Marzo, 20125
a risorse economiche importanti, hanno motivazioni ed obiettivi
precisi. I cyber criminali appaiono dedicare significative quantità
di tempo e risorse alla raccolta di informazioni utili. Le loro attività
criminali causano alle organizzazioni colpite danni ingenti, tra cui:
perdita di dati confidenziali, interruzione delle attività di business,
danni all’immagine ed ovviamente danni finanziari. Per gli attacchi
più sofisticati e di lungo periodo, condotti pensando ad obiettivi
specifici pre-determinati, è stato coniato il termine di Advanced
Persistence Threat (APT). Questi attacchi vengono scoperti
molto raramente dai tradizionali sistemi di sicurezza, cosa che
mette le reti di enti pubblici, di grandi e piccole aziende ed anche
di singoli individui a rischio. In caso di attacchi APT, la prima
BLACKHOLE
UN KIT DI ATTACCO PER LE MASSE
Parte dell’enorme incremento dell’attività malevola registrata
negli ultimi anni può essere attribuita alla possibilità per gli
hacker di utilizzare con grande semplicità tool e pacchetti di
attacco preconfezionati. Con un solo click, ognuno può scaricare
una suite di attacco pienamente funzionale e molto sofisticata.
Una di queste suite è il BlackHole exploit kit – un pacchetto
software web-based largamente diffuso. BlackHole comprende
una raccolta di strumenti pensati per sfruttare le falle di sicurezza
dei browser web per scaricare virus, bot, trojan ed altre forme di
agenti software malevoli sui computer di vittime inconsapevoli.
I prezzi per questi kit variano dai 50 dollari per un giorno di
utilizzo fino ai 1500 dollari di un abbonamento annuale9.
02 _ MINACCE PER LE AZIENDE
CASI DI DATA BREACH
NEL 2012
Nel 2012 si sono verificati numerosi casi di data breach, che hanno riguardato dati salvati su server
aziendali e relativi a carte di credito, oppure informazioni di clienti, studenti o pazienti. Queste
attività malevole sono caratterizzate dal comune obiettivo di acquisire informazioni confidenziali.
Questi alcuni esempi di casi realmente accaduti:
Global Payments Inc.
University of Nebraska
Società globale di elaborazione di pagamenti colpita
dagli hacker a giugno 2012. Le informazioni di oltre
1.500 carte di pagamento sono state sottratte.
è stata oggetto di un caso di data breach che ha portato
al furto di oltre 650.000 file di dati personali relativi a
studenti, ex-studenti, genitori e dipendenti universitari,
dal database del Nebraska Student Information Systems.
Clarksville Tennessee U.S.
A giugno 2012, alcuni hacker hanno colpito il sistema
scolastico della Contea di Clarksville-Montgomery,
rubando nomi, numeri di Sicurezza Sociale ed
altri dati personali di circa 110.000 persone. Gli
hacker hanno usato informazioni postate online da
dipendenti e studenti per penetrare nel sistema 10.
Dipartimento di Tecnologia, Utah
A marzo 2012, 780.000 registri di pazienti legati
al programma sanitario Medicaid sono stati rubati
da un server, ad opera di hacker probabilmente
provenienti dall’Europa orientale.
Servizio Sanitario Nazionale, Regno Unito
Serco Thrift, piani di risparmio
A maggio 2012, un attacco informatico condotto contro
Serco negli Stati Uniti ha portato alla sottrazione di
informazioni relative a 123.000 dipendenti federali.
Tra luglio 2011 e luglio 2012, il Servizio Sanitario
Nazionale del Regno Unito è stato oggetto di
diversi casi di data breach che hanno esposto quasi
1,8 milioni di cartelle cliniche11.
azione da intraprendere tipicamente è quella di raccogliere
informazioni relative al bersaglio designato. Successivamente,
gli attaccanti compiono una prima intrusione nella rete
obiettivo, per aprire una backdoor e mantenere una presenza
persistente sul network. Questo solitamente si accompagna
all’infezione di un host con un bot, che permette a chi attacca
di comunicare con l’host infetto senza venire individuato.
L’attaccante poi cerca di ottenere un accesso più ampio alla
rete e di compromettere ulteriori nodi. Una volta fatto ciò,
TOOLKIT PER BOT VENGONO VENDUTI
ONLINE PER 500 DOLLARI, I DANNI CHE
PROVOCANO COSTANO ALLE AZIENDE
MILIONI DI DOLLARI
l’obiettivo è di fatto raggiunto, e l’hacker può sfruttare gli
host infetti per raccogliere dati o causare i danni desiderati da
remoto, mantenendo una presenza costante ed invisibile per
un lungo periodo.
Le botnet sono qui per restare
Una delle minacce più significative in tema di sicurezza di rete
che oggi le organizzazioni si trovano ad affrontare è rappresentata
dalle botnet. Un bot è un software malevolo che invade ed
infetta un computer per consentire a criminali di controllarlo da
remoto. Il computer infetto può eseguire attività illegali come
rubare dati, inviare spam, distribuire malware e partecipare ad
attacchi Denial of Service (DoS), ed il suo proprietario può
essere del tutto all’oscuro di queste attività. I bot giocano anche
un ruolo chiave in caso di attacchi APT mirati. Ci sono due trend
007
principali nell’attuale scenario delle minacce guidati da attacchi
bot. Il primo è il crescente mercato del cybercrime sempre più
guidato dai profitti – si tratta di un mercato che comprende
cyber criminali, operatori del malware, fornitori di tool, coder e
programmi affiliati. I loro “prodotti” possono essere facilmente
ordinati online su numerosi siti (ad esempio, kit malware fai-date, invii di spam, furti di dati e attacchi Denial of Service), e per
le organizzazioni diventa sempre più difficile combattere con
successo questi attacchi. Il secondo trend è quello degli attacchi
ideologici e guidati da stati, che prendono di mira persone o
organizzazioni per promuovere una causa politica o guidare una
vera e propria guerra elettronica.
Le botnet sono qui per restare. A differenza di virus ed altre forme
tradizionalmente statiche di malware (con codici e forme che
rimangono gli stessi), le botnet sono per loro natura dinamiche
e possono modificare velocemente forma e pattern di traffico.
Toolkit per bot vengono venduti online a prezzi che possono
scendere fino a 500 dollari, e i loro attacchi costano alle aziende
attività delle botnet
Diffondere
virus
Inviare
messaggi spam
tramite email
Distribuire
software
malevolo
Attaccare
computer e
server
Sottrarre
dati
63%
IL
DELLE ORGANIZZAZIONI
CONSIDERATE NELLA RICERCA è
RISULTATA INFET TA DA BOT
Come lavorano le botnet
Una botnet conta tipicamente su una serie di computer che
sono stati infettati da un software malevolo, che stabilisce
una connessione di rete con uno o più sistemi di controllo,
definiti server Command & Control. Quando un bot infetta
un computer, ne prende il controllo e neutralizza le difese
6 % più di 21 host
Command
& Control
Bot
48 % 1-3 host
10 % 7-9 host
“Controllore
dei bot”
Numero di host infetti da bot
(% delle organizzazioni)
)Fonte: Check Point Software Technologies
Le botnet sono dappertutto,
ma quanto è critica la situazione?
Si stima che fino a un quarto di tutti i personal computer
connessi ad Internet possa far parte di una botnet. La ricerca
mostra come nel 63% delle organizzazioni sia stato individuato
almeno un bot. La maggior parte delle organizzazioni sono
risultate infette da più bot differenti.
Anti-Virus. I bot sono difficili da individuare perché si
nascondono all’interno del computer e modificano il modo
in cui appaiono al software Anti-Virus. Il bot poi si collega al
centro di Command & Control (C&C) per ricevere istruzioni
dai cyber criminali. Per questi collegamenti, vengono usati
numerosi protocolli di comunicazione, tra cui Internet Relay
Chat (IRC), HTTP, ICMP, DNS, SMTP, SSL e, in qualche
18 % 10-21 host
milioni di dollari. La questione dei bot non va sottovalutata.
Computer
su internet
Sp
18 % 4-6 host
am
, V ir us , D D oS
Tabella 2-A
009
caso, protocolli personalizzati creati dagli ideatori del software
della botnet.
OGNI 21 MINUTI
UN BOT COMUNICA CON IL
SUO CENTRO DI COMMAND
& CONTROL
Attività di Command & Control
I bot si presentano sotto vesti e formati molto diversi e possono
eseguire tante attività differenti. In molti casi, un singolo
bot può creare più minacce. Una volta sotto il controllo del
server di Command & Control, la botnet può essere guidata
dall’hacker a condurre attività illegali senza che l’utente ne sia
a conoscenza. Queste attività prevedono l’infezione di ulteriori
macchine per aggiungerle alla botnet, l’invio massiccio di
messaggi di spam via email, attacchi DDoS e furto di dati
personali, finanziari e confidenziali, da parte dei bot che fanno
parte della botnet. I bot vengono spesso usati anche come
Frequenza di comunicazione tra un bot ed il suo
centro di Command & Control
6
g ni
% 2o
Tabella 2-B
010
2-4 o
re
24 %
i4
più d
i 1 or
o re
a
45
ni
% og
1-2 o
re
25 %
od
m en
strumenti di attacchi APT, nel corso dei quali i cyber criminali
prendono di mira organizzazioni o individui specifici. La
tabella 2-B illustra la frequenza con cui i bot comunicano con il
loro centri di Command & Control. Il 70% dei bot individuati
durante la ricerca comunicava con il suo centro di Command
& Control almeno ogni 2 ore. La maggioranza delle attività di
Command & Control è stata riscontrata negli USA, seguiti
dalla Germania, dai Paesi Bassi e dalla Francia, come mostra la
tabella 2-C. I vari tipi di comunicazione tra i bot ed il centro
di Command & Control includono un report sui nuovi host
che sono stati infettati, messaggi di buon funzionamento e
dati raccolti dal sistema host. La nostra ricerca mostra come,
in media, un bot comunichi con il suo centro di Command &
Control ogni 21 minuti.
Quali botnet vanno tenute sotto controllo?
Oggi esistono migliaia di botnet differenti. La tabella seguente
presenta le botnet più pericolose e preminenti trovate nel
corso della ricerca. Per una migliore comprensione di queste
minacce, ulteriori informazioni su ognuna di esse sono state
rese disponibili nella Appendice A.
Famiglia di botnet Attività malevola
Zeus
Sottrae credenziali bancarie online
Zwangi
Presenta all’utente messaggi
pubblicitari non desiderati
Sality
Si diffonde autonomamente sotto
forma di virus
Kuluoz
Esegue file malevoli da remoto
Juasek
Esegue azioni malevole da remoto:
apre shell di comando, cerca/crea/
cancella file, ed altro
Papras
Sottrae informazioni finanziarie
ed ottiene accesso remoto
Per ulteriori dettagli vedi l‘Appendice A
PRINCIPALI PAESI IN CUI SI TROVANO I
CENTRI DI COMMAND & CONTROL
7%
Paesi Bassi
9%
Germania
3%
Canada
7%
Francia
3%
Romania
58%
Stati Uniti
4%
Cina
3%
Venezuela
Tabella 2-C
NEL
3%
Argentina
75%
DELLE ORGANIZZAZIONI,
UN HOST ACCEDE A UN SITO
MALEVOLO
3%
Australia
14 % fino a 2 ore
Frequenza di scaricamento di malware
(% di organizzazioni)
43 % più di un giorno
19 % 2-6 ore
Come la vostra organizzazione può essere
infettata dal malware
Sono diversi i possibili punti di accesso per superare le difese di
un’organizzazione: vulnerabilità del browser, telefoni cellulari,
allegati infetti e supporti rimuovibili, per nominarne solo
qualcuno. Oltre a ciò, l’esplosione delle applicazioni Web 2.0 e
dei social network usati come strumento di business sta offrendo
agli hacker un’enorme opportunità per invitare le vittime a cliccare
su link malevoli o su “malvertisement” – pubblicità malevola
che appare su siti web regolari. Nonostante oggi le botnet siano
considerate una delle principali minacce alla sicurezza di rete,
le organizzazioni si trovano a fronteggiare ulteriori minacce
provenienti dal mondo del malware: virus, worm, spyware,
adware, trojan e così via. La nostra ricerca mostra come nel 75%
delle organizzazioni un host acceda ad un sito malevolo. La torta
che segue illustra il numero di host che sono entrati in contatto con
un sito web malevolo, secondo la percentuale delle organizzazioni.
In oltre il 50% delle aziende, almeno cinque host sono entrati
in contatto con un sito web malevolo. Un malware può essere
scaricato da un utente, oppure da un bot che ha già infettato
l’host. Abbiamo riscontrato come nel 53% delle organizzazioni
un malware sia stato scaricato dalla rete aziendale. In oltre il 50%
di queste organizzazioni, abbiamo rilevato che più di quattro host
avevano scaricato malware. La torta seguente mostra la frequenza
media di scaricamento di malware nelle organizzazioni, secondo
la nostra ricerca.
OGNI 23 MINUTI
UN HOST ACCEDE A UN
SITO MALEVOLO
12 % 6-12 ore
12 % 12-24 ore
Tabella 2-E
Accesso a siti malevoli per numero di host
16 % 9-16 host
Tabella 2-D
012
15 % oltre i 16 host
20 % 5-8 hosts
31 % 1-2 host
18 % 3-4 host
Un malware può essere scaricato da un utente, oppure da un bot
che ha già infettato l’host. Abbiamo riscontrato come nel 53% delle
organizzazioni un malware sia stato scaricato dalla rete aziendale.
In oltre il 50% di queste organizzazioni, abbiamo rilevato che
più di quattro host avevano scaricato malware. La torta seguente
mostra la frequenza media di scaricamento di malware nelle
organizzazioni, secondo la nostra ricerca. La tabella 2-G illustra
il numero di host che hanno scaricato del malware. In oltre il
50% delle organizzazioni, almeno cinque host hanno scaricato
malware. Nella nostra ricerca, la maggioranza del malware è
stata trovata negli Stati Uniti, seguita dal Canada e dal Regno
Unito, come mostrato dalla tabella 2-F. La protezione AntiVirus è uno dei metodi per proteggersi dalle infezioni malware,
anche se la nostra ricerca ha mostrato come il 23% degli host
nelle organizzazioni non aggiornano il loro Anti-Virus su base
giornaliera. Un host che utilizza un Anti-Virus non aggiornato è
esposto ai virus più recenti. Abbiamo trovato come il 14% degli
4%
Regno
Unito
3%
Germania
PRINCIPALI PAESI IN CUI SI TROVA IL MALWARE
8%
Canada
2%
Francia
3%
Israele
2%
Slovacchia
2%
Repubblica
Ceca
71%
Stati Uniti
2%
Cina
3%
Turchia
Numero di host che hanno scaricato malware
20 % oltre 33 host
12 % 17-32 host
10 % 9-16 host
13 % 5-8 host
45 % 1-4 host
Tabella 2-G
Tabella 2-F
host all’interno delle organizzazioni non sia nemmeno dotato di
Anti-Virus. Host che non utilizzano un Anti-Virus hanno un’alta
probabilità di essere infettati dal malware.
l virus “miniFlame” – il fratello più piccolo e
pericoloso di Flame
Probabilmente il malware Flame, scoperto all’inizio di quest’anno,
rappresentava solo l’inizio. Nel corso del 2012 è stato scoperto un
programma collegato, chiamato “miniFlame”, in grado di condurre
attacchi maggiormente mirati verso obiettivi in Medio Oriente.
miniFlame comprende una “back door” che permette di ottenere
controllo da remoto, furto di dati e la capacità di fare fotografie
istantanee dello schermo.
013
L’AT TACCO EUROGRABBER
O LTRE 36 M I L IONI D I EURO S OTTR ATTI A P I ù
D I 30.000 C L IENTI B A N C A RI
Nel corso del 2012 è stato registrato un attacco sofisticato
e multidimensionale, che ha sottratto oltre 36 milioni di
Euro a più di 30.000 clienti di banche differenti, distribuite
in tutta Europa. I clienti delle banche online non avevano
idea di essere stati infettati da trojan, che le loro sessioni di
online banking venissero di fatto compromesse o che il loro
denaro venisse rubato direttamente dai loro conti. Questo
tipo di attacco è stato scoperto e denominato “Eurograbber”
da Versafe e Check Point Software Technologies. L’attacco
Eurograbber si basa su una nuova e valida mutazione del
trojan ZITMO, o Zeus-In-The-Mobile. Ad oggi, questo
exploit è stato individuato solamente in paesi dell’area
Euro, ma un’ulteriore mutazione di questo attacco potrebbe
potenzialmente colpire banche di paesi esterni all’Unione
Europea. Costruito su più livelli, l’attacco ha infettato
computer e dispositivi mobili di clienti bancari online e,
una volta che i trojan Eurograbber sono stati installati su
Numero totale di comuni vulnerabilità ed
esposizioni al rischio
Fonte: Common Vulnerabilities and Exposures (CVE)
Più vulnerabilità più exploit
Vulnerabilità ben note sono un obiettivo fondamentale per
gli hacker, che puntano sul fatto che tante organizzazioni non
aggiornano il loro software ogni settimana. Più grandi sono
le organizzazioni, più difficile diventa per gli amministratori
della sicurezza mantenere tutti i sistemi sempre aggiornati.
Per questo motivo, in molti casi, una vulnerabilità corretta
anni prima può comunque essere utilizzata per penetrare
infrastrutture di grandi e piccole aziende che non hanno
aggiornato i loro sistemi con le più recenti patch software.
Il semplice numero di vulnerabilità svelate ogni anno è
davvero enorme: solo nel 2012 sono state scoperte oltre
5.00013 nuove possibilità per gli hacker di provocare danni
ed accedere ai sistemi. E ci sono tante altre vulnerabilità
non ancora scoperte, che vengono utilizzate attivamente dai
cyber criminali.
entrambi i dispositivi, le sessioni di online banking dei clienti
venivano completamente monitorate e manipolate da parte
degli hacker. Anche il meccanismo di autenticazione a due
fattori utilizzato dalle banche per garantire la sicurezza
delle transazioni bancarie online è stato aggirato nel corso
di questo attacco e, nei fatti, utilizzato dagli hacker per
autenticare i propri trasferimenti illeciti di denaro. Inoltre,
i trojan impiegati per attaccare i dispositivi mobili sono
stati sviluppati sia per piattaforma Blackberry che Android,
in modo da rendere possibile un ampio “mercato di
riferimento”, e in questo modo sono stati in grado di infettare
indifferentemente utenti bancari privati ed aziendali,
trasferendo illecitamente dai loro conti somme variabili
dai 500 ai 250.000 Euro ciascuno. Ulteriori informazioni
sull’attacco Eurograbber, compresa una sua descrizione
particolareggiata, sono disponibili in un white paper12
dedicato all’attacco Eurograbber sul sito web di Check Point.
Tabella 2-H
014
5672
5235
5279
5132
2012
2011
2010
2009
La tabella 2-I mostra come i prodotti più noti, utilizzati da
quasi tutte le organizzazioni a livello mondiale sono anche
i più vulnerabili – Oracle, Apple e Microsoft sono i vendor
maggiormente vulnerabili. La nostra ricerca mostra che il 75%
2012 - Principali vulnerabilità ed
esposizioni al rischio per vendor
dob
119 A
x
e
isco
119 C
BM
118 I
oog
80 G
le
HP
62 P
P
59 H
Fonte: Common Vulnerabilities and Exposures (CVE)
ire f o
150 F
sof t
Eventi di sicurezza per software vendor
Or
15 %
Ad
13 %
o
5 %N
p
5 %A
p
4 %A
acle
68 % Microsoft
i cro
222 M
e
384 Oracle
pp l
260 A
Inoltre, abbiamo scoperto come eventi di sicurezza relativi
a prodotti Microsoft siano stati riscontrati nel 68% delle
organizzazioni. Eventi di sicurezza relativi ad altri software
vendor, come Adobe ed Apple, sono stati riscontrati in
un numero decisamente minore di organizzazioni. E’
interessante notare come, sebbene Apple sia seconda nel
numero di vulnerabilità, solo una piccola percentuale
di organizzazioni abbia riscontrato nella realtà eventi di
sicurezza relativi ai loro prodotti. Gli hacker utilizzano varie
obe
ve l l
ache
ple
P
3 %H
Tabella 2-j
Tabella 2-i
degli host all’interno delle organizzazioni non stia utilizzando le
versioni più recenti del software (ad esempio: Acrobat Reader,
Flash Player, Internet Explorer, Java Runtime Environment ed
altri). Ciò significa che questi host sono esposti a una grande
varietà di vulnerabilità che possono essere sfruttate dagli hacker.
La nostra ricerca mostra anche che il 44% degli host all’interno
delle organizzazioni non dispongono dei più recenti Service Pack
di Microsoft Windows. I Service Pack solitamente includono
aggiornamenti di sicurezza per il sistema operativo, e non installare
i più recenti comporta un rischio.
tecniche, definite vettori di attacco. La tabella 2-K presenta
alcuni di questi vettori di attacco, secondo la percentuale
di organizzazioni che si è trovata a fronteggiarli. Memory
Corruption, Buffer Overflow e Denial of Service sono i più
comuni vettori di attacco riscontrati.
015
Principali vettori di attacco
or
Mem
yC
D en
uti o
E xe c
Co de
Re
15 %
2%
e Es
i vi l e g
rO
Bu f f e
th e
ti o n
nti c a
sclos
f eren
ur e
ow
o o f in
g
ce
ion
Tasso di eventi SQL Injection
numero di eventi SQL Injection
n
By p a
ss
016
Tabella 2-l
8
O
ct
‘2
4
‘1
ct
O
30
p‘
Se
6
‘1
pt
Se
‘2
pt
Se
19
Au
g‘
5
g‘
Au
Come si presenta un attacco SQL Injection? Ecco
un attacco SQL Injection in tempo reale
Il caso seguente illustra un esempio reale di una serie di
attacchi SQL Injection condotti tra luglio e ottobre 2012
presso un cliente Check Point. L’attacco è stato individuato e
bloccato da un Security Gateway di Check Point, ed il caso è
stato segnalato dal team Managed Security Service di Check
Point ThreatCloud.
Ju
ly
22
50
0
Tabella 2-k
10
00
15
00
u
1 %A
v err u
c a l at
ow
ver f l
2%
00
r
5 %P
in
ll Po
ere
t er D
n Sp
tr a t i o
vi c e 3
25
u
6 %N
o rm
Di
a ti o n
O
Sta c k
n 32%
00
nf
8 %I
ver f l
S er
ia l of
2%
20
10 %
er O
Integ
g is
ti o
o rr up
n 24%
19 %
ow 3
Fonte Check Point Software Technologies
Bu f f e
er f l
r Ov
SQL Injection è un exploit di sicurezza (CVE-2005-0537)
in cui l’hacker aggiunge codice Structured Query Language
(SQL) ad un modulo web da compilare, allo scopo di poter
accedere a risorse o effettuare modifiche ai dati archiviati.
La tabella 2-M mostra come si presenta l’attacco. Il testo
evidenziato indica i dati che l’hacker ha cercato di rendere
pubblici tramite l’attacco SQL Injection (in questo caso, user
name e password). I comandi SQL sono: select, concat e from.
L’attacco è stato condotto da 99 differenti indirizzi IP. Anche
se l’organizzazione obiettivo si trova in Europa, gli attacchi
sono stati originati da molte location differenti, come mostra
la tabella 2-M.
Un attacco SQL Injection può essere condotto manualmente
(da un hacker attraverso una tastiera) o automaticamente
(attacco scripted). In questo caso, come mostra la tabella 2-L,
il picco dell’attacco è stato un’esplosione di 4.184 tentativi
di attacco (molto probabilmente automatizzati), lanciati
nell’arco di due giorni, utilizzando lo stesso injection pattern e
derivanti da uno stesso IP di partenza.
E venti S Q L I n j ection per
paese di origine
iU
nit
i
9S
tat
36
198
i
Paes
i
Bass
130 Algeria
122
Fede
r
azio
ne R
ussa
Tabella 2-m
Fonte Check Point Software Technologies
I TOP 10
98
Ge
a
ani
rm
58 Sp
agna
53 Georgia
http:// ______________/ns/index.
php?action=com_clan&cid=185 and
1=2 union select 1,2,3,4,5,6,co
52 Ucraina
42
ncat(0x26,0x26,0x26,0x25,0x25
ania
Rom
,0x25,username,0x3a password
x25,0x25,0x25,0x26,0x26,0x26),8
37 Regno Unito
RACCOMANDAZIONI DI SICUREZZA PIù
LIVELLI DI SICUREZZA
Con minacce che diventano sempre più sofisticate, le sfide
legate alla sicurezza continuano ad aumentare. Per massimizzare
la sicurezza di rete di un’organizzazione è necessario adottare
un meccanismo di protezione multilivello per proteggersi dai
differenti vettori di minacce e falle di rete:
• Anti-virus per identificare e bloccare il malware
• Anti-bot per individuare e prevenire danni da bot
• IPS per prevenire intrusioni in modo proattivo
from jos_users--
•
•
•
Web control, URL Filtering e Application Control per
prevenire l’accesso a website che ospitano/diffondono malware
Collaborazione globale e analisi della sicurezza in tempo reale
Monitoraggio intelligente per un’analisi proattiva dei dati
Fermare l’arrivo di file malevoli
Un’organizzazione ha bisogno di una soluzione Anti-malware
che analizzi i file in ingresso nella rete e possa decidere, in
tempo reale, se sono infettati da una qualche forma di
malware. Questa soluzione dovrebbe prevenire l’infezione
del network interno, e anche impedire l’accesso a siti web
017
2012, A N N O A L L’ I N S E G N A D E L L’H AC K T I V I S M
Nel 2012, la situazione di turbolenza politica globale
partita nel 2010 con le rivolte registrate in diversi paesi
arabi, è proseguita con una serie di proteste civili in altre
nazioni. In modo non sorprendente, stiamo assistendo a
un’ondata di attacchi informatici fondati su motivazioni
ideologiche. Foxconn, fornitore Apple con sede a
Taiwan, è stato colpito da un gruppo di Hacker che si
definisce Swagg Security. Questo gruppo dichiara di
voler protestare contro i report dei media sulle difficili
condizioni di lavoro presso le fabbriche di produzione di
elettronica in Cina14. Il gruppo hacktivist Anonymous ha
dichiarato di aver condotto con successo un attacco ad
un server web del Dipartimento di Giustizia degli Stati
Uniti per l’ufficio di Statistiche sulla Giustizia, rendendo
pubblici 1,7 GB di dati rubati. Su questi dati, il gruppo ha
rilasciato la dichiarazione seguente: “Rendiamo pubblici
questi dati per porre fine alla corruzione esistente e per
rendere realmente liberi coloro che vengono oppressi.”15
Anche il Vaticano ha subito un attacco durato una
settimana da parte del gruppo Anonymous ai propri siti
infetti che tentano di eseguire drive-by download.
Protezione multilivello dai bot
La protezione dai bot si articola in due fasi: individuazione
e blocco. Per massimizzare la capacità di identificare un bot
all’interno di una rete è necessario disporre di un meccanismo
multilivello di bot discovery, che permetta di coprire tutti
gli aspetti del comportamento di un bot. Una soluzione di
sicurezza in grado di individuare i bot dovrebbe includere un
meccanismo di reputazione capace di individuare gli indirizzi
IP, URL e DNS che gli operatori remoti utilizzano per
connetterli alle botnet. E’ anche molto importante che questa
protezione preveda la capacità di identificare i pattern ed i
protocolli unici di comunicazione per ogni famiglia di botnet.
Individuare le azioni dei bot rappresenta un altro aspetto
critico per proteggersi da essi. La soluzione dovrebbe poter
identificare le attività dei bot, come l’invio di spam, l’avvio di
frodi e l’auto-propagazione.
018
web e server di posta interna. Il gruppo ha rivendicato
la sua azione giustificandola con la proprietà da parte
della radio ufficiale del Vaticano di potenti trasmettitori
collocati nella campagna attorno a Roma, che
costituiscono un potenziale rischio per la salute. Il gruppo
ha indicato come i trasmettitori abbiano probabilmente
provocato “leucemia e tumori” alle persone residenti
nelle vicinanze. Il gruppo ha ulteriormente giustificato
il suo attacco spiegando come il Vaticano abbia aiutato i
nazisti, abbia distrutto libri di grande valore storico e che
i suoi ecclesiastici abbiano molestato sessualmente dei
bambini16. Con un altro attacco informatico, Anonymous
ha bloccato i siti web di associazioni commerciali quali
U.S. Telecom Association e TechAmerica. Questi attacchi
sono stati condotti per il supporto fornito da queste
organizzazioni alla legge sulla cybersicurezza proposta
dal deputato Mike Rogers. Questa legge consentirebbe
alle aziende private ed al governo di condividere ogni
informazione “direttamente legata a una vulnerabilità o a
una minaccia” per una rete di computer17.
La seconda fase, dopo la scoperta di macchine infette, è il
blocco della comunicazione dei bot verso l’esterno, verso i
server di Command & Control. Questa fase neutralizza la
minaccia e garantisce che gli agenti bot non possano né inviare
informazioni sensibili all’esterno, né ricevere istruzioni ulteriori
per attività malevole. In questo modo, il danno potenziale
dovuto ai bot viene immediatamente mitigato. Questo
approccio consente alle organizzazioni di garantirsi continuità
operativa – gli utenti possono lavorare normalmente, senza
nemmeno notare che la comunicazione specifica dei bot viene
bloccata e l’organizzazione viene protetta senza che si abbiano
effetti sulla produttività.
Collaborazione globale in tempo reale
Il problema degli attacchi informatici è troppo importante perché
una singola azienda lo possa controllare. Le organizzazioni
hanno migliori possibilità di risolvere a loro favore questa sfida
attraverso la collaborazione e l’assistenza di esperti. Quando i
cyber criminali sfruttano malware, bot ed altre forme avanzate di
minacce, si rivolgono spesso a più siti ed organizzazioni differenti
per incrementare le possibilità di successo di un attacco. Se
le aziende combattono queste minacce in modo individuale,
molti attacchi restano non identificati perché non c’è modo di
condividere informazioni relative alle minacce. Per mantenersi in
vantaggio sulle minacce moderne, le aziende devono collaborare
e condividere i dati in loro possesso. Solamente insieme possono
rendere la sicurezza più forte ed efficace.
Intrusion Prevention
La prevenzione delle intrusioni è un livello di sicurezza
imprescindibile nella lotta contro i diversi vettori di
attacco informatico. Una soluzione IPS è necessaria per
un’approfondita analisi del traffico, allo scopo di prevenire
tentativi malevoli di superare la sicurezza e di ottenere accesso
agli asset di un’organizzazione. Una soluzione IPS adeguata
fornirà le seguenti funzionalità:
Validazione dei protocolli e identificazione delle anomalie –
identificare e prevenire traffico che non è conforme ai protocolli
standard, e può causare malfunzionamento dei dispositivi
o problemi di sicurezza. Prevenzione della trasmissione di
payload sconosciuti che possono sfruttare una vulnerabilità
specifica. Prevenzione di un’eccessiva comunicazione, che può
indicare un attacco Denial of Service (DoS).
Comprendere le minacce ed agire di
conseguenza
Una visione chiara e completa degli eventi e dei trend della
sicurezza e un’altra componente fondamentale nella lotta
contro il crimine informatico. L’amministratore deve avere una
comprensione costante dello stato di sicurezza di una rete per
essere consapevole delle minacce e degli attacchi indirizzati
alla sua organizzazione. Questa comprensione richiede una
soluzione di sicurezza che sia in grado di fornire una vista di
alto livello delle protezioni, ed evidenziare le informazioni
critiche e gli attacchi potenziali. La soluzione dovrebbe
anche consentire di condurre indagini approfondite su eventi
specifici. La capacità di agire in modo immediato sulla base
di queste informazioni è un altro elemento fondamentale,
che permette una prevenzione in tempo reale degli attacchi
o la capacità di bloccare proattivamente minacce future. La
soluzione di sicurezza deve avere una gestione flessibile ed
intuitiva, per semplificare l’analisi delle minacce e ridurre
l’impatto sull’operatività di eventuali cambiamenti.
Supporto ed aggiornamenti di sicurezza
In un ambiente in continua evoluzione quale quello delle
minacce informatiche, le difese devono evolvere di pari
passo, o in anticipo rispetto alle stesse. I prodotti di sicurezza
possono gestire in modo efficace il malware, le vulnerabilità
e gli exploit più recenti se il vendor è in grado di condurre
ricerche estese e di offrire aggiornamenti frequenti.
Un eccellente servizio di sicurezza si basa su:
• Ricerche interne da parte del vendor e dati raccolti da
fonti differenti
• Aggiornamenti di sicurezza frequenti per tutte le rilevanti
tecnologie, tra cui IPS, Anti-Virus e Anti-Bot
• Un supporto facile e comodo, in grado di rispondere a
domande e problematiche relative all’ambiente del cliente
019
03
APPLICAZIONI
ENTERPRISE
Le regole del gioco sono cambiate
Le regole del gioco sono cambiate. Le applicazioni web un
tempo erano considerate un passatempo; un modo per vedere
le foto dell’ultimo viaggio dei nostri amici o per guardare un
film divertente. Le applicazioni Web 2.0 sono oggi strumenti di
business fondamentali per l’azienda moderna. Comunichiamo
con colleghi, clienti e partner, condividiamo informazioni e
riceviamo le ultime notizie, opinioni e considerazioni. Tool
basati su Internet quali Facebook, Twitter, WebEx, LinkedIn e
YouTube, giusto per citarne alcuni, rivestono un ruolo sempre
più importante in aziende che li considerano dei veri e propri
“business enabler”.
In questa sezione della nostra ricerca, affronteremo i rischi
generali introdotti dalle applicazioni web 2.0 e la loro
infrastruttura, per focalizzarci poi su applicazioni specifiche
presenti nelle aziende intervistate. I risultati saranno
documentati con esempi e incidenti realmente accaduti.
Le applicazioni web non sono un gioco
La tecnologia evolve, così come le sfide legate alla sicurezza.
Anche gli strumenti internet introducono nuovi rischi per la
sicurezza. Diverse applicazioni web utili vengono usate per
sferrare attacchi alle aziende o per violare la sicurezza di rete.
Applicazioni quali Anonymizer, File Storage e Sharing, Peerto-Peer File Sharing, Remote Administrative Tool e Social
Media sono state utilizzate per fare breccia nelle aziende.
Esiste una miriade di piattaforme e applicazioni che potrebbe
essere usata per motivi personali o di business. Ogni azienda
deve essere a conoscenza di ciò che usano i dipendenti e a
quali scopi, e conseguentemente definire una propria policy
internet.
Nel 91% delle aziende è risultato che gli utenti utilizzano
applicazioni potenzialmente in grado di raggirare i sistemi di
sicurezza, nascondere le identità, provocare perdite dei dati o
persino introdurre malware senza che ne fossero a conoscenza.
DATI SENSIBILI CONDIVISI DA APPLICAZIONI
DI FILE SHARING P2P NEGLI STATI UNITI
Nel giugno 2012, la Federal Trade Commission (FTC)
degli Stati Uniti ha multato due aziende per avere divulgato
informazioni sensibili su reti di File-Sharing Peer-to-Peer
mettendo a rischio migliaia di consumatori. La FTC ha
sostenuto che una delle aziende, EPN Inc., specializzata
nel recupero crediti con sede a Provo, Utah, ha divulgato
informazioni sensibili, tra cui i Social Security number, i dati
di assicurazione sanitaria e i codici delle diagnosi mediche
di oltre 3.800 pazienti, ad ogni computer connesso alla
rete P2P. La FTC ha stabilito che l’altra azienda, Franklin‘s
Budget Car Sales, Inc., leader nella vendita di auto, ha
divulgato le informazioni di 95.000 consumatori sulla rete
P2P. Le informazioni comprendevano nomi, indirizzi, Social
Security Number, date di nascita e numero della patente18.
Nel 2010, la FTC ha notificato a quasi 100 aziende che
informazioni personali che includevano dati sensibili di
clienti e/o dipendenti, erano stati condivisi dalle loro reti e resi
disponibili su quelle di file sharing P2P. Qualsiasi utente di
queste reti avrebbe potuto utilizzare quei dati per commettere
un furto di identità o porre in essere attività fraudolente19.
NEL
61%
03 _ APPLICAZIONI ENTERPRISE
DELLE AZIENDE, VIENE UTILIZZATA
UN’APPLICAZIONE DI FILE SHARING P2P
11
10
la
ca st
% S op
7 %W
sL
in d ow
e
7 % iM
ox
6 %B
esh
i ve M
sh
Cl o u
d
Tabella 3-A
Ulteriori informazioni sulle principali applicazioni Anonymizer sono
disponibili nell’Appendice B
72 % APAC
ut e l
% Gn
lS e ek
62 % Americhe
S ou
19 %
55 % EMEA
ule
eM
20 %
Utilizzo di applicazioni di file sharing
P2P per regione
40 % BitTorrent
Principali applicazioni di file sharing P2P
notato un tasso molto elevato di utilizzo di applicazioni P2P,
più della metà delle aziende (61%). I tool di file sharing P2P più
diffusi sono i client di BitTorrent. Da una prospettiva regionale,
l’immagine seguente mostra come in Asia Pacifico le applicazioni
di file sharing P2P siano più popolari che in altre regioni.
Le applicazioni P2P aprono una backdoor nella
rete aziendale
Le applicazioni P2P vengono utilizzate per la condivisione di
file tra utenti. Il P2P è sempre più usato dai cyber-criminali per
diffondere il malware tra i file condivisi. Le applicazioni P2P
aprono in pratica una porta di servizio nelle reti.
Consentono agli utenti di condividere cartelle che potrebbero
fare fuoriuscire dati sensibili, e rendere le aziende responsabili per
il fatto che gli utenti acquisiscono media illegalmente. Abbiamo
Tabella 3-B
Le applicazioni Anonymizer aggirano le policy
di sicurezza aziendali
Un Anonymizer (o proxy anonimo) è uno strumento che tenta
di rendere non tracciabile l’attività degli utenti su internet. Si
avvale di un server proxy che funge da maschera di privacy tra un
computer client e il resto della rete. Accede a internet per conto
dell’utente, e nasconde le informazioni personali occultando i
dati che permettono di identificare il computer dell’utente e la
destinazione che quest’ultimo sta cercando di raggiungere. Questa
tipologia di applicazioni può essere usata per bypassare le policy di
sicurezza essenzialmente basate sulle identità degli utenti e sui siti/
URL di destinazione. Utilizzando un Anonymizer, l’utente appare
021
7
rf
p s t er
ss
My A
e
d
i
%H
a
6 %H
ma c h
i
o
7 %H
tr a s u
xy
49 % Americhe
l
8 %U
I-Pro
23 % Tor
CG
13 %
40 % EMEA
Le più note applicazioni Anonymizer
Utilizzo di applicazioni
Anonymizer per regione
35 % APAC
su un indirizzo IP differente e sembra che stia provando ad accedere
a destinazioni diverse, di conseguenza le policy di sicurezza non
possono essere applicate per quell’utente con l’indirizzo IP e di
destinazione alterati. In alcuni casi, gli Anonymizer possono essere
utilizzati per nascondere attività criminali.
Guardando alle aziende oggetto della nostra ricerca, il 43%
ha utilizzato almeno un’applicazione Anonymizer tramite un
dipendente, con Tor che è risultata la più diffusa. L’86% delle
aziende in cui si è scoperto l’utilizzo di Anonymizer ha dichiarato
che si è trattato di un utilizzo non autorizzato, in conflitto con le
linee guida e le policy di sicurezza.
Se guardiamo all’utilizzo della applicazioni Anonymizer per
regione, vediamo come siano più popolari nelle Americhe e meno
in Asia Pacifico.
Tabella 3-D
Come funziona l’Anonymizer Ultrasurf?
Ultrasurf è un anonymizer molto sofisticato che funziona
come client proxy, creando un tunnel HTTP crittografato
tra il computer dell’utente e un pool centrale di server proxy,
consentendo agli utenti di oltrepassare firewall e limitazioni.
Ultrasurf ha un design molto resiliente per l’individuazione di
server proxy, compreso un cache file degli IP dei server proxy,
le richieste DNS - che rimandano gli IP codificati dei server
proxy - documenti cifrati su Google Docs e una lista codificata
di IP di server proxy integrata. Tutto ciò contribuisce a rendere
ancora più difficoltosa la loro identificazione da parte dei
dispositivi di sicurezza.
Ultrasurf
Proxy
Web
Server
Tabella 3-C
Ulteriori informazioni sulle principali applicazioni Anonymizer sono
Internet
Ultrasurf
si collega a uno
dei suoi Proxy
Server
Ultrasurf
Client
022
NEL
43%
DELLE AZIENDE,
VENGONO UTILIZZATI ANONYMIZER
L‘ANONYMIZER TOR COMPROMETTE
LA SICUREZZA
o
4 %B
b
3 %G
C
52 % TeamViewer
VN
17 %
43 % LogMeIn
Tool di amministrazione remota usati per
attacchi malevoli
I RAT (Remote Administration Tool) potrebbero essere
strumenti legittimi se utilizzati dall’help desk e dagli
amministratori di rete. Tuttavia, numerosi attacchi in tempi
recenti hanno sfruttato un RAT per controllare da remoto le
macchine infette, infiltrarsi nelle rete, o rubare informazioni
confidenziali. Dato che i RAT sono in genere applicazioni
aziendali fondamentali, non dovrebbero essere bloccati
in modo generico, tuttavia il loro utilizzo dovrebbe essere
monitorato e controllato per prevenire usi impropri.
Guardando alle aziende oggetto della nostra ricerca, l’81% ha
utilizzato almeno un’applicazione di amministrazione remota,
con Microsoft RDP che è risultata la più diffusa.
Principali applicazioni di
amministrazione remota
mg ar
ri d g e
Tabella 3-F
58 % MS-RDP
L’81% DELLE AZIENDE
USA TOOL DI
AMMINISTRAZIONE REMOTA
l’anonimato durante la navigazione. Nonostante sia
ampiamente supportato e goda di grande popolarità, se usato
in azienda può creare numerose sfide legate alla sicurezza.
Tor può essere facilmente utilizzato per aggirare le policy di
sicurezza dato che è stato creato specificamente per garantire
l’anonimato agli utenti. Quando si utilizza Tor per accedere
alla risorse su internet, le richieste inviate dal computer di
un utente vengono indirizzate casualmente attraverso una
serie di nodi gestiti volontariamente da altri utenti Tor.
Recenti ricerche sulla sicurezza hanno identificato una botnet
controllata da cyber criminali su un server IRC (Internet
Relay Chat) che opera da servizio nascosto all’interno della
rete Tor. Le connessioni tra gli utenti e i nodi di Tor hanno
diversi livelli di codifica, rendendo molto complicato per
i sistemi di sorveglianza che operano a livello di rete locale
o ISP il compito di determinare la destinazione desiderata
di un utente20. L’obiettivo principale della rete Tor (nota
anche come Onion Router) è in pratica quello di garantire
Ulteriori informazioni sulle principali applicazioni di file storage e sharing sono
023
Attacco hacker tramite i tool
di accesso remoto
Dal luglio al settembre 2011 è stata sferrata una campagna
di attacchi denominata “Nitro”. Per l’occasione è stato
usato un RAT pronto all’uso chiamato Poison Ivy per
svelare i segreti di oltre 50 aziende, molte delle quali
operanti nel settore chimico e della difesa. Poison Ivy
è stato installato nei PC Windows di utenti vittime
di scam attuate via e-mail. Le e-mail sollecitavano
richieste di incontri da parte di insospettabili partner
dell’azienda o, in alcuni casi, aggiornamenti di software
antivirus o Adobe Flash Player. Quando gli utenti
aprivano l’allegato, installavano inconsapevolmente
Poison Ivy sulle loro macchine. A partire da quel
Non sempre è giusto condividere
La condivisione è un termine positivo, spesso associato
all’attenzione per il prossimo. Il discorso cambia quando si
condividono contenuti utilizzando applicazioni di File Storage
e File Sharing sul posto di lavoro. Una delle caratteristiche
Principali applicazioni file storage e sharing
i
9 %M
c
ocke
c
r
t Sk
ro s o f
v
yDri
e
10
tL
% Pu
dIt
69 % Dropbox
13 %
rs yn
Su g a
uS en
51 % Windows Live Office
Yo
22 %
Tabella 3-G
Ulteriori informazioni sulle principali applicazioni di file storage e sharing sono
024
momento gli hacker sono stati in grado di inviare
istruzioni ai computer compromessi, violare password
più complesse per ottenere accesso ai server che
contenevano informazioni sensibili e infine scaricare
il contenuto rubato in sistemi da loro controllati. 29
delle 48 aziende attaccate con successo operavano nel
commercio di sostanze chimiche e di materiali avanzati
- alcune di queste legate ai veicoli militari – mentre le
altre 19 erano attive in altri settori, tra cui la difesa21.
Nitro non è il solo esempio di uso improprio di RAT, altri
esempi sono l’attacco a RSA, ShadyRAT e Operation
Aurora. In tutti questi casi è stato utilizzato Poison Ivy.
L’80% DELLE ORGANIZZAZIONI
FA USO DI APPLICAZIONI DI
FILE STORAGE E SHARING
principali del Web 2.0 è la capacità di generare contenuti
e condividerli, ma questo comporta anche dei rischi.
Informazioni sensibili possono finire nelle mani sbagliate
a causa della condivisione dei file. La nostra ricerca include
applicazioni di File Storage e Sharing che possono causare
perdite di dati o infezioni da malware senza che gli utenti se ne
accorgano. Il nostro studio mostra come l’80% delle aziende
abbia almeno un’applicazione di file storage o di sharing sulla
propria rete. Abbiamo scoperto che il 69% degli eventi accade
come conseguenza dell’utilizzo di Dropbox. Windows Live
Office è al secondo posto con il 51%.
Utilizzo di applicazioni ad alto rischio per
settore di mercato
Check Point ha analizzato l’utilizzo di applicazioni ad alto
rischio dal punto di vista dei diversi settori di mercato. La
figura 3-E indica che le aziende nel settore industriale e della
pubblica amministrazione sono tra quelle che utilizzano
maggiormente applicazioni ad alto rischio. Ci sono casi in
cui l’uso di alcune di queste applicazioni potrebbe essere
legittimo, è il caso dell’utilizzo dei RAT da parte dell’help
desk, per cui la barra orizzontale nell’immagine indica il
livello di probabilità di un uso legittimo in azienda.
P ercentuale di
< Re
organizzazioni che
l eva
n ce
fanno uso di applicazioni
usi
nes
sU
sag
e
dm
in
ad alto rischio, per
To B
m
ot
eA
settore di mercato
Sh
ar
in
g
Re
ea
nd
Industria
Fi
le
Sh
Fi
Telco
ar
le
in
g
St
or
ag
Pubblica Amministrazione
ize
r
P2
P
Finance
48%
38%
42%
44%
44%
29%
An
on
ym
Consulenza
55
59
%
%
63% %
62
%
82 %
82
84
81
71%
70%
71%
%
82
%
81
%
%
76%
Tabella 3-E
025
DUE SIGNIFICATIVI INCIDENTI DI
SICUREZZA CON DROPBOX IN DUE ANNI
Nel luglio 2012 è stato sferrato un attacco agli utenti di
Dropbox. User name e password divulgati su un altro
sito web sono state provate sugli account Dropbox. Gli
hacker hanno usato una password rubata per effettuare
il login a un account di un dipendente di Dropbox
che conteneva un documento con gli indirizzi email degli utenti. I criminali hanno utilizzato questi
indirizzi per inviare spam22. L’incidente illustra una
tattica frequente utilizzata dagli hacker. Essi rubano
spesso user e password da siti che, a un primo sguardo,
sembrano non contenere informazioni personali o
finanziarie. In seguito provano queste credenziali su
Utilizzo dell’ampiezza di banda da parte dei
principali social network
Uso medio calcolato per applicazioni
di social network
L in
12 %
i t t er
ke dIn
Tabella 3-H
Tw
13 %
59 % Facebook
Post di Facebook o virus?
In seguito alla crescente popolarità dei social network, sono sempre
più numerose le sfide che le aziende devono affrontare. Postare
inavvertitamente sulle applicazioni social informazioni relative a
progetti riservati potrebbe nuocere alla reputazione di un’azienda,
portare svantaggi nei confronti della concorrenza e causare perdite
economiche. I cyber criminali stanno sfruttando nuove tecniche
di “hackeraggio” di tipo social per dare vita ad attività botnet. I
video e i link sulle pagine dei social network sono mezzi sempre
più sfruttati dagli hacker per diffondere malware. Oltre ai rischi
per la sicurezza, le applicazioni di social networking creano un serio
problema di consumo della larghezza di banda della rete. Facebook
è senza dubbio uno dei social network con più accessi. Altri social
network visitati durante la giornata lavorativa (sensibilmente meno
di Facebook) sono Twitter e LinkedIn.
siti Web di banche, account di brokeraggio e account
Dropbox dove è più probabile trovare informazioni
più lucrative. Nel 2011, un bug nell’aggiornamento
del software di Dropbox ha reso possibile effettuare il
login a qualsiasi account di Dropbox semplicemente
conoscendo l’indirizzo e-mail dell’utente. Questo
bug ha lasciato esposti i documenti e le informazioni
condivise. Il problema è stato risolto in qualche
ora, ma è servito come monito sia per gli utenti che
per le aziende i cui dipendenti usano servizi di file
sharing e storage, quali Dropbox e Google Docs,
per conservare informazioni aziendali riservate23.
Un link di Facebook che porta a un sito infetto:
Attacchi di Social Engineering – una case study
Attacchi recenti indicano che gli hacker stanno passando dall’uso
026
di e-mail a quello dei social network come canale di distribuzione.
Il caso seguente si basa su un attacco reale verificatosi nell’agosto
2012. Gli hacker hanno usato una tecnica di social engineering su
Twitter e Facebook per distribuire contenuto infetto. Utilizzando
un account Twitter compromesso, l’hacker ha inviato messaggi
diretti ai follower del profilo violato. Il messaggio era il seguente:
CONSIGLI PER UN UTILIZZO SICURO DELLE
APPLICAZIONI WEB SULLA RETE
Come si attua un’efficace protezione Web 2.0?
“exactly what were you doing inside this film [Facebook-URL]…
wow disturbing”.
L’URL indirizza a un’app di Facebook che richiede il login
su Twitter. La schermata di login è in realtà un web server
Il primo step per proteggere l’utilizzo delle applicazioni web
in azienda è quello di adottare una soluzione di sicurezza
che garantisca controllo e applicazione su tutti gli aspetti
dell’utilizzo del web. È necessaria la completa visibilità su tutte
le applicazioni in funzione nell’ambiente, insieme alla capacità
di controllarne l’utilizzo.
Questo livello di controllo deve essere assicurato sulle
applicazioni client (come Skype), ma anche in caso di usi più
tradizionali come le URL dei siti web. Dato che molti siti (quali
Facebook) consentono l’esecuzione di numerose applicazioni
basate sul loro URL, è fondamentale avere una granularità che
vada oltre il livello dell’URL - per esempio la chat o i giochi
di Facebook. Una volta che questo viene garantito, le aziende
dovrebbero essere in grado di bloccare le applicazioni che
potrebbero mettere in pericolo la sicurezza.
Consentire l’uso dei Social Media per le attività di
gestito dall’hacker che viene utilizzato per ottenere le
credenziali su Twitter del destinatario.
Usando le credenziali di Twitter, l’hacker può utilizzare
lo stesso processo per ottenere ancora più password e
usarle con altri servizi quali Gmail, Facebook ecc. Ma,
peggio ancora, per effettuare il login sui conti online o
persino su servizi aziendali quali SalesForce e altri. Dopo
che il messaggio infetto è stato re-distribuito (ma questa
volta a tutti i follower del povero utente), l’unica cosa da
fare in questa situazione è stato postare le proprie scuse.
business
Ci sono casi in cui le aziende decidono di bloccare del tutto
Facebook, anche se per molte di esse rappresenta anche uno
strumento di business fondamentale. Le aziende vi pubblicano
spesso informazioni sui prossimi webinar ed eventi o sulle
ultime release e prodotti, oppure link a video e articoli
interessanti. Come si può consentire l’uso dei social media
in azienda senza compromettere la sicurezza di quest’ultima?
Controllando le feature e i widget della applicazioni e delle
piattaforme. Consentire l’uso di Facebook e bloccare le
parti di esso meno rilevanti per le attività di business rende
027
possibile l’utilizzo dei social media riducendo al minimo i
rischi per la sicurezza che questi comportano.
Utenti differenti hanno esigenze differenti
Utenti differenti in azienda hanno esigenze diverse, e la policy
di security dovrebbe supportare le attività di business, non
interferire con esse. Per esempio, un commerciale potrebbe
usare Facebook per restare in contatto con clienti e partner,
mentre un membro dell’IT potrebbe usarlo per aggiornarsi sulle
novità di settore. In che modo è quindi possibile assicurarsi che
gli utenti ottengano l’accesso di cui hanno bisogno? Ha senso
prevedere che il security manager conosca il livello di accesso da
concedere a ogni utente e a ogni gruppo?
Una soluzione pratica deve consentire una consapevolezza
granulare a livello di utente, gruppo e macchina per fare una
distinzione in modo semplice tra dipendenti e altri utenti (per
esempio guest e contractor). Un altro aspetto importante è la
capacità di istruire e coinvolgere gli utenti finali in tempo reale
quando utilizzano le applicazioni. Quando un utente visita un
sito o lancia un’applicazione sospetti, un messaggio pop up può
richiedere all’utente di giustificare l’esigenza di business dietro
a questa decisione, la sua risposta è registrata e monitorata,
mentre il messaggio può istruire l’utente sulla policy aziendali
e renderlo edotto del fatto che l’utilizzo di determinate
applicazioni è sottoposto a verifiche.
‘Conoscere’ è una componente critica del controllo sul
web
Gli amministratori devono avere una visibilità globale sugli
eventi di sicurezza nel web per assicurarne il controllo. È
necessaria una soluzione che possa garantire un’ampia visibilità
028
RENDERE SICURO IL WEB 2.0
RICHIEDE UN APPROCCIO INTEGRATO DI
URL FILTERING, APPLICATION CONTROL,
CONSAPEVOLEZZA ED EDUCAZIONE
DEGLI UTENTI, OLTRE ALLA POSSIBILITà
CHE L’AMMINISTRATORE ABBIA SEMPRE
IL CONTROLLO DEL WEB.
sugli eventi di Web Security. La soluzione dovrebbe garantire
funzionalità di visibilità e monitoraggio quali per esempio
una timeline di eventi e una lista esauriente di questi eventi
che possano essere filtrati, raggruppati e selezionati per utente,
applicazione, categoria, livello di rischio, consumo di banda,
tempo ecc. È importante anche essere in grado di generare
report offline per mostrare le principali categorie, applicazioni,
siti e utenti per il trend e capacity planning.
Conclusioni
Le regole del gioco sono cambiate. Proteggere il Web 2.0
non è più semplice come bloccare una URL sospetta. Non
è più sufficiente bloccare l’esecuzione di un’applicazione.
La protezione del Web 2.0 richiede un approccio integrato
di protezione multi-livello: URL filtering, controllo delle
applicazioni, protezione da malware e bot – integrando user
awareness, istruzione dell’utente, tool sofisticati di monitoraggio
e analisi dell’evento per consentire agli amministratori di tenere
tutto sotto controllo in ogni momento.
04
CASI DI PERDITA DI DATI
ALL‘INTERNO DELLA RETE
Dati aziendali: il bene più prezioso di
un’organizzazione
I dati aziendali sono oggi più accessibili e portatili che mai,
e la maggior parte di essi è da considerarsi, a diverso titolo,
sensibile. Alcuni sono confidenziali semplicemente perché
includono informazioni aziendali interne che non devono essere
rese pubblicamente disponibili. Altri possono essere definiti
sensibili sulla base di indicazioni aziendali, leggi nazionali e
regolamentazioni internazionali. Ma in molti casi il valore
dei dati dipende dalla loro confidenzialità – basti pensare alla
proprietà intellettuale e alle informazioni legate alla concorrenza.
A rendere la questione ancora più complessa, assieme alla gravità
del fenomeno della perdita dei dati, vi sono oggi strumenti e
pratiche che rendono ancora più probabili errori irreversibili:
server cloud, Google docs, ma anche il semplice abuso involontario
di procedure aziendali – come ad esempio nel caso in cui un
dipendente porta il lavoro a casa. Effettivamente, la maggior
parte dei casi di perdita di dati avviene per cause non volontarie.
il
Perdere i dati può succedere a tutti
La perdita di dati può avvenire non sono per opera di un criminale
informatico, ma anche involontariamente, causata dai dipendenti.
Un documento confidenziale potrebbe essere inviato per errore alla
persona sbagliata, materiale sensibile condiviso su un sito pubblico o
un file di lavoro inviato a un account email privato non autorizzato.
Si tratta di scenari che possono inavvertitamente accadere ad
ognuno di noi, con risultati potenzialmente devastanti. La perdita
di dati sensibili può portare a un danno d’immagine, a violazioni di
conformità, a perdita di profitti e persino a multe salate.
La nostra ricerca
Quando un’organizzazione intende definire quali dati non
dovrebbero essere inviati all’esterno dell’organizzazione, deve
considerare una serie di variabili diverse. Di che tipo di dati si
tratta? Chi li possiede? Chi li invia? Chi dovrebbe riceverli?
Quando dovrebbero essere inviati? Che costi si hanno se i processi
di business vengono interrotti a causa di policy di sicurezza più
54%
D E L L E O R G A N I Z Z A Z I O N I CO I N V O LT E N E L L A
R I C E R C A H A R I S CO N T R ATO A L M E N O U N
P OT E N Z I A L E I N C I D E N T E D I P E R D I TA D E I DAT I
O O P S… H O M A N DATO L’E M A I L
A L L’ I N D I R I Z ZO S B AG L I ATO
A ottobre 2012, il comune di Stoke-on Trent nel Regno
Unito è stato multato 120.000 sterline dopo che un responsabile
del dipartimento legale ha inviato email contenenti informazioni
sensibili all’indirizzo sbagliato. Undici email destinate a un legale
che stava curando un caso sono state inviate a un altro indirizzo
email a causa di un errore di digitazione.
Il quotidiano giapponese Yomiuri Shimbun ha licenziato
uno dei suoi reporter a ottobre 2012 per aver inviato per
errore alle persone sbagliate informazioni sensibili legate ad
un’indagine. Il reporter intendeva inviare alcuni risultati della
sua ricerca ai colleghi via email, ma ha mandato i messaggi a
differenti testate, rivelando così l’identità delle sue fonti24.
rigide del necessario? Nella ricerca abbiamo analizzato traffico
inviato dall’interno verso l’esterno delle organizzazioni. Abbiamo
esaminato sia il traffico HTTP che quello SMTP. Ad esempio, nel
caso di email inviate a un destinatario esterno, un dispositivo Check
Point ha analizzato il corpo dell’email, i destinatari e gli allegati
(anche quelli compressi). Sono state inoltre analizzate le attività di
navigazione nel web, come i post online e la web mail. Come policy
di sicurezza su questi dispositivi, abbiamo configurato “chiavi
in mano” una serie modelli di dati prestabiliti per rilevare dati
sensibili, modelli e schemi (come numeri di carte di credito, codici
sorgenti, dati finanziari e altro ancora) che potrebbero indicare una
fuga potenziale di dati giungendo nelle mani sbagliate. Una lista
dettagliata di tipi di dati è disponibile nell’Appendice D.
Perdita potenziale di dati in azienda
La ricerca ha rilevato che il 54% delle organizzazioni ha riscontrato
almeno un evento che potrebbe indicare una potenziale perdita
dei dati in un periodo medio di 6 giorni. Sono stati considerati
eventi che includono informazioni interne (si veda la lista dei
Ad aprile 2012, il Virginia Military Institute di
Lexington ha inviato inavvertitamente i risultati scolastici
degli studenti attraverso un allegato email. Un’email è stata
inviata ad un responsabile di classe con un file allegato che
rivelava la media dei voti di ogni studente senior. Senza
aver notato l’allegato, il responsabile ha a sua volta inviato
il messaggio ad altri 258 studenti. L’intenzione originale
era di inviare un unico file con nomi e recapiti in modo
da consentire agli studenti di confermare i loro indirizzi
postali25.
La Texas A&M University ha inviato accidentalmente
un’email con un allegato contenente 4.000 numeri di
previdenza sociale, nomi e indirizzi di ex studenti a un
individuo che successivamente ha notificato l’errore
all’università. L’incidente è avvenuto ad Aprile 201226.
Percentuale di organizzazioni che hanno
registrato almeno un evento di perdita
potenziale di dati, per settore
e
a
b b l i c i s tr a z i o n
u
P
n
7 0 % A mm i
Ecco alcuni esempi di casi di perdita dei dati causati in
maniera involontaria dai dipendenti nel corso del 2012:
Fin
61 %
Ind
50 %
Tel
45 %
33
n
% Co
s u l en
u s tr i
anc e
a
co
za
Alt
54 %
ro
Tabella 4-Aׁ
031
04 _ INCIDENTI DI DATA LOSS IN RETE
NEL 28% DELLE
ORGANIZZAZIONI
è STATA TROVATA
UN’EMAIL INTERNA
INVIATA A UN
DESTINATARIO
ESTERNO
Email interne inviate all’esterno
dell’organizzazione
In molti casi, la perdita dei dati accade involontariamente, con un
dipendente che manda un’email al destinatario sbagliato. Nella
ricerca abbiamo considerato due differenti tipologie di messaggi
email che potrebbero indicare tali casi. Il primo tipo consiste in
email inviate con destinatari interni visibili (A e CC) e destinatari
esterni in CCN. Tali email, nella maggior parte dei casi, appaiono
come interne ma vengono inviate in realtà al di fuori dell’azienda.
Il secondo tipo consiste in email inviate a numerosi destinatari
interni e a un singolo esterno. Tali email sono solitamente inviate
involontariamente a un destinatario esterno errato. Uno o entrambi
questi tipi di casi sono stati registrati nel 28% delle organizzazioni
prese in esame.
Qual è la tipologia di dati che i dipendenti inviano
a destinatari esterni o pubblicano online?
La tabella 4-C mostra i principali tipi di dati che vengono inviati
a soggetti esterni all’organizzazione. Le informazioni relative alle
carte di credito sono in cima alla lista, seguite dal codice sorgente
e da file protetti da password.
L’azienda è conforme allo standard PCI?
I dipendenti inviano numeri di carte di credito, i propri e quelli
dei clienti, attraverso Internet. Inviano le ricevute di pagamento
032
dei clienti, che contengono numeri di una carta di credito in un
allegato email. Rispondono a messaggi email dei clienti contenenti
originariamente il numero di carta di credito nel corpo email.
A volte, i dipendenti inviano persino file con i dati del cliente a
destinatari email privati o a un partner aziendale. Spesso, i casi
che interessano numeri di carta di credito sono il risultato di un
processo aziendale incompleto o di mancanza di attenzione e
consapevolezza da parte del dipendente. Tali incidenti possono
anche indicare che le policy di sicurezza aziendale non rispondono
all’obiettivo di promuovere un utilizzo sicuro e attento delle
risorse. Inoltre, inviare i numeri di carta di credito via internet
non è conforme ai requisiti PCI DSS 4, che impongono che i
dati dell’intestatario della carta vengano crittografati durante la
trasmissione attraverso reti pubbliche aperte. Non essere conformi
allo standard PCI DSS può avere conseguenze in termini di
reputazione, cause, richieste assicurative, rimozione di account,
problemi nei pagamenti via carta di credito e multe governative.
Nella ricerca è stato analizzato il traffico in uscita dalle
organizzazioni e preso in esame il contenuto di tutte le parti del
messaggio, inclusi allegati e archivi, la ricerca di email contenenti
numeri di carta di credito e dati sull’intestatario. Le valutazioni si
basano su abitudini di utilizzo, validazione di codici di controllo, e
normative di conformità PCI DSS. La nostra ricerca mostra come
nel 29% delle organizzazioni sia stato riscontrato nel periodo preso
Percentuale di organizzazioni in cui sono state
inviate informazioni sulla carta di credito a fonti
esterne, per settore
ione
l ica
Pubbministraz
%
4 7 Am
tipi di dati nell’Appendice D) che erano state inviate a risorse
esterne, attraverso la spedizione ad un destinatario email esterno
o la loro pubblicazione online. La nostra ricerca indica come
le organizzazioni governative e finanziarie registrino il più alto
rischio di perdita potenziale dei dati (si veda la tabella 4-A).
Fin
36 %
Ind
26 %
Tel
18 %
11
n
% Co
Tabella 4-B
co
s u l en
za
Alt
26 %
ro
u s tr i
a
anc e
nel
36%
D E L L E O R G A N I Z Z A Z I O N I F I N A N Z I A R I E,
I N F O R M A Z I O N I R E L AT I V E A C A R T E D I
C R E D I TO S O N O S TAT E I N V I AT E a L L’E S T E R N O
Dati inviati all’ esterno
dell’organizzazione dai
dipendenti
rd
ri
21%
i co
ri d
Nu
me
Alt
ro
nti
ba
n ca
tri
fi
ri
nan
z ia
Tabella 4-C
ri
a la
g is
i re
i on
or
ma
z
In
ir
rt
3%
2
9%
a
rm
o
f
n
z io
i ve
t
a
el
a
ac
cr
In
f
C
i
%
%
24
ic
od
i
ed
to
as
i
nt
ge
s or
i
ed
Re
a
ti d
wo
6%
p
et
ro t
s
pa s
n
ia l i
l at
i ve
14
ile
%F
nat
e co
13
7
l
mai
E
%
eg
r a ss
t
n
co
m
e co
nz
fide
in esame almeno un caso di invio all’esterno dell’organizzazione di
informazioni interessate dallo standard PCI. Abbiamo rilevato che
nel 36% delle organizzazioni finanziarie, solitamente obbligate a
essere conformi alle normative PCI, si è verificato almeno un
evento legato allo standard PCI.
HIPAA
La normativa sulla privacy HIPAA fornisce protezione federale per
le informazioni sullo stato di salute personale e offre ai pazienti una
serie di diritti su tali informazioni. Allo stesso tempo, la normativa
sulla Privacy è regolata in modo da permettere la divulgazione
di informazioni sanitarie personali e altri scopi importanti.27 La
HIPAA Privacy Rule consente ai fornitori di assistenza sanitaria
di utilizzare email per discutere problemi sanitari con i loro
pazienti, a patto di applicare le dovute precauzioni. La crittografia
non è obbligatoria; tuttavia dovrebbero essere garantite altre
tutele per proteggere adeguatamente la privacy. In che modo si
mantengono i canali di comunicazione email aperti con i pazienti
e i partner salvaguardando al contempo la privacy e mantenendo
le organizzazioni conformi agli standard HIPAA? Nella nostra
ricerca, abbiamo monitorato il traffico in uscita dalle organizzazioni
analizzando ogni parte dei messaggi e gli allegati, cercando email
contenenti informazioni private sui pazienti e identificando
informazioni personali (come numero di previdenza sociale) e
la relativa terminologia medica (CPT, ICD-9, LOINC, DME,
NDC, ecc.). Abbiamo scoperto che nel 16% delle organizzazioni
del settore sanitario e assicurativo, informazioni sanitarie soggette
alla protezione dallo standard HIPAA Information sono state
inviate all’esterno dell’organizzazione, a un destinatario email
esterno oppure pubblicate online.
RACCOMANDAZIONI DI SICUREZZA
Nel mondo odierno, caratterizzato da casi sempre più frequenti di
perdita di dati, le organizzazioni non possono fare altro che cercare
di proteggere i loro dati sensibili. La migliore soluzione per prevenire
la fuga involontaria di dati è implementare una policy aziendale
automatizzata in grado di rilevare i dati protetti prima che questi
vadano al di fuori dell’organizzazione. Una soluzione di questo tipo è
nota come Data Loss Prevention (DLP). I prodotti DLP in grado di
analizzare il contenuto sono dotati di un ampio set di funzionalità, e le
organizzazionidispongonocosìdinumeroseopzioniperintraprendere
un’implementazione di questo tipo. Prima di adottare una soluzione
DLP, le aziende hanno bisogno di sviluppare strategie DLP chiare
con un’indicazione precisa dei requisiti, quali le informazioni
che si considerano confidenziali, chi le può inviare, e così via.
Motore di classificazione dati
L’elevata precisione nell’identificazione di dati sensibili è un
elemento critico di una soluzione DLP. La soluzione DLP
deve essere in grado di rilevare informazioni che consentono
un’identificazione personale, dati relativi alla conformità (HIPAA,
SOX, dati PCI, ecc.), e dati di business confidenziali. Dovrebbe
16%
NEL
D E L L E O R G A N I Z Z A Z I O N I S A N I TA R I E E
A S S I C U R AT I V E, I N F O R M A Z I O N I S A N I TA R I E
S O G G E T T E A P R OT E Z I O N E H I PA A
S O N O S TAT E I N V I AT E A L L’E S T E R N O
D E L L’O R G A N I Z Z A Z I O N E
analizzare i flussi di contenuti e abilitare policy sui protocolli TCP
più diffusi, inclusi SMTP, FTP, HTTP, HTTPS e webmail. La
soluzione DLP dovrebbe inoltre essere in grado di condurre analisi
per corrispondenza di modelli e classificazione dei file in modo da
identificare tipi di contenuti indipendentemente dall’estensione
applicata al file o dalla compressione. Inoltre, la soluzione DLP
deve essere in grado di riconoscere e proteggere modelli, basati su
schemi predefiniti e corrispondenza file/modello. Caratteristica
importante di una soluzione DLP è la capacità di creare tipologie
personalizzate di dati in grado di garantire la massima flessibilità, oltre
alle tipologie di dati pronti all’uso che vengono forniti dai vendor.
Abilitare gli utenti a rimediare agli incidenti
Le soluzioni DLP tradizionali possono rilevare, classificare e
persino riconoscere documenti specifici e vari tipi di file, ma
non possono rilevare l’intenzione dell’utente che sta dietro la
condivisione di informazioni sensibili. La tecnologia da sola non
è sufficiente, perché non può identificare questa intenzione, e
rispondere di conseguenza. Per questo, una buona soluzione DLP
deve coinvolgere gli utenti in modo da ottenere risultati ottimali.
Una modalità possibile è mettere gli utenti nelle condizioni di
poter rimediare agli incidenti in tempo reale – la soluzione DLP
dovrebbe informare l’utente che la sua azione potrebbe risultare in
un potenziale caso di perdita di dati, e dare la possibilità all’utente di
decidere se annullare il messaggio o mandarlo comunque. Questo
migliora la sicurezza attraverso una maggiore consapevolezza delle
policy di utilizzo dei dati, avvisando gli utenti di errori potenziali
e consentendo loro di rimediare immediatamente, permettendo
al contempo una rapida autorizzazione nel caso di comunicazioni
legittime. Questo approccio rende inoltre più semplice la gestione.
Mentre l’amministratore può tenere traccia di eventi DLP per
un’analisi, non vi è necessità di rispondere in tempo reale a ogni
richiesta di invio dati all’esterno dell’azienda.
Protezione contro violazioni interne dei dati
Un’altra importante funzionalità DLP è la possibilità di controllare
non solo che i dati sensibili non vadano all’esterno dell’azienda,
ma anche di analizzare e controllare il traffico di email sensibili tra
i vari dipartimenti. Possono essere definite policy per evitare che
dati confidenziali raggiungano i dipartimenti sbagliati. Esempi
di dati che potrebbero avere bisogno di una protezione dalla
trasmissione accidentale ad altri dipartimenti sono piani salariali,
documenti confidenziali sulle risorse umane, documentazione
relativa a fusioni e acquisizioni, o moduli sanitari.
Protezione dei dati per gli hard disk degli endpoint
Le aziende devono proteggere i dati presenti sui loro laptop
come parte di una policy di sicurezza estesa. Se questi dati
non sono protetti, elementi esterni possono avere accesso a
informazioni importanti tramite laptop smarriti o persi, e questo
può avere ripercussioni di tipo legale e finanziario. Una soluzione
adeguata dovrebbe prevenire l’accesso di utenti non autorizzati a
informazioni tramite una cifratura dei dati sugli hard disk di tutti
gli endpoint, inclusi dati degli utenti, file dei sistemi operativi e file
temporanei o cancellati.
Protezione dei dati per i supporti rimovibili
Per evitare che dati aziendali finiscano in mani sbagliate attraverso
dispositivi storage USB e altri supporti rimovibili, è necessario
implementare anche per questi dispositivi una cifratura e una
prevenzione degli accessi non autorizzati. Spesso, i dipendenti
mescolano file personali quali musica, immagini, e documenti, e
file di lavoro quali documenti finanziari o delle risorse umane, su
supporti portatili rendendo ancora più arduo mantenere il controllo
sui dati aziendali. Attraverso una crittografia dei dispositivi storage
rimovibili, le violazioni di sicurezza possono essere minimizzate
anche nel caso in cui i dispositivi vengano compromessi.
Protezione dei documenti
I documenti aziendali vengono caricati sul web da applicazioni
file-storage, inviati a smartphone personali, copiati su dispositivi
multimediali rimovibili e condivisi esternamente con i partner
aziendali su base regolare. Ognuna di queste operazioni mette i dati
sensibili a rischio di essere smarriti o utilizzati in maniera impropria,
o che persone non autorizzate vi accedano. Per mantenere i
documenti aziendali protetti e al sicuro, una soluzione di sicurezza
deve essere in grado di abilitare una policy di crittografia documenti
e concedere l’accesso solo agli individui autorizzati.
Event Management
Definire le regole DLP per rispondere alle policy di utilizzo dei
dati dell’organizzazione dovrebbe andare di pari passo con capacità
adeguate di monitoraggio e reporting. Per minimizzare i risultati
di una potenziale perdita di dati in un’organizzazione, la soluzione
di sicurezza deve includere monitoraggio e analisi di eventi DLP in
tempo reale e storici. Questo offre agli amministratori di sicurezza
una chiara ed estesa visibilità delle informazioni che vengono
inviate all’esterno e delle rispettive fonti, oltre alla capacità di agire
in tempo reale in caso di necessità.
035
05
CONCLUSIONI E STRATEGIE
DI SICUREZZA
CONCLUDEREMO IL REPORT CON
UN’ALTRA CITAZIONE DI SUN ZI PRESA
DALLA SUA “ARTE DELLA GUERRA”. ECCO
UN CONSIGLIO PER UN GENERALE:
sicurezza deve evolvere da una raccolta di tecnologie e prassi
distinte per diventare un processo aziendale efficace. Check
Point raccomanda che le aziende considerino tre fattori
nell’implementazione di una strategia e di una soluzione di
sicurezza: le policy, le persone e l’esecuzione.
„RADUNATO UN ESERCITO E
CONCENTRATE LE FORZE, IL
COMANDANTE NE DEVE FONDERE ED
ARMONIZZARE GLI ELEMENTI PRIMA
DI INIZIARE LE OPERAZIONI.” 28
Policy
La sicurezza comincia con una policy ben definita e conosciuta
in tutta l’azienda – strettamente legata alle esigenze aziendali
piuttosto che ad un gruppo di tecnologie eterogenee e di
controlli a livello di sistema. Le policy dovrebbero tenere conto
del fatto che la priorità è l’azienda, oltre a suggerire modalità
sicure di conduzione delle attività di business, come parte della
policy. Per esempio, nel corso dell’analisi abbiamo scoperto
che i dipendenti utilizzavano applicazioni web necessarie
per l’andamento del business, ma potenzialmente in grado
di compromettere la sicurezza aziendale. Se si andassero ad
implementare semplicemente tecnologie che bloccano l’utilizzo
di queste applicazioni, l’IT verrebbe letteralmente ricoperto di
lamentele da parte dei dipendenti, o peggio ancora, gli stessi
cercherebbero modi per aggirare la policy creando rischi per
la sicurezza. Check Point raccomanda invece di creare una
policy in grado di riconoscere i casi in cui sia necessario l’uso
di tali applicazioni e di definire una procedura per garantirne
l’utilizzo in tutta sicurezza. Gli utenti dovrebbero essere avvisati
automaticamente della policy in caso di necessità.
2.600 anni dopo, lo stesso approccio si adatta perfettamente
all’odierna lotta contro i cyber criminali – la migliore rete di
sicurezza è assicurata quando i differenti livelli di protezione
sono armonizzati tra loro per contrastare tutti gli aspetti
delle varie minacce.
Questo report ha trattato molteplici temi legati ai rischi che
Check Point ha individuato in un ampio gruppo di aziende.
Ha mostrato come bot, virus, violazioni e attacchi siano
una minaccia reale e costante per la sicurezza aziendale. Lo
studio ha evidenziato anche come alcune applicazioni web
utilizzate dai dipendenti possano compromettere la sicurezza
della rete. Infine, ha dato prova del fatto che i dipendenti
sono soliti porre in essere molte attività potenzialmente in
grado di causare una perdita involontaria di dati sensibili.
Nella strategia di sicurezza aziendale la tecnologia
da sola non è abbastanza
L’approccio di Check Point volto a raggiungere il livello di
sicurezza necessario per proteggere un’azienda riconosce
il fatto che la tecnologia, da sola, non sia sufficiente. La
036
Persone
Gli utenti dei computer rappresentano una componente critica
del processo di sicurezza. Sono spesso loro a commettere
errori che causano infezioni da malware e perdite dei dati. Le
aziende dovrebbero assicurarsi che gli utenti siano coinvolti nel
processo di sicurezza. I dipendenti devono essere informati ed
05 _ CONCLUSIONI E STRATEGIE DI SICUREZZA
istruiti sulle policy e su come ci si aspetta che si comportino
quando navigano su Internet o condividono dati sensibili.
Contemporaneamente, la sicurezza dovrebbe essere il più
possibile continua e trasparente, e non dovrebbe modificare
il modo di lavorare dei dipendenti. L’implementazione di un
programma di sicurezza dovrebbe includere:
• Un programma di formazione – per far sì che tutti gli
utenti siano consapevoli del fatto che i sistemi sono
potenzialmente vulnerabili agli attacchi e che le loro
azioni potrebbero contribuire a prevenirli.
• Tecnologia – per informare in tempo reale le persone sul
perché certe operazioni siano pericolose e consigliare loro
come eseguirle in sicurezza.
Esecuzione
L’implementazione di soluzioni di sicurezza – come il
software di protezione degli endpoint e i gateway – è di vitale
importanza per la salvaguardia delle aziende da violazioni
e perdita di dati. Gateway di sicurezza dovrebbero essere
installati in tutti i punti di interconnessione, per assicurare che
solo il traffico rilevante e autorizzato entra o esca dal network.
Questa convalida dovrebbe avvenire a tutti i livelli e in generale
su comunicazioni, protocolli, metodi, query, risposte e payload
utilizzando soluzioni di sicurezza quali Firewall, Application
Control, URL Filtering, DLP, IPS, Anti-Virus e Anti-Bot.
037
06
CHECK POINT SOFT WARE
TECHNOLOGIES
Check Point Software Technologies Ltd. (www.checkpoint.
com), leader mondiale della sicurezza su Internet, è l’unico
vendor in grado di offrire ai clienti una protezione senza
compromessi da ogni tipo di minacce, diminuisce la
complessità della sicurezza e riduce i costi totali di possesso.
Grazie a FireWall-1 e alla tecnologia Stateful Inspection, Check
Point può essere definito un pioniere nel settore della sicurezza.
Oggi, Check Point continua ad innovare con lo sviluppo
dell’architettura Software Blade grazie alla quale è in grado di
offrire soluzioni sicure, semplici e flessibili che possono essere
completamente personalizzate per rispondere alle specifiche
esigenze di ogni organizzazione. Check Point è l’unico vendor
in grado di andare oltre la tecnologia e definire la sicurezza
come un processo di business. La 3D Security di Check Point
combina in modo unico policy, persone ed esecuzione per
ottenere la massima protezione degli asset informativi e aiutare
le organizzazioni a creare modelli di sicurezza allineati con le
necessità di business. Tra i clienti Check Point vi sono decine
di migliaia di organizzazioni di ogni dimensione, tra cui tutte
le aziende della lista Fortune e Global 100. Inoltre, la nota linea
di soluzioni ZoneAlarm protegge milioni di utenti individuali
da hacker, spyware e furti di identità.
Check Point 3D Security
Check Point 3D Security ridefinisce la sicurezza come un
processo di business a tre dimensioni, che combina persone,
policy ed esecuzione per una protezione su tutti i livelli – tra
cui reti, dati ed endpoint. Per ottenere il livello di protezione
che il ventunesimo secolo richiede, la sicurezza deve evolvere
da un insieme di tecnologie differenti a un efficace ed effettivo
processo di business. Con la 3D Security, le organizzazioni
possono ora implementare un modello di sicurezza in grado
di andare oltre la tecnologia per garantire l’integrità di tutta
038
la information security. Check Point 3D Security permette
alle organizzazioni di ridefinire la sicurezza integrando queste
dimensioni in un processo di business:
Policy che supportano le necessità di
business e trasformano la sicurezza in un
processo aziendale
Sicurezza che coinvolge le Persone della
definizione delle policy, nella formazione
e nella risoluzione degli incidenti
Eseguire, consolidare e controllare
tutti i livelli di sicurezza – rete, dati,
applicazioni, contenuti e utenti
Check Point Software Blade Architecture
Come strumento fondamentale per creare una reale 3D
Security, la Check Point Software Blade Architecture™ permette
alle aziende di applicare policy di sicurezza ed al tempo stesso
educare gli utenti a seguire queste policy. La Software Blade
Architecture è la prima ed unica architettura di sicurezza in grado
di offrire una security realmente totale, flessibile e gestibile, ad
aziende di ogni dimensione. E, cosa ancor più importante, man
mano che nuove minacce e necessità emergono, Check Point
Software Blade Architecture estende in modo veloce e flessibile
i propri servizi di sicurezza on-demand – senza richiedere
nuovo hardware o particolari difficoltà di gestione. Le soluzioni
vengono gestite centralmente tramite una singola console che
riduce la complessità ed il carico operativo. Una protezione a
più livelli è particolarmente critica oggi per combattere minacce
dinamiche, quali bot, trojan ed Advanced Persistent Threat
06 _ SUMMARY AND SECURITY STRATEGY
(APT). I firewall oggi sono più simili a gateway multi-funzione,
ma non tutte le realtà richiedono la stessa sicurezza ovunque.
Le aziende ricercano flessibilità e controllo sulle loro risorse di
sicurezza.
Le Software Blade sono applicazioni o moduli di sicurezza –
come ad esempio firewall, Virtual Private Network (VPN),
Intrusion Prevention System (IPS) o Application Control –
indipendenti, modulari e gestiti centralmente. Permettono
alle aziende di ottenere una configurazione di sicurezza
personalizzata, in grado di raggiungere il mix ideale tra
protezione ed investimenti. Le Software Blade possono essere
velocemente abilitate e configurate su ogni gateway o sistema
di gestione con un semplice click del mouse – senza che siano
necessari aggiornamenti dell’hardware, del firmware o dei driver.
E man mano che le necessità evolvono, ulteriori Software Blade
possono essere facilmente attivate per estendere la security a
una configurazione esistente sullo stesso hardware di sicurezza.
Check Point offre una gestione centralizzata degli eventi per
tutti i prodotti Check Point e per dispositivi di terze parti.
Offre una vista in tempo reale sugli eventi di sicurezza per
Check Point Security Gateway SmartDashboard.
Schermo di attivazione delle Software Blade.
aiutare a comprendere al volo la situazione ed intraprendere
azioni immediate, tutto tramite una singola console. La vista
della timeline permette la visualizzazione dei trend e della
propagazione degli attacchi. La vista delle chart offre statistiche
relative all’evento sotto forma di grafico a torta o a istogrammi.
La vista delle mappe mostra le minacce potenziali per paese.
Gestione degli eventi di sicurezza tramite Check Point SmartEvent. Vista in tempo reale.
039
Feed di intelligence in tempo reale
ThreatCloud ™
ThreatCloud è un network collaborativo ed una knowledgebase
cloud-driven in grado di offrire ai security gateway informazioni
dinamiche sulla sicurezza in tempo reale. Queste informazioni
vengono utilizzate per identificare attacchi emergenti e trend
nelle minacce. ThreatCloud mette la software blade Anti-Bot in
condizioni di operare più efficacemente, permettendo ai gateway
di investigare indirizzi mutevoli IP, URL e DNS nel caso di
centri di Command & Control noti. Grazie ad un’elaborazione
condotta nel cloud, milioni di signature e di protezioni malware
possono essere esaminate in tempo reale. La knowledgebase
di ThreatCloud viene aggiornata dinamicamente utilizzando
feed che provengono da una rete di sensori globali di minaccia,
informazioni sugli attacchi da gateway distribuiti in tutto il
mondo, dai laboratori di ricerca Check Point e dai migliori
malware feed del mercato. Le informazioni correlate sulle
minacce vengono poi condivise tra tutti i gateway.
Check Point 61000 Appliance
Le security appliance di Check Point
Nelle reti aziendali di oggi, i gateway di sicurezza sono più che
semplici firewall – sono dispositivi che si trovano ad affrontare
un numero sempre crescente di minacce sofisticate. Devono
usare tecnologie differenti per controllare gli accessi alla rete,
identificare attacchi sofisticati e fornire funzionalità di sicurezza
aggiuntive come data loss prevention, protezione da minacce
web-based e rendere sicuro un numero sempre maggiore di
dispositivi mobili, quali iPhone e tablet, che si trova nelle
reti enterprise. Sono minacce e funzionalità di sicurezza che
richiedono maggiori livelli di prestazioni e versatilità da parte
delle appliance di sicurezza.
Basate su Check Point GAiA, il sistema operativo sicuro
di nuova generazione, le appliance Check Point abbinano
prestazioni elevate multi-core con tecnologie di fast
networking, permettendo di offrire il massimo livello di
sicurezza per i dati, la rete e i dipendenti. Ottimizzate per la
flessibilità della Software Blade Architecture, ogni appliance
040
è in grado di gestire ogni combinazione di software blade, tra
cui Firewall, IPsec VPN, IPS, Application Control, Mobile
Access, DLP, URL Filtering, Anti-Bot, Antivirus, Anti-spam,
Identity Awareness e Advanced Networking & Clustering
– permettendo di ottenere la flessibilità ed il livello esatto di
sicurezza richiesto da ogni azienda ad ogni location di rete.
Consolidando differenti tecnologie di sicurezza su un unico
security gateway, le appliance sono progettate per offrire
soluzioni di sicurezza avanzate ed integrate, in grado di
rispondere a tutte le necessità di sicurezza per il business di
un’azienda. Presentato nel 2011, SecurityPower™ è una metrica
che misura la capacità di un’appliance di effettuare più funzioni
avanzate in uno specifico volume di traffico. Rappresenta un
benchmark rivoluzionario, che permette ai clienti di scegliere le
appliance di sicurezza appropriate per i propri specifici scenari
di installazione. Le misurazioni di SecurityPower vengono
determinate sulla base del traffico reale dei clienti, di differenti
funzioni di sicurezza e di una tipica policy di security.
Check Point Endpoint Security
Le software blade Check Point Endpoint Security assicurano
livelli di flessibilità, controllo ed efficienza senza precedenti alla
gestione ed all’implementazione di una sicurezza endpoint. Gli
IT manager possono scegliere tra sei software blade Endpoint
per ottenere la sicurezza di cui necessitano, con la libertà di
incrementarla in ogni momento. La Full Disk Encryption
Software Blade garantisce sicurezza in modo automatico e
trasparente a tutte le informazioni che si trovano sugli hard
drive degli endpoint. Un’autenticazione pre-boot multifattore
assicura l’identità dell’utente. La Media Encryption Software
Blade offre una crittografia applicabile centralmente sui
supporti storage rimuovibili, con la possibilità di crittografare
solo dati relativi al business ed al tempo stesso motivare ed
educare l’utente finale. La Remote Access VPN Software
Blade offre agli utenti un accesso sicuro ed immediato alle reti
ed alle risorse aziendali anche in viaggio o in caso di lavoro
da remoto. La Anti-Malware and Program Control Software
Blade identifica e rimuove efficacemente il malware dagli
endpoint con un’unica scansione. Program Control verifica
che sugli endpoint operino solamente programmi approvati ed
autorizzati. La Firewall and Security Compliance Verification
Software Blade offre protezione proattiva sul traffico in entrata
ed uscita, evitando che il malware vada ad infettare i sistemi
endpoint, bloccando attacchi mirati e fermando il traffico non
desiderato. La Security Compliance Verification garantisce che
gli endpoint siano sempre in linea con le policy di sicurezza
richieste dall’organizzazione. Infine, la WebCheck Secure
Browsing Software Blade protegge dalle più recenti minacce
web-based, compresi drive-by download, siti di phishing e
attacchi zero-day. Le sessioni del browser avvengono in un
sicuro ambiente virtuale.
Check Point Endpoint Security client
041
A
APPENDICE A: LE PRINCIPALI
FORME DI MALWARE
Questa appendice offre ulteriori informazioni sulle principali
forme di malware che sono state indentificate nel corso della
nostra ricerca. Il database malware completo di Check Point è
disponibile su threatwiki.checkpoint.com
Zeus è un backdoor bot agent che prende di mira la piattaforma
Microsoft Windows. La backdoor è un modo per eludere le
procedure di autenticazione. Una volta che un sistema è stato
compromesso, una o più backdoor possono venire installate in
modo da garantirsi un accesso più facile per il futuro.29 La nostra
ricerca ha individuato bot Zeus generati utilizzando la versione
2.0.8.9 del toolkit Zeus. Zeus è una grande famiglia di trojan
specifici nel mondo bancario, presente in realtà con un numero
significativo di versioni e varianti. Il malware offre a chi attacca la
possibilità di accedere da remoto ai sistemi infetti. Suo obiettivo
primario è stato finora quello di sottrarre le credenziali di online
banking usate dagli utenti presi di mira per accedere ai loro conti.
o cartelle condivise. Kuluoz è un bot che prende di mira la
piattaforma Microsoft Windows. Questo bot viene inviato
all’interno di messaggi spam apparentemente provenienti dallo
US Postal Service. Invia all’esterno informazioni di sistema ed
accetta istruzioni da un server remoto per scaricare ed eseguire
file malevoli sul computer infetto. Inoltre, crea un entry di
registro per ripartire automaticamente dopo un reboot del
sistema.
Juasek è un backdoor bot che colpisce la piattaforma Microsoft
Windows. Questo malware permette ad un hacker remoto non
autenticato di eseguire azioni malevole, quali aprire una shell di
comando, scaricare o caricare file, creare nuovi processi, listare
o terminare processi, ricercare/creare/cancellare file e recuperare
informazioni di sistema. Inoltre, installa istruzioni specifiche per
superare reboot del sistema.
Papras è un trojan bancario che colpisce le piattaforme
Zwangi è un adware destinato a colpire la piattaforma Microsoft
Windows. Viene registrato su un sistema infetto come oggetto
di supporto al browser. Può creare una toolbar personalizzata
all’interno di Internet Explorer e presentare all’utente messaggi
pubblicitari non desiderati. Questo malware infetta i sistemi
attraverso bundle software.
Sality è un virus che si diffonde tramite l’infezione e la modifica
di file eseguibili, ed alla loro copiatura su drive rimuovibili
042
Microsoft Windows a 32 e 64 bit. Questo malware invia
all’esterno informazioni di sistema e richiede informazioni sulla
configurazione da un host remoto. Individua le funzioni di rete e
monitora le attività Internet di un utente per sottrarre importanti
informazioni finanziarie. Inoltre, ha funzionalità backdoor
per fornire agli attaccanti remoti la possibilità di accedere in
modo non autorizzato ai computer infetti. Tra i comandi di
controllo accettati vi sono il download di altri file malevoli, la
raccolta di informazioni su cookie ed altri certificati, il reboot
o lo spegnimento del sistema, l’invio all’esterno di informazioni
di log, la possibilità di catturare istantanee dello schermo, l’avvio
di connessioni socket ad un host remoto per altre attività, ecc…
Inoltre, il malware si inserisce all’interno dei processi e può allo
stesso modo iniettare altri file malevoli nei processi target.
B
APPENDICE B: LE
APPLICAZIONI PIù RISCHIOSE
Questa appendice offre ulteriori informazioni sulle principali
applicazioni indentificate nel corso della nostra ricerca. Il
database applicativo completo di Check Point è disponibile su
appwiki.checkpoint.com.
Anonymizers
Tor è un’applicazione che permette di ottenere anonimato online.
Il client software di Tor incanala il traffico Internet attraverso una
rete mondiale indipendente di server per nascondere la location
o le attività di un utente da chiunque operi una sorveglianza di
rete o un’analisi del traffico. L’utilizzo di Tor rende più difficile
tenere traccia e ricollegare agli utenti dell’attività Internet, come
“visite a siti web, post online, messaggi istantanei e altre forme di
comunicazione”.
CGI-Proxy è un pacchetto software di Common Gateway
Interface. Appare all’utente come una pagina web che consente
l’accesso a un sito differente. Tra i protocolli supportati vi sono
HTTP, FTP e SSL.
Hopster è un’applicazione per superare firewall e proxy server,
che permette di navigare su Internet e chattare in forma anonima.
Hide My Ass è un servizio gratuito di web proxy, che nasconde
gli indirizzi IP permettendo agli utenti di collegarsi a siti web in
modo anonimo.
Hamachi è un’applicazione shareware di virtual private network
(VPN). Viene utilizzata per realizzare una connessione su
Internet che emula una connessione su rete locale (LAN).
Ultrasurf è uno strumento proxy gratuito che consente agli
utenti di aggirare firewall e software deputati a bloccare contenuti
Internet.
OpenVPN è un applicazione software gratuita ed open source
che implementa tecniche di virtual private network (VPN)
per creare connessioni sicure – punto a punto o sito a sito – in
configurazioni basate su router o bridge e sistemi di accesso
remoto.
File sharing P2P
BitTorrent è un protocollo di comunicazione P2P per il file
sharing peer-to-peer. E’ un metodo per la distribuzione di
grandi quantità di dati, senza che il distributore originale
debba sostenere i costi totali delle risorse hardware, hosting
e di banda. Al contrario, quando i dati vengono distribuiti
via BitTorrent, ogni partecipante fornisce una parte dei dati
ad altri riceventi, riducendo così il costo ed il peso su ogni
fonte individuale, offrendo ridondanza rispetto a possibili
problemi del sistema e riducendo la dipendenza dal
distributore originale. Sono numerosi i client compatibili
con BitTorrent, scritti in una grande varietà di linguaggi di
programmazione e operanti su molte diverse piattaforme di
elaborazione.
eMule è un’applicazione di file sharing peer-to-peer
che si collega alle reti eDonkey e Kad. Il software offre
l’interscambio diretto delle fonti tra i nodi dei clienti il
ripristino di download corrotti e l’utilizzo di un sistema
di crediti per premiare gli uploader più assidui. eMule
trasmette i dati in formato compresso zlib per risparmiare
ampiezza di banda.
Soulseek è un’applicazione di file sharing peer-to-peer.
Viene utilizzata soprattutto per condividere musica, anche
se gli utenti hanno anche la possibilità di condividere tipi
diversi di file.
Gnutella è una nota rete di file sharing, oltre che uno dei
principali protocolli peer-to-peer, usato da applicazioni
come BearShare, Shareaza, Morpheus e iMesh. Viene
comunemente utilizzata per scambiare file musicali MP3,
video, applicazioni e documenti.
Sopcast è un’applicazione di media streaming che consente
uno streaming di file multimediali via reti P2P. Sopcast
consente agli utenti di trasmettere contenuti multimediali
ad altri o di accedere a stream trasmessi da altri utenti.
043
APPENDIX
Tool di amministrazione remota
è un’applicazione
proprietaria sviluppata da Microsoft che fornisce agli utenti
un’interfaccia remota verso un altro computer.
Team Viewer permette agli utenti di controllare computer
remoti usando un client software od effettuando il login ad un
sito web.
LogMeIn è una suite di servizi software che offre la possibilità
di accedere remotamente ad altri computer via Internet.
Esistono differenti versioni del prodotto, pensate sia per utenti
individuali che per personale specializzato nell’help desk. I
prodotti di accesso remoto di LogMeIn utilizzano un protocollo
proprietario di remote desktop che viene trasmesso via SSL.
Gli utenti accedono ai desktop remoti usando un portale web
Internet-base e, se lo desiderano, l’applicazione standalone
LogMeIn Ignition.
VNC è un software che si compone di un’applicazione server e
client su protocollo Virtual Network Computing (VNC) per
controllare remotamente un altro computer. Il software opera
su sistemi operativi Windows, Mac OS X e di tipo Unix. VNC
opera anche su piattaforma Java e sui dispositivi Apple iPhone,
iPod touch o iPad.
Remote
044
Desktop
Protocol
(RDP)
Applicazioni di File Storage e Sharing
Dropbox è un’applicazione che consente agli utenti di
condividere file. Dropbox è un servizio di file hosting offerto da
Dropbox Inc. che offre cloud storage, sincronizzazione dei file
ed un client software. Inoltre, Dropbox permette agli utenti di
creare una cartella speciale su ogni computer, che Dropbox poi
sincronizza in modo che appaia sempre la stessa cartella (con gli
stessi contenuti) indipendentemente dal computer da cui viene
visualizzata. I file collocati in questa cartella sono accessibili
anche attraverso un sito web ed applicazioni per telefoni cellulari.
Windows Live Office è uno strumento online di Microsoft
Office di archiviazione, editing e condivisione di documenti,
creato da Microsoft. Con le Office Web Apps, gli utenti
possono creare, visionare, modificare, condividere, migliorare e
collaborare su documenti, fogli di lavoro, presentazioni e note
online, ovunque essi abbiano a disposizione una connessione ad
Internet.
Curl è uno strumento a linea di comando che consente agli
utenti di trasferire dati con una sintassi URL. Supporta certificati
FILE, FTP, HTTP, HTTPS e SSL, oltre ad altri protocolli di
trasferimento.
YouSendIt è un servizio di distribuzione di file digitali. Il servizio
permette agli utenti di inviare, ricevere e tenere traccia di file in
modalità on demand.
C
APPENDICE C: ULTERIORI
INFORMAZIONI SULL’UTILIZZO DELLE
APPLICAZIONI WEB
I dati seguenti rappresentano un’elaborazione ulteriore
delle informazioni esposte nella sezione
“Applicazioni enterprise”.
Le tabelle C-A e C-B sintetizzano l’utilizzo delle
applicazioni per categoria e per regione.
Am
81 %
80 %
P
61 %
43
on
% An
tora
File S
ile S
2P F
ym iz
s
m in i
ha r i n
one
tr a z i
g
Tool
mi
di am
nistr
az
re m
ione
EM
83 %
ota
Am
80 %
EA
eri c h
e
AC
AP
77 %
rem o
S ha
e and
ta
ring
Sto
File
ra g
ds
e an
hari
82
ng
e
% Am
EM
81 %
AC
g
AP
72 %
er
AC
Sh
File
arin
g P2
AP
72 %
P
Am
62 %
Tabella C-A
EM
55 %
An o
ny m
i ze r
e
% Am
49
EM
40 %
eri c h
EA
e
ri c h e
EA
Utilizzo delle applicazioni per categoria
Utilizzo delle applicazioni per regione
ri c h e
EA
AC
AP
35 %
Tabella C-B
045
APPENDIX
La tabelle seguente offre ulteriori informazioni sui più noti client di BitTorrent e Gnutella
Principali client di
Numero di organizzazioni
Vuze
108
Xunlei
74
uTorrent
55
BitComet
25
FlashGet
21
QQ Download
8
Pando
7
P2P Cache
7
Transmission
6
Altro
Principali client di Gnutella
Numero di organizzazioni
BearShare
52
LimeWire
23
FrostWire
16
Foxy
2
Altro
31
242
La tabella seguente offre ulteriori informazioni sulle applicazioni più utilizzate per categoria e per regione
Categoria di applicazione
Regione
Nome dell’applicazione
Anonymizer
Americhe
Tor
CGI-Proxy
Hamachi
Hopster
Ultrasurf
Tor
CGI-Proxy
Hamachi
Hopster
Hide My Ass
Tor
Hopster
CGI-Proxy
Hamachi
Hide My Ass
EMEA
APAC
046
% di organizzazioni
24%
16%
8%
8%
7%
23%
12%
4%
7%
7%
20%
6%
6%
6%
7%
APPENDICE
Regione
P2P File Sharing
Americhe
BitTorrent Clients
SoulSeek
eMule
Windows Live Mesh
Sopcast
BitTorrent Clients
SoulSeek
eMule
Sopcast
iMesh
BitTorrent Clients
eMule
SoulSeek
Sopcast
BearShare
35%
23%
21%
8%
8%
33%
19%
15%
12%
10%
62%
26%
11%
10%
8%
Dropbox
Windows Live Office
Curl
YouSendIt
ZumoDrive
Dropbox
Windows Live Office
Curl
YouSendIt
ImageVenue
Dropbox
Windows Live Office
Curl
YouSendIt
Hotfile
73%
52%
28%
26%
12%
71%
51%
22%
21%
18%
57%
50%
26%
16%
10%
EMEA
APAC
File Storage and Sharing
Americas
EMEA
APAC
% di organizzazioni
047
APPENDICE
Regione
Remote Administration
Americhe
MS-RDP
LogMeIn
TeamViewer
VNC
59%
51%
45%
14%
Bomgar
MS-RDP
TeamViewer
LogMeIn
VNC
pcAnywhere
TeamViewer
MS-RDP
LogMeIn
VNC
Gbridge
8%
60%
55%
44%
20%
3%
58%
51%
26%
16%
3%
EMEA
APAC
048
% di organizzazioni
D
APPENDICE D:
TIPOLOGIE DI DATI DLP
La nostra ricerca ha previsto un’ispezione su decine di diverse
tipologie di dati alla ricerca di potenziali casi di perdita di dati. La
seguente lista presenta le principali tipologie di dati ispezionati ed
individuati dalla DLP Software Blade di Check Point.
Source Code – abbina i dati che contengono linee di
linguaggio di programmazione, C, C++, C#, JAVA ed altri;
indica perdita di proprietà intellettuale.
Informazioni relative a carte di credito – comprende due
diverse tipologie di dati: numeri di carta di credito e dati di
autenticazione PCI - Sensitive.
• Numeri di carta di credito: Criteri di individuazione:
relativi allo standard Payment Card Industry (PCI); abbina
dati contenenti numeri di carta di credito MasterCard,
Visa, JCB, American Express, Discover e Diners Club;
l’individuazione si basa sia sul pattern (espressione
regolare) che sulla convalida di cifre di controllo secondo
lo schema definito nell’annesso B di ISO/IEC 7812-1 ed in
JTC 1/SC 17 (algoritmo Luhn MOD-10); indica perdita
di informazioni confidenziali. Esempio: 4580-0000-00000000.
• Dati di autenticazione PCI - Sensitive Criteri di
individuazione:relativiallostandardPaymentCardIndustry
(PCI); abbina informazioni classificate come dati sensibili
e che richiedono autenticazione secondo gli standard PCI
Data Security Standard (DSS). Questi dati, a differenza
dei dati relativi al proprietario della carta, sono altamente
sensibili, e PCI DSS non ne consente l’archiviazione.
Vengono abbinati i dati che contengono informazioni
sulla banda magnetica di una carta di credito (track 1, 2
or 3), un codice PIN cifrato o meno, e un Card Security
Code (CSC). Esempi:%B4580000000000000^JAMES
/L.^99011200000000000?, 2580.D0D6.B489.DD1B,
2827.
File protetti da password – individua file che sono protetti da
una password o crittografati. Questi file possono contenere
informazioni confidenziali.
File legati alla gestione delle paghe– individua file che
contengono informazioni relative alla gestione dipaghe,
quali indicazioni di stipendio lordo o netto; indica perdita di
informazioni personali.
Email confidenziali – Individua messaggi di Microsoft Outlook
che sono stati indicati dal mittente come ‹Confidenziale›;
questi messaggi email solitamente contengono informazioni
sensibili. Nota: Microsoft Outlook permette al mittente di
contrassegnare i messaggi inviati con vari livelli di sensibilità;
questa tipologia di dati individua messaggi contrassegnati come
‹Confidenziale› usando le opzioni di sensibilità di Outlook.
Informazioni relative a stipendi e retribuzioni – individua
documenti che contengono parole e frasi relative a dati sulla
retribuzione dei dipendenti, come: salario, bonus, ecc…
Altri tipi di dati individuati nel corso della ricerca: numeri di
carta di credito di Hong Kong, termini legati a report finanziari,
numeri di conti bancari, numeri di IBAN finlandesi, numeri di
assicurazione sociale canadesi, FERPA - Confidential Educational
Record, codici postali statunitensi, numeri di partita Iva del
Regno Unito, numeri di sicurezza sociale messicani e statunitensi,
numeri di registrazione universitaria, report di Salesforce, codici
personali finlandesi, codici legati alla regolamentazione ITAR
(International Traffic in Arms Regulation), registri personali
sensibili, progetti o file grafici CAD-CAM, informazioni
sanitarie protette dallo standard HIPAA, numeri di sicurezza
sociale francesi, liste di nomi di dipendenti, informazioni interne
neozelandesi, dati relativi ai proprietari di carte di credito PCI,
licenze di guida statunitensi, codici IBAN danesi, numeri di
partita IVA finlandesi, codici IBAN (International Bank Account
Number) e tanti altri ancora.
049
ReferenZE
The Art of War By Sun Tzu, http://suntzusaid.com/artofwar.pdf
http://www.checkpoint.com/campaigns/3d-analysis-tool/index.html
3
http://www.checkpoint.com/products/threatcloud/index.html
4
http://supportcontent.checkpoint.com/file_download?id=20602
5
http://www.nytimes.com/2012/03/05/technology/the-bright-side-of-being-hacked.html?pagewanted=2&ref=global-home
6
http://edition.cnn.com/video/#/video/bestoftv/2012/10/01/exp-erin-cyberattack-nuclear-networks-leighton.cnn?iref=allsearch
7
http://www.networkworld.com/news/2012/071312-security-snafus-260874.html?page=4
8
http://www.businessweek.com/news/2012-10-18/bank-cyber-attacks-enter-fifth-week-as-hackers-adapt-to-defenses
9
http://arstechnica.com/security/2012/09/blackhole-2-0-gives-hackers-stealthier-ways-to-pwn/
10
http://www.networkworld.com/slideshow/52525/#slide1
11
http://www.ihealthbeat.org/articles/2012/10/30/breaches-at-uks-nhs-exposed-nearly-18m-patient-health-records.aspx
12
http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf
13
http://cve.mitre.org/index.html
14
http://www.networkworld.com/news/2012/020912-foxconn-said-to-have-been-255917.html
15
http://news.cnet.com/8301-1009_3-57439718-83/anonymous-attacks-justice-dept-nabbing-1.7gb-of-data/
16
http://news.cnet.com/8301-1009_3-57396114-83/vatican-anonymous-hacked-us-again/
17
http://news.cnet.com/8301-1023_3-57411619-93/anonymous-hacks-into-tech-and-telecom-sites/
18
http://www.ftc.gov/opa/2012/06/epn-franklin.shtm
19
http://www.ftc.gov/opa/2010/02/p2palert.shtm
20
http://www.networkworld.com/news/2012/091212-botnet-masters-hide-command-and-262402.html
21
http://www.computerworld.com/s/article/9221335/_Nitro_hackers_use_stock_malware_to_steal_chemical_defense_secres
22
http://bits.blogs.nytimes.com/2012/08/01/dropbox-spam-attack-tied-to-stolen-employee-password/
23
http://news.cnet.com/8301-31921_3-20072755-281/dropbox-confirms-security-glitch-no-password-required/
24
http://japandailypress.com/newspaper-reporter-fired-for-emailing-sensitive-info-to-wrong-people-159277
25
http://www.roanoke.com/news/roanoke/wb/307564
26
http://tamutimes.tamu.edu/2012/04/13/am-acting-on-email-message-that-inadvertently-included-some-alumni-ss-numbers/
27
www.hhs.gov/ocr/privacy/hipaa/index.html
28
The Art of War By Sun Tzu, http://suntzusaid.com/artofwar.pdf
29
http://en.wikipedia.org/wiki/Malware#Backdoors
1
2
050
Contact Check Point now
www.checkpoint.com/contactus
By phone in the US: 1-800-429-4391 option 5 or
1-650-628-2000
www.checkpoint.com
COntACt CHeCK POint
Worldwide Headquarters
5 Ha’Solelim Street, Tel Aviv 67897, Israel | Tel: 972-3-753-4555 | Fax: 972-3-624-1100 | Email: [email protected]
U.S. Headquarters
800 Skyway
959
Bridge Parkway,
Road, Suite
Redwood
300, San
City,
Carlos,
CA 94065
CA 94070
| Tel: 800-429-4391;
| Tel: 800-429-4391;
650-628-2000
650-628-2000
| Fax: 650-654-4233
| Fax: 650-654-4233
| www.checkpoint.com
| www.checkpoint.com
©2003–2012 Check Point Software Technologies Ltd. All rights reserved. Check Point, AlertAdvisor, Application Intelligence, Check Point 2200, Check Point 4000 Appliances, Check Point 4200, Check
Point 4600, Check Point 4800, Check Point 12000 Appliances, Check Point 12200, Check Point 12400, Check Point 12600, Check Point 21400, Check Point 6100 Security System, Check Point Anti-Bot
Software Blade, Check Point Application Control Software Blade, Check Point Data Loss Prevention, Check Point DLP, Check Point DLP-1, Check Point Endpoint Security, Check Point Endpoint Security On
Demand, the Check Point logo, Check Point Full Disk Encryption, Check Point GO, Check Point Horizon Manager, Check Point Identity Awareness, Check Point IPS, Check Point IPSec VPN, Check Point Media
Encryption, Check Point Mobile, Check Point Mobile Access, Check Point NAC, Check Point Network Voyager, Check Point OneCheck, Check Point R75, Check Point Security Gateway, Check Point Update
Service, Check Point WebCheck, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, DefenseNet,
DynamicID, Endpoint Connect VPN Client, Endpoint Security, Eventia, Eventia Analyzer, Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid
Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IP Appliances, IPS-1, IPS Software Blade, IPSO, R75, Software Blade, IQ Engine,
MailSafe, the More, better, Simpler Security logo, Multi-Domain Security Management, MultiSpect, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec
Protector, Policy Lifecycle Management,Power-1, Provider-1, PureAdvantage, PURE Security, the puresecurity logo, Safe@Home, Safe@Office, Secure Virtual Workspace, SecureClient, SecureClient Mobile,
SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, SecurityPower, Series 80 Appliance,
SiteManager-1, Smart-1, SmartCenter, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, SmartEvent, Smarter Security,
SmartLSM, SmartMap, SmartPortal, SmartProvisioning, SmartReporter, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SmartWorkflow, SMP,
SMP On-Demand, SocialGuard, SofaWare, Software Blade Architecture, the softwareblades logo, SSL Network Extender, Stateful Clustering, Total Security, the totalsecurity logo, TrueVector, UserCheck,
UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Edge, VPN-1 MASS, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1
SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VE, VPN-1 VSX, VSX, VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Antivirus + Firewall, ZoneAlarm DataLock, ZoneAlarm
Extreme Security, ZoneAlarm ForceField, ZoneAlarm Free Firewall, ZoneAlarm Pro Firewall, ZoneAlarm Internet Security Suite, ZoneAlarm Security Toolbar, ZoneAlarm Secure Wireless Router, Zone Labs, and
the Zone Labs logo are trademarks or registered trademarks of Check Point Software Technologies Ltd. or its affiliates. ZoneAlarm is a Check Point Software Technologies, Inc. Company. All other product
names mentioned herein are trademarks or registered trademarks of their respective owners. The products described in this document are protected by U.S. Patent No. 5,606,668, 5,835,726, 5,987,611,
6,496,935, 6,873,988, 6,850,943, 7,165,076, 7,540,013, 7,725,737 and 7,788,726 and may be protected by other U.S. Patents, foreign patents, or pending applications.
Dicembre16,
2012
October
2012
Classification: [Protected] - All rights reserved.
Design: RoniLevit.com
SEDI CHECK POINT

Check Point Security Report 2013

Transcript

Documenti analoghi

Il PDCA o Ciclo di Deming

the importance of layered security_fin_ITA6

Capodanno in Brasile! Capodanno a Rio de Janeiro

GlobalTrust RMS

Henkel presenta Quick Check di Teroson

Apri PDF

Yachting in the World - Nautic

AVANQUEST ITALIA ANNUNCIA IL RILASCIO DI ZONEALARM

Engine

Configurazione Porte - eMule-Wiki