Check Point Security Report 2013
Transcript
Check Point Security Report 2013
C H EC K PO INT 2013 SEC UR IT Y R EPO RT CHECK POINT 2013 SECURITY REPORT G EN N A I O 2 0 1 3 CHECK POINT 2013 SECURITY REPORT C h e c k P o i n t 2013 Security Report 01 02 03 04 05 06 AP Introduzione e metodologia004 Minacce per le aziende006 Applicazioni enterprise020 Casi di perdita di dati all’interno della rete030 Conclusioni e strategia di sicurezza036 Check Point Software Technologies038 Appendice 042 003 2013 CHECK POINT ANNUAL SECURITY REPORT 01 INTRODUZIONE E METODOLOGIA “COME L’ACQUA NON HA UNA SUA FORMA COSTANTE, ANCHE IN CASO DI GUERRA NON ESISTONO CONDIZIONI COSTANTI.” 1 ANCHE SE QUESTA FRASE È VECCHIA DI 2.600 ANNI, È ANCORA SORPRENDENTEMENTE SIGNIFICATIVA E RIFLET TE LE FORME DI GUERRA MODERNE – LA GUERRA CIBERNETICA Le tecniche degli hacker cambiano continuamente, sfruttando metodi di attacco sempre più moderni e sofisticati, portando la sfida della sicurezza a nuovi livelli. I data center, i computer e i cellulari dei dipendenti sono l’obiettivo primario degli hacker, che si avvalgono di una varietà pressoché infinita di malware come bot, trojan e driveby download. I cyber criminali utilizzano trucchi e social engineering per manipolare utenti innocenti ed ottenere accesso alle informazioni aziendali, quali documenti interni, registri finanziari, numeri di carta di credito e credenziali di accesso, o semplicemente bloccare servizi con attacchi di tipo denial of service. Questa moderna guerra, fatta di minacce ed attacchi avanzati, è qui per rimanere. Le informazioni aziendali salvate nei data center, nei server, nei PC e nei dispositivi mobili aumentano alla velocità della luce, e la crescita in termini di volume di dati e piattaforme genera rischi maggiori. Infine, la lista di minacce alla sicurezza non diventa sicuramente più breve, ed ogni nuovo attacco rivela un livello di sofisticazione superiore. Quali sono stati i principali rischi di sicurezza che la vostra 004 rete si è trovata ad affrontare lo scorso anno? A quali minacce verrà esposta il prossimo anno? Queste sono le questioni principali che hanno occupato il team di ricerche sulla sicurezza di Check Point nel corso degli ultimi mesi. Raccogliendo le risposte a queste precise domande, Check Point è stata in grado di effettuare un’approfondita valutazione. Questo report offre un’analisi degli eventi di sicurezza di rete che nel corso del 2012 hanno coinvolto le organizzazioni di tutto il mondo. Presenta gli eventi di sicurezza indentificati presso queste organizzazioni, con esempi relativi agli incidenti resi noti, spiegazioni di come alcuni di questi attacchi sono stati condotti, e raccomandazioni su come proteggersi da questo tipo di minacce. Il report è strutturato in tre sezioni distinte, ognuna dedicata a un aspetto differente della security. La prima parte si concentra sulle minacce di sicurezza, quali bot, virus, security breach ed attacchi. La seconda analizza alcune rischiose applicazioni web che mettono a repentaglio la sicurezza di rete delle organizzazioni. La terza è dedicata alle perdite di dati causate da comportamenti non intenzionali da parte dei dipendenti. Metodologia Il Security Report 2013 di Check Point è basato su una ricerca collaborativa e sulla successiva analisi degli eventi di sicurezza raccolti tramite quattro principali risorse: i Check Point Security Gateway Analysis Report2, Check Point ThreatCloud™ 3, la rete Check Point SensorNet™ ed i report Check Point Endpoint Security. Una meta-analisi sugli eventi di sicurezza che hanno coinvolto le reti di 888 aziende è stata condotta utilizzando dati raccolti dai Security Gateway Check Point, che hanno scansito in tempo reale il traffico di rete delle aziende, CHECK POINT 2013 SECURITY REPORT 01 _ INTRODUZIONE E METODOLOGIA 4% Consulenza 31 7 % Telco 59 Fonte: Check Point Software Technologies 20 % APAC* 178 10 % Pubblica Amministrazione 89 14 % Finance 128 39 % Industria 346 Tabella 1-Aׁ 40 % America 356 ori Sett ali ic Ve r t 26 % Altro 235 Inoltre sono stati analizzati oltre 111,7 milioni di eventi raccolti da 1.494 Security Gateway usando dati generati da Check Point ThreatCloud™, un enorme database di sicurezza aggiornato in tempo reale e popolato con dati provenienti da una estesa rete di sensori globali, distribuiti strategicamente in tutto il mondo, che raccolgono informazioni su minacce ed attacchi malware. ThreatCloud permette di identificare i trend e le minacce emergenti a livello di sicurezza globale, creando un network collaborativo per combattere il cybercrime. Nella nostra ricerca abbiamo analizzato dati di ThreatCloud raccolti lungo un periodo di tre mesi, tra agosto e ottobre 2012. Un riferimento per i dati relativi alle minacce è stato raccolto dalla rete di sensori Check Point SensorNet nel periodo che va dal 1° luglio al 30 settembre 2012. Check Point SensorNet è una rete di sensori distribuita a livello mondiale, in grado di fornire informazioni di sicurezza e statistiche di traffico ad un sistema centrale di analisi. Questi dati vengono studiati per identificare tendenze ed anomalie, e per ottenere uno spaccato in tempo reale della sicurezza in tutto il mondo. Infine, una meta-analisi su 628 report di endpoint security condotti presso una grande varietà di organizzazioni. L’analisi di sicurezza prevedeva una scansione di ogni singolo host con validazione dei rischi di perdita di dati, di intrusione e legati al malware. L’analisi è stata condotta con lo strumento di reportistica Check Point Endpoint Security, verificando se sull’host è presente un AntiVirus, se l’Anti-Virus è aggiornato, se i software presenti sono alla versione più aggiornata, ed altro ancora. Lo strumento è gratuito e liberamente disponibile, può essere scaricato dal sito web pubblico di Check Point4. Questo report è basato su dati raccolti da queste fonti. a ienz n e v Pro ra f i c a g Geo 40 % EMEA* 354 in entrata e in uscita. Il traffico è stato analizzato con la tecnologia multilivello delle Software Blade Check Point, per indentificare una serie di minacce alla sicurezza, quali applicazioni ad elevato rischio, tentativi di intrusione, virus e bot, perdita di dati sensibili, ecc… Il traffico di rete è stato monitorato in tempo reale, utilizzando Check Point Security Gateway inline o in modalità monitor (tap). In media, il traffico di rete di ogni organizzazione è stato monitorato per 134 ore. Le aziende interessate dalla nostra ricerca provengono da una grande varietà di settori e sono distribuite in tutto il mondo, come mostrato dalle tabelle 1-A e 1-B. *APAC – Asia, Pacifico e Giappone. EMEA – Europa, Medio Oriente e Africa Settori Verticali Industria – Chimica/Petrolchimica, Sanità, Farmaceutica, IT, Manifatturiero, Trasporti, Utility, Infrastrutture Finance – Finanza, Contabilità, Banche, Investimenti Pubblica Amministrazione – Pubblica Amministrazione, Difesa Telco – Telecomunicazioni, Service Provider, ISP, MSP Consulenza – Servizi di Consulenza Altro – Pubblicità/Media, Distribuzione, Education, Studi legali, Hospitality/Intrattenimento, Vendita all’ingrosso e al dettaglio, Titoli di stato, Altro 005 2013 CHECK POINT ANNUAL SECURITY REPORT 02 MINACCE PER LE AZIENDE Edizione straordinaria: rilevato un nuovo attacco informatico Nel 2012, gli attacchi informatici hanno continuato a crescere ed a finire in prima pagina. Quasi ogni giorno le prime pagine dei giornali riportano minacce di software malevoli, attacchi e botnet, portando alla luce il successo di hacker che rubano dati, paralizzano le attività e spiano grandi aziende e governi. Gli esempi che seguono sono solamente la punta dell’iceberg degli attacchi informatici che si sono verificati nel corso del 2012: hacker all’attacco della rete della Casa Bianca6, il gruppo hacktivista Anonymous che ha bloccato i siti web di organizzazioni come U.S. Telecom Association e TechAmerica7, attacchi informatici hanno colpito Capital One Financial, BB&T e HSBC Bank USA8, e tanti altri ancora. Advanced Persistent Threats I cyber criminali non sono più dilettanti che operano in modo isolato. In molto casi, appartengono ad organizzazioni ben strutturate che ricordano le cellule terroristiche – hanno accesso “CI SONO SOLO DUE TIPI DI AZIENDE, QUELLE CHE SONO STATE ATTACCATE E QUELLE CHE LO SARANNO.” Robert Mueller, Director, FBI, Marzo, 20125 a risorse economiche importanti, hanno motivazioni ed obiettivi precisi. I cyber criminali appaiono dedicare significative quantità di tempo e risorse alla raccolta di informazioni utili. Le loro attività criminali causano alle organizzazioni colpite danni ingenti, tra cui: perdita di dati confidenziali, interruzione delle attività di business, danni all’immagine ed ovviamente danni finanziari. Per gli attacchi più sofisticati e di lungo periodo, condotti pensando ad obiettivi specifici pre-determinati, è stato coniato il termine di Advanced Persistence Threat (APT). Questi attacchi vengono scoperti molto raramente dai tradizionali sistemi di sicurezza, cosa che mette le reti di enti pubblici, di grandi e piccole aziende ed anche di singoli individui a rischio. In caso di attacchi APT, la prima BLACKHOLE UN KIT DI ATTACCO PER LE MASSE Parte dell’enorme incremento dell’attività malevola registrata negli ultimi anni può essere attribuita alla possibilità per gli hacker di utilizzare con grande semplicità tool e pacchetti di attacco preconfezionati. Con un solo click, ognuno può scaricare una suite di attacco pienamente funzionale e molto sofisticata. Una di queste suite è il BlackHole exploit kit – un pacchetto software web-based largamente diffuso. BlackHole comprende una raccolta di strumenti pensati per sfruttare le falle di sicurezza dei browser web per scaricare virus, bot, trojan ed altre forme di agenti software malevoli sui computer di vittime inconsapevoli. I prezzi per questi kit variano dai 50 dollari per un giorno di utilizzo fino ai 1500 dollari di un abbonamento annuale9. 02 _ MINACCE PER LE AZIENDE CASI DI DATA BREACH NEL 2012 Nel 2012 si sono verificati numerosi casi di data breach, che hanno riguardato dati salvati su server aziendali e relativi a carte di credito, oppure informazioni di clienti, studenti o pazienti. Queste attività malevole sono caratterizzate dal comune obiettivo di acquisire informazioni confidenziali. Questi alcuni esempi di casi realmente accaduti: Global Payments Inc. University of Nebraska Società globale di elaborazione di pagamenti colpita dagli hacker a giugno 2012. Le informazioni di oltre 1.500 carte di pagamento sono state sottratte. è stata oggetto di un caso di data breach che ha portato al furto di oltre 650.000 file di dati personali relativi a studenti, ex-studenti, genitori e dipendenti universitari, dal database del Nebraska Student Information Systems. Clarksville Tennessee U.S. A giugno 2012, alcuni hacker hanno colpito il sistema scolastico della Contea di Clarksville-Montgomery, rubando nomi, numeri di Sicurezza Sociale ed altri dati personali di circa 110.000 persone. Gli hacker hanno usato informazioni postate online da dipendenti e studenti per penetrare nel sistema 10. Dipartimento di Tecnologia, Utah A marzo 2012, 780.000 registri di pazienti legati al programma sanitario Medicaid sono stati rubati da un server, ad opera di hacker probabilmente provenienti dall’Europa orientale. Servizio Sanitario Nazionale, Regno Unito Serco Thrift, piani di risparmio A maggio 2012, un attacco informatico condotto contro Serco negli Stati Uniti ha portato alla sottrazione di informazioni relative a 123.000 dipendenti federali. Tra luglio 2011 e luglio 2012, il Servizio Sanitario Nazionale del Regno Unito è stato oggetto di diversi casi di data breach che hanno esposto quasi 1,8 milioni di cartelle cliniche11. azione da intraprendere tipicamente è quella di raccogliere informazioni relative al bersaglio designato. Successivamente, gli attaccanti compiono una prima intrusione nella rete obiettivo, per aprire una backdoor e mantenere una presenza persistente sul network. Questo solitamente si accompagna all’infezione di un host con un bot, che permette a chi attacca di comunicare con l’host infetto senza venire individuato. L’attaccante poi cerca di ottenere un accesso più ampio alla rete e di compromettere ulteriori nodi. Una volta fatto ciò, TOOLKIT PER BOT VENGONO VENDUTI ONLINE PER 500 DOLLARI, I DANNI CHE PROVOCANO COSTANO ALLE AZIENDE MILIONI DI DOLLARI l’obiettivo è di fatto raggiunto, e l’hacker può sfruttare gli host infetti per raccogliere dati o causare i danni desiderati da remoto, mantenendo una presenza costante ed invisibile per un lungo periodo. Le botnet sono qui per restare Una delle minacce più significative in tema di sicurezza di rete che oggi le organizzazioni si trovano ad affrontare è rappresentata dalle botnet. Un bot è un software malevolo che invade ed infetta un computer per consentire a criminali di controllarlo da remoto. Il computer infetto può eseguire attività illegali come rubare dati, inviare spam, distribuire malware e partecipare ad attacchi Denial of Service (DoS), ed il suo proprietario può essere del tutto all’oscuro di queste attività. I bot giocano anche un ruolo chiave in caso di attacchi APT mirati. Ci sono due trend 007 2013 CHECK POINT ANNUAL SECURITY REPORT 02 _ MINACCE PER LE AZIENDE principali nell’attuale scenario delle minacce guidati da attacchi bot. Il primo è il crescente mercato del cybercrime sempre più guidato dai profitti – si tratta di un mercato che comprende cyber criminali, operatori del malware, fornitori di tool, coder e programmi affiliati. I loro “prodotti” possono essere facilmente ordinati online su numerosi siti (ad esempio, kit malware fai-date, invii di spam, furti di dati e attacchi Denial of Service), e per le organizzazioni diventa sempre più difficile combattere con successo questi attacchi. Il secondo trend è quello degli attacchi ideologici e guidati da stati, che prendono di mira persone o organizzazioni per promuovere una causa politica o guidare una vera e propria guerra elettronica. Le botnet sono qui per restare. A differenza di virus ed altre forme tradizionalmente statiche di malware (con codici e forme che rimangono gli stessi), le botnet sono per loro natura dinamiche e possono modificare velocemente forma e pattern di traffico. Toolkit per bot vengono venduti online a prezzi che possono scendere fino a 500 dollari, e i loro attacchi costano alle aziende attività delle botnet Diffondere virus Inviare messaggi spam tramite email Distribuire software malevolo Attaccare computer e server Sottrarre dati 63% IL DELLE ORGANIZZAZIONI CONSIDERATE NELLA RICERCA è RISULTATA INFET TA DA BOT Come lavorano le botnet Una botnet conta tipicamente su una serie di computer che sono stati infettati da un software malevolo, che stabilisce una connessione di rete con uno o più sistemi di controllo, definiti server Command & Control. Quando un bot infetta un computer, ne prende il controllo e neutralizza le difese 6 % più di 21 host Command & Control Bot 48 % 1-3 host 10 % 7-9 host “Controllore dei bot” Numero di host infetti da bot (% delle organizzazioni) )Fonte: Check Point Software Technologies Le botnet sono dappertutto, ma quanto è critica la situazione? Si stima che fino a un quarto di tutti i personal computer connessi ad Internet possa far parte di una botnet. La ricerca mostra come nel 63% delle organizzazioni sia stato individuato almeno un bot. La maggior parte delle organizzazioni sono risultate infette da più bot differenti. Anti-Virus. I bot sono difficili da individuare perché si nascondono all’interno del computer e modificano il modo in cui appaiono al software Anti-Virus. Il bot poi si collega al centro di Command & Control (C&C) per ricevere istruzioni dai cyber criminali. Per questi collegamenti, vengono usati numerosi protocolli di comunicazione, tra cui Internet Relay Chat (IRC), HTTP, ICMP, DNS, SMTP, SSL e, in qualche 18 % 10-21 host milioni di dollari. La questione dei bot non va sottovalutata. Computer su internet Sp 18 % 4-6 host am , V ir us , D D oS Tabella 2-A 009 2013 CHECK POINT ANNUAL SECURITY REPORT 02 _ MINACCE PER LE AZIENDE caso, protocolli personalizzati creati dagli ideatori del software della botnet. OGNI 21 MINUTI UN BOT COMUNICA CON IL SUO CENTRO DI COMMAND & CONTROL Attività di Command & Control I bot si presentano sotto vesti e formati molto diversi e possono eseguire tante attività differenti. In molti casi, un singolo bot può creare più minacce. Una volta sotto il controllo del server di Command & Control, la botnet può essere guidata dall’hacker a condurre attività illegali senza che l’utente ne sia a conoscenza. Queste attività prevedono l’infezione di ulteriori macchine per aggiungerle alla botnet, l’invio massiccio di messaggi di spam via email, attacchi DDoS e furto di dati personali, finanziari e confidenziali, da parte dei bot che fanno parte della botnet. I bot vengono spesso usati anche come Frequenza di comunicazione tra un bot ed il suo centro di Command & Control 6 g ni % 2o Tabella 2-B 010 2-4 o re 24 % i4 più d i 1 or o re a 45 ni % og 1-2 o re Fonte: Check Point Software Technologies 25 % od m en strumenti di attacchi APT, nel corso dei quali i cyber criminali prendono di mira organizzazioni o individui specifici. La tabella 2-B illustra la frequenza con cui i bot comunicano con il loro centri di Command & Control. Il 70% dei bot individuati durante la ricerca comunicava con il suo centro di Command & Control almeno ogni 2 ore. La maggioranza delle attività di Command & Control è stata riscontrata negli USA, seguiti dalla Germania, dai Paesi Bassi e dalla Francia, come mostra la tabella 2-C. I vari tipi di comunicazione tra i bot ed il centro di Command & Control includono un report sui nuovi host che sono stati infettati, messaggi di buon funzionamento e dati raccolti dal sistema host. La nostra ricerca mostra come, in media, un bot comunichi con il suo centro di Command & Control ogni 21 minuti. Quali botnet vanno tenute sotto controllo? Oggi esistono migliaia di botnet differenti. La tabella seguente presenta le botnet più pericolose e preminenti trovate nel corso della ricerca. Per una migliore comprensione di queste minacce, ulteriori informazioni su ognuna di esse sono state rese disponibili nella Appendice A. Famiglia di botnet Attività malevola Zeus Sottrae credenziali bancarie online Zwangi Presenta all’utente messaggi pubblicitari non desiderati Sality Si diffonde autonomamente sotto forma di virus Kuluoz Esegue file malevoli da remoto Juasek Esegue azioni malevole da remoto: apre shell di comando, cerca/crea/ cancella file, ed altro Papras Sottrae informazioni finanziarie ed ottiene accesso remoto Per ulteriori dettagli vedi l‘Appendice A Fonte: Check Point Software Technologies PRINCIPALI PAESI IN CUI SI TROVANO I CENTRI DI COMMAND & CONTROL 7% Paesi Bassi 9% Germania 3% Canada 7% Francia 3% Romania 58% Stati Uniti 4% Cina 3% Venezuela Tabella 2-C NEL 3% Argentina 75% DELLE ORGANIZZAZIONI, UN HOST ACCEDE A UN SITO MALEVOLO 3% Australia 2013 CHECK POINT ANNUAL SECURITY REPORT 02 _ MINACCE PER LE AZIENDE 14 % fino a 2 ore Frequenza di scaricamento di malware (% di organizzazioni) 43 % più di un giorno 19 % 2-6 ore Come la vostra organizzazione può essere infettata dal malware Sono diversi i possibili punti di accesso per superare le difese di un’organizzazione: vulnerabilità del browser, telefoni cellulari, allegati infetti e supporti rimuovibili, per nominarne solo qualcuno. Oltre a ciò, l’esplosione delle applicazioni Web 2.0 e dei social network usati come strumento di business sta offrendo agli hacker un’enorme opportunità per invitare le vittime a cliccare su link malevoli o su “malvertisement” – pubblicità malevola che appare su siti web regolari. Nonostante oggi le botnet siano considerate una delle principali minacce alla sicurezza di rete, le organizzazioni si trovano a fronteggiare ulteriori minacce provenienti dal mondo del malware: virus, worm, spyware, adware, trojan e così via. La nostra ricerca mostra come nel 75% delle organizzazioni un host acceda ad un sito malevolo. La torta che segue illustra il numero di host che sono entrati in contatto con un sito web malevolo, secondo la percentuale delle organizzazioni. In oltre il 50% delle aziende, almeno cinque host sono entrati in contatto con un sito web malevolo. Un malware può essere scaricato da un utente, oppure da un bot che ha già infettato l’host. Abbiamo riscontrato come nel 53% delle organizzazioni un malware sia stato scaricato dalla rete aziendale. In oltre il 50% di queste organizzazioni, abbiamo rilevato che più di quattro host avevano scaricato malware. La torta seguente mostra la frequenza media di scaricamento di malware nelle organizzazioni, secondo la nostra ricerca. Fonte: Check Point Software Technologies OGNI 23 MINUTI UN HOST ACCEDE A UN SITO MALEVOLO 12 % 6-12 ore 12 % 12-24 ore Tabella 2-E Accesso a siti malevoli per numero di host (% di organizzazioni) 16 % 9-16 host Tabella 2-D 012 15 % oltre i 16 host Fonte: Check Point Software Technologies 20 % 5-8 hosts 31 % 1-2 host 18 % 3-4 host Un malware può essere scaricato da un utente, oppure da un bot che ha già infettato l’host. Abbiamo riscontrato come nel 53% delle organizzazioni un malware sia stato scaricato dalla rete aziendale. In oltre il 50% di queste organizzazioni, abbiamo rilevato che più di quattro host avevano scaricato malware. La torta seguente mostra la frequenza media di scaricamento di malware nelle organizzazioni, secondo la nostra ricerca. La tabella 2-G illustra il numero di host che hanno scaricato del malware. In oltre il 50% delle organizzazioni, almeno cinque host hanno scaricato malware. Nella nostra ricerca, la maggioranza del malware è stata trovata negli Stati Uniti, seguita dal Canada e dal Regno Unito, come mostrato dalla tabella 2-F. La protezione AntiVirus è uno dei metodi per proteggersi dalle infezioni malware, anche se la nostra ricerca ha mostrato come il 23% degli host nelle organizzazioni non aggiornano il loro Anti-Virus su base giornaliera. Un host che utilizza un Anti-Virus non aggiornato è esposto ai virus più recenti. Abbiamo trovato come il 14% degli 4% Regno Unito 3% Germania Fonte: Check Point Software Technologies PRINCIPALI PAESI IN CUI SI TROVA IL MALWARE 8% Canada 2% Francia 3% Israele 2% Slovacchia 2% Repubblica Ceca 71% Stati Uniti 2% Cina 3% Turchia Numero di host che hanno scaricato malware (% di organizzazioni) 20 % oltre 33 host 12 % 17-32 host 10 % 9-16 host 13 % 5-8 host 45 % 1-4 host Tabella 2-G Fonte: Check Point Software Technologies Tabella 2-F host all’interno delle organizzazioni non sia nemmeno dotato di Anti-Virus. Host che non utilizzano un Anti-Virus hanno un’alta probabilità di essere infettati dal malware. l virus “miniFlame” – il fratello più piccolo e pericoloso di Flame Probabilmente il malware Flame, scoperto all’inizio di quest’anno, rappresentava solo l’inizio. Nel corso del 2012 è stato scoperto un programma collegato, chiamato “miniFlame”, in grado di condurre attacchi maggiormente mirati verso obiettivi in Medio Oriente. miniFlame comprende una “back door” che permette di ottenere controllo da remoto, furto di dati e la capacità di fare fotografie istantanee dello schermo. 013 L’AT TACCO EUROGRABBER O LTRE 36 M I L IONI D I EURO S OTTR ATTI A P I ù D I 30.000 C L IENTI B A N C A RI Nel corso del 2012 è stato registrato un attacco sofisticato e multidimensionale, che ha sottratto oltre 36 milioni di Euro a più di 30.000 clienti di banche differenti, distribuite in tutta Europa. I clienti delle banche online non avevano idea di essere stati infettati da trojan, che le loro sessioni di online banking venissero di fatto compromesse o che il loro denaro venisse rubato direttamente dai loro conti. Questo tipo di attacco è stato scoperto e denominato “Eurograbber” da Versafe e Check Point Software Technologies. L’attacco Eurograbber si basa su una nuova e valida mutazione del trojan ZITMO, o Zeus-In-The-Mobile. Ad oggi, questo exploit è stato individuato solamente in paesi dell’area Euro, ma un’ulteriore mutazione di questo attacco potrebbe potenzialmente colpire banche di paesi esterni all’Unione Europea. Costruito su più livelli, l’attacco ha infettato computer e dispositivi mobili di clienti bancari online e, una volta che i trojan Eurograbber sono stati installati su Numero totale di comuni vulnerabilità ed esposizioni al rischio Fonte: Common Vulnerabilities and Exposures (CVE) Più vulnerabilità più exploit Vulnerabilità ben note sono un obiettivo fondamentale per gli hacker, che puntano sul fatto che tante organizzazioni non aggiornano il loro software ogni settimana. Più grandi sono le organizzazioni, più difficile diventa per gli amministratori della sicurezza mantenere tutti i sistemi sempre aggiornati. Per questo motivo, in molti casi, una vulnerabilità corretta anni prima può comunque essere utilizzata per penetrare infrastrutture di grandi e piccole aziende che non hanno aggiornato i loro sistemi con le più recenti patch software. Il semplice numero di vulnerabilità svelate ogni anno è davvero enorme: solo nel 2012 sono state scoperte oltre 5.00013 nuove possibilità per gli hacker di provocare danni ed accedere ai sistemi. E ci sono tante altre vulnerabilità non ancora scoperte, che vengono utilizzate attivamente dai cyber criminali. entrambi i dispositivi, le sessioni di online banking dei clienti venivano completamente monitorate e manipolate da parte degli hacker. Anche il meccanismo di autenticazione a due fattori utilizzato dalle banche per garantire la sicurezza delle transazioni bancarie online è stato aggirato nel corso di questo attacco e, nei fatti, utilizzato dagli hacker per autenticare i propri trasferimenti illeciti di denaro. Inoltre, i trojan impiegati per attaccare i dispositivi mobili sono stati sviluppati sia per piattaforma Blackberry che Android, in modo da rendere possibile un ampio “mercato di riferimento”, e in questo modo sono stati in grado di infettare indifferentemente utenti bancari privati ed aziendali, trasferendo illecitamente dai loro conti somme variabili dai 500 ai 250.000 Euro ciascuno. Ulteriori informazioni sull’attacco Eurograbber, compresa una sua descrizione particolareggiata, sono disponibili in un white paper12 dedicato all’attacco Eurograbber sul sito web di Check Point. Tabella 2-H 014 5672 5235 5279 5132 2012 2011 2010 2009 CHECK POINT 2013 SECURITY REPORT 02 _ MINACCE PER LE AZIENDE La tabella 2-I mostra come i prodotti più noti, utilizzati da quasi tutte le organizzazioni a livello mondiale sono anche i più vulnerabili – Oracle, Apple e Microsoft sono i vendor maggiormente vulnerabili. La nostra ricerca mostra che il 75% 2012 - Principali vulnerabilità ed esposizioni al rischio per vendor dob 119 A x e isco 119 C BM 118 I oog 80 G le HP 62 P P 59 H Fonte: Check Point Software Technologies Fonte: Common Vulnerabilities and Exposures (CVE) ire f o 150 F sof t Eventi di sicurezza per software vendor (% di organizzazioni) Or 15 % Ad 13 % o 5 %N p 5 %A p 4 %A acle 68 % Microsoft i cro 222 M e 384 Oracle pp l 260 A Inoltre, abbiamo scoperto come eventi di sicurezza relativi a prodotti Microsoft siano stati riscontrati nel 68% delle organizzazioni. Eventi di sicurezza relativi ad altri software vendor, come Adobe ed Apple, sono stati riscontrati in un numero decisamente minore di organizzazioni. E’ interessante notare come, sebbene Apple sia seconda nel numero di vulnerabilità, solo una piccola percentuale di organizzazioni abbia riscontrato nella realtà eventi di sicurezza relativi ai loro prodotti. Gli hacker utilizzano varie obe ve l l ache ple P 3 %H Tabella 2-j Tabella 2-i degli host all’interno delle organizzazioni non stia utilizzando le versioni più recenti del software (ad esempio: Acrobat Reader, Flash Player, Internet Explorer, Java Runtime Environment ed altri). Ciò significa che questi host sono esposti a una grande varietà di vulnerabilità che possono essere sfruttate dagli hacker. La nostra ricerca mostra anche che il 44% degli host all’interno delle organizzazioni non dispongono dei più recenti Service Pack di Microsoft Windows. I Service Pack solitamente includono aggiornamenti di sicurezza per il sistema operativo, e non installare i più recenti comporta un rischio. tecniche, definite vettori di attacco. La tabella 2-K presenta alcuni di questi vettori di attacco, secondo la percentuale di organizzazioni che si è trovata a fronteggiarli. Memory Corruption, Buffer Overflow e Denial of Service sono i più comuni vettori di attacco riscontrati. 015 2013 CHECK POINT ANNUAL SECURITY REPORT 02 _ MINACCE PER LE AZIENDE Principali vettori di attacco or Mem yC D en uti o E xe c Co de Re 15 % 2% e Es i vi l e g rO Bu f f e th e ti o n nti c a sclos f eren ur e ow o o f in g ce ion Tasso di eventi SQL Injection numero di eventi SQL Injection n By p a ss 016 Tabella 2-l 8 O ct ‘2 4 ‘1 ct O 30 p‘ Se 6 ‘1 pt Se ‘2 pt Se 19 Au g‘ 5 g‘ Au Come si presenta un attacco SQL Injection? Ecco un attacco SQL Injection in tempo reale Il caso seguente illustra un esempio reale di una serie di attacchi SQL Injection condotti tra luglio e ottobre 2012 presso un cliente Check Point. L’attacco è stato individuato e bloccato da un Security Gateway di Check Point, ed il caso è stato segnalato dal team Managed Security Service di Check Point ThreatCloud. Ju ly 22 50 0 Tabella 2-k 10 00 15 00 u 1 %A v err u c a l at ow ver f l 2% 00 r 5 %P in ll Po ere t er D n Sp tr a t i o vi c e 3 25 u 6 %N o rm Di a ti o n O Sta c k n 32% 00 nf 8 %I ver f l S er ia l of 2% 20 10 % er O Integ g is ti o o rr up n 24% 19 % ow 3 Fonte Check Point Software Technologies Bu f f e er f l r Ov SQL Injection è un exploit di sicurezza (CVE-2005-0537) in cui l’hacker aggiunge codice Structured Query Language (SQL) ad un modulo web da compilare, allo scopo di poter accedere a risorse o effettuare modifiche ai dati archiviati. La tabella 2-M mostra come si presenta l’attacco. Il testo evidenziato indica i dati che l’hacker ha cercato di rendere pubblici tramite l’attacco SQL Injection (in questo caso, user name e password). I comandi SQL sono: select, concat e from. L’attacco è stato condotto da 99 differenti indirizzi IP. Anche se l’organizzazione obiettivo si trova in Europa, gli attacchi sono stati originati da molte location differenti, come mostra la tabella 2-M. Un attacco SQL Injection può essere condotto manualmente (da un hacker attraverso una tastiera) o automaticamente (attacco scripted). In questo caso, come mostra la tabella 2-L, il picco dell’attacco è stato un’esplosione di 4.184 tentativi di attacco (molto probabilmente automatizzati), lanciati nell’arco di due giorni, utilizzando lo stesso injection pattern e derivanti da uno stesso IP di partenza. E venti S Q L I n j ection per paese di origine iU nit i 9S tat 36 198 i Paes i Bass 130 Algeria 122 Fede r azio ne R ussa Tabella 2-m Fonte Check Point Software Technologies I TOP 10 98 Ge a ani rm 58 Sp agna 53 Georgia http:// ______________/ns/index. php?action=com_clan&cid=185 and 1=2 union select 1,2,3,4,5,6,co 52 Ucraina 42 ncat(0x26,0x26,0x26,0x25,0x25 ania Rom ,0x25,username,0x3a password x25,0x25,0x25,0x26,0x26,0x26),8 37 Regno Unito RACCOMANDAZIONI DI SICUREZZA PIù LIVELLI DI SICUREZZA Con minacce che diventano sempre più sofisticate, le sfide legate alla sicurezza continuano ad aumentare. Per massimizzare la sicurezza di rete di un’organizzazione è necessario adottare un meccanismo di protezione multilivello per proteggersi dai differenti vettori di minacce e falle di rete: • Anti-virus per identificare e bloccare il malware • Anti-bot per individuare e prevenire danni da bot • IPS per prevenire intrusioni in modo proattivo from jos_users-- • • • Web control, URL Filtering e Application Control per prevenire l’accesso a website che ospitano/diffondono malware Collaborazione globale e analisi della sicurezza in tempo reale Monitoraggio intelligente per un’analisi proattiva dei dati Fermare l’arrivo di file malevoli Un’organizzazione ha bisogno di una soluzione Anti-malware che analizzi i file in ingresso nella rete e possa decidere, in tempo reale, se sono infettati da una qualche forma di malware. Questa soluzione dovrebbe prevenire l’infezione del network interno, e anche impedire l’accesso a siti web 017 2012, A N N O A L L’ I N S E G N A D E L L’H AC K T I V I S M Nel 2012, la situazione di turbolenza politica globale partita nel 2010 con le rivolte registrate in diversi paesi arabi, è proseguita con una serie di proteste civili in altre nazioni. In modo non sorprendente, stiamo assistendo a un’ondata di attacchi informatici fondati su motivazioni ideologiche. Foxconn, fornitore Apple con sede a Taiwan, è stato colpito da un gruppo di Hacker che si definisce Swagg Security. Questo gruppo dichiara di voler protestare contro i report dei media sulle difficili condizioni di lavoro presso le fabbriche di produzione di elettronica in Cina14. Il gruppo hacktivist Anonymous ha dichiarato di aver condotto con successo un attacco ad un server web del Dipartimento di Giustizia degli Stati Uniti per l’ufficio di Statistiche sulla Giustizia, rendendo pubblici 1,7 GB di dati rubati. Su questi dati, il gruppo ha rilasciato la dichiarazione seguente: “Rendiamo pubblici questi dati per porre fine alla corruzione esistente e per rendere realmente liberi coloro che vengono oppressi.”15 Anche il Vaticano ha subito un attacco durato una settimana da parte del gruppo Anonymous ai propri siti infetti che tentano di eseguire drive-by download. Protezione multilivello dai bot La protezione dai bot si articola in due fasi: individuazione e blocco. Per massimizzare la capacità di identificare un bot all’interno di una rete è necessario disporre di un meccanismo multilivello di bot discovery, che permetta di coprire tutti gli aspetti del comportamento di un bot. Una soluzione di sicurezza in grado di individuare i bot dovrebbe includere un meccanismo di reputazione capace di individuare gli indirizzi IP, URL e DNS che gli operatori remoti utilizzano per connetterli alle botnet. E’ anche molto importante che questa protezione preveda la capacità di identificare i pattern ed i protocolli unici di comunicazione per ogni famiglia di botnet. Individuare le azioni dei bot rappresenta un altro aspetto critico per proteggersi da essi. La soluzione dovrebbe poter identificare le attività dei bot, come l’invio di spam, l’avvio di frodi e l’auto-propagazione. 018 web e server di posta interna. Il gruppo ha rivendicato la sua azione giustificandola con la proprietà da parte della radio ufficiale del Vaticano di potenti trasmettitori collocati nella campagna attorno a Roma, che costituiscono un potenziale rischio per la salute. Il gruppo ha indicato come i trasmettitori abbiano probabilmente provocato “leucemia e tumori” alle persone residenti nelle vicinanze. Il gruppo ha ulteriormente giustificato il suo attacco spiegando come il Vaticano abbia aiutato i nazisti, abbia distrutto libri di grande valore storico e che i suoi ecclesiastici abbiano molestato sessualmente dei bambini16. Con un altro attacco informatico, Anonymous ha bloccato i siti web di associazioni commerciali quali U.S. Telecom Association e TechAmerica. Questi attacchi sono stati condotti per il supporto fornito da queste organizzazioni alla legge sulla cybersicurezza proposta dal deputato Mike Rogers. Questa legge consentirebbe alle aziende private ed al governo di condividere ogni informazione “direttamente legata a una vulnerabilità o a una minaccia” per una rete di computer17. La seconda fase, dopo la scoperta di macchine infette, è il blocco della comunicazione dei bot verso l’esterno, verso i server di Command & Control. Questa fase neutralizza la minaccia e garantisce che gli agenti bot non possano né inviare informazioni sensibili all’esterno, né ricevere istruzioni ulteriori per attività malevole. In questo modo, il danno potenziale dovuto ai bot viene immediatamente mitigato. Questo approccio consente alle organizzazioni di garantirsi continuità operativa – gli utenti possono lavorare normalmente, senza nemmeno notare che la comunicazione specifica dei bot viene bloccata e l’organizzazione viene protetta senza che si abbiano effetti sulla produttività. Collaborazione globale in tempo reale Il problema degli attacchi informatici è troppo importante perché una singola azienda lo possa controllare. Le organizzazioni hanno migliori possibilità di risolvere a loro favore questa sfida attraverso la collaborazione e l’assistenza di esperti. Quando i CHECK POINT 2013 SECURITY REPORT 02 _ MINACCE PER LE AZIENDE cyber criminali sfruttano malware, bot ed altre forme avanzate di minacce, si rivolgono spesso a più siti ed organizzazioni differenti per incrementare le possibilità di successo di un attacco. Se le aziende combattono queste minacce in modo individuale, molti attacchi restano non identificati perché non c’è modo di condividere informazioni relative alle minacce. Per mantenersi in vantaggio sulle minacce moderne, le aziende devono collaborare e condividere i dati in loro possesso. Solamente insieme possono rendere la sicurezza più forte ed efficace. Intrusion Prevention La prevenzione delle intrusioni è un livello di sicurezza imprescindibile nella lotta contro i diversi vettori di attacco informatico. Una soluzione IPS è necessaria per un’approfondita analisi del traffico, allo scopo di prevenire tentativi malevoli di superare la sicurezza e di ottenere accesso agli asset di un’organizzazione. Una soluzione IPS adeguata fornirà le seguenti funzionalità: Validazione dei protocolli e identificazione delle anomalie – identificare e prevenire traffico che non è conforme ai protocolli standard, e può causare malfunzionamento dei dispositivi o problemi di sicurezza. Prevenzione della trasmissione di payload sconosciuti che possono sfruttare una vulnerabilità specifica. Prevenzione di un’eccessiva comunicazione, che può indicare un attacco Denial of Service (DoS). Comprendere le minacce ed agire di conseguenza Una visione chiara e completa degli eventi e dei trend della sicurezza e un’altra componente fondamentale nella lotta contro il crimine informatico. L’amministratore deve avere una comprensione costante dello stato di sicurezza di una rete per essere consapevole delle minacce e degli attacchi indirizzati alla sua organizzazione. Questa comprensione richiede una soluzione di sicurezza che sia in grado di fornire una vista di alto livello delle protezioni, ed evidenziare le informazioni critiche e gli attacchi potenziali. La soluzione dovrebbe anche consentire di condurre indagini approfondite su eventi specifici. La capacità di agire in modo immediato sulla base di queste informazioni è un altro elemento fondamentale, che permette una prevenzione in tempo reale degli attacchi o la capacità di bloccare proattivamente minacce future. La soluzione di sicurezza deve avere una gestione flessibile ed intuitiva, per semplificare l’analisi delle minacce e ridurre l’impatto sull’operatività di eventuali cambiamenti. Supporto ed aggiornamenti di sicurezza In un ambiente in continua evoluzione quale quello delle minacce informatiche, le difese devono evolvere di pari passo, o in anticipo rispetto alle stesse. I prodotti di sicurezza possono gestire in modo efficace il malware, le vulnerabilità e gli exploit più recenti se il vendor è in grado di condurre ricerche estese e di offrire aggiornamenti frequenti. Un eccellente servizio di sicurezza si basa su: • Ricerche interne da parte del vendor e dati raccolti da fonti differenti • Aggiornamenti di sicurezza frequenti per tutte le rilevanti tecnologie, tra cui IPS, Anti-Virus e Anti-Bot • Un supporto facile e comodo, in grado di rispondere a domande e problematiche relative all’ambiente del cliente 019 2013 CHECK POINT ANNUAL SECURITY REPORT 03 APPLICAZIONI ENTERPRISE Le regole del gioco sono cambiate Le regole del gioco sono cambiate. Le applicazioni web un tempo erano considerate un passatempo; un modo per vedere le foto dell’ultimo viaggio dei nostri amici o per guardare un film divertente. Le applicazioni Web 2.0 sono oggi strumenti di business fondamentali per l’azienda moderna. Comunichiamo con colleghi, clienti e partner, condividiamo informazioni e riceviamo le ultime notizie, opinioni e considerazioni. Tool basati su Internet quali Facebook, Twitter, WebEx, LinkedIn e YouTube, giusto per citarne alcuni, rivestono un ruolo sempre più importante in aziende che li considerano dei veri e propri “business enabler”. In questa sezione della nostra ricerca, affronteremo i rischi generali introdotti dalle applicazioni web 2.0 e la loro infrastruttura, per focalizzarci poi su applicazioni specifiche presenti nelle aziende intervistate. I risultati saranno documentati con esempi e incidenti realmente accaduti. Le applicazioni web non sono un gioco La tecnologia evolve, così come le sfide legate alla sicurezza. Anche gli strumenti internet introducono nuovi rischi per la sicurezza. Diverse applicazioni web utili vengono usate per sferrare attacchi alle aziende o per violare la sicurezza di rete. Applicazioni quali Anonymizer, File Storage e Sharing, Peerto-Peer File Sharing, Remote Administrative Tool e Social Media sono state utilizzate per fare breccia nelle aziende. Esiste una miriade di piattaforme e applicazioni che potrebbe essere usata per motivi personali o di business. Ogni azienda deve essere a conoscenza di ciò che usano i dipendenti e a quali scopi, e conseguentemente definire una propria policy internet. Nel 91% delle aziende è risultato che gli utenti utilizzano applicazioni potenzialmente in grado di raggirare i sistemi di sicurezza, nascondere le identità, provocare perdite dei dati o persino introdurre malware senza che ne fossero a conoscenza. DATI SENSIBILI CONDIVISI DA APPLICAZIONI DI FILE SHARING P2P NEGLI STATI UNITI Nel giugno 2012, la Federal Trade Commission (FTC) degli Stati Uniti ha multato due aziende per avere divulgato informazioni sensibili su reti di File-Sharing Peer-to-Peer mettendo a rischio migliaia di consumatori. La FTC ha sostenuto che una delle aziende, EPN Inc., specializzata nel recupero crediti con sede a Provo, Utah, ha divulgato informazioni sensibili, tra cui i Social Security number, i dati di assicurazione sanitaria e i codici delle diagnosi mediche di oltre 3.800 pazienti, ad ogni computer connesso alla rete P2P. La FTC ha stabilito che l’altra azienda, Franklin‘s Budget Car Sales, Inc., leader nella vendita di auto, ha divulgato le informazioni di 95.000 consumatori sulla rete P2P. Le informazioni comprendevano nomi, indirizzi, Social Security Number, date di nascita e numero della patente18. Nel 2010, la FTC ha notificato a quasi 100 aziende che informazioni personali che includevano dati sensibili di clienti e/o dipendenti, erano stati condivisi dalle loro reti e resi disponibili su quelle di file sharing P2P. Qualsiasi utente di queste reti avrebbe potuto utilizzare quei dati per commettere un furto di identità o porre in essere attività fraudolente19. NEL 61% 03 _ APPLICAZIONI ENTERPRISE DELLE AZIENDE, VIENE UTILIZZATA UN’APPLICAZIONE DI FILE SHARING P2P Fonte: Check Point Software Technologies 11 10 la ca st % S op 7 %W sL in d ow e 7 % iM ox 6 %B esh i ve M sh Cl o u d Tabella 3-A Ulteriori informazioni sulle principali applicazioni Anonymizer sono disponibili nell’Appendice B 72 % APAC ut e l % Gn lS e ek 62 % Americhe S ou 19 % 55 % EMEA ule eM 20 % Utilizzo di applicazioni di file sharing P2P per regione (% di organizzazioni) 40 % BitTorrent Principali applicazioni di file sharing P2P (% di organizzazioni) notato un tasso molto elevato di utilizzo di applicazioni P2P, più della metà delle aziende (61%). I tool di file sharing P2P più diffusi sono i client di BitTorrent. Da una prospettiva regionale, l’immagine seguente mostra come in Asia Pacifico le applicazioni di file sharing P2P siano più popolari che in altre regioni. Fonte: Check Point Software Technologies Le applicazioni P2P aprono una backdoor nella rete aziendale Le applicazioni P2P vengono utilizzate per la condivisione di file tra utenti. Il P2P è sempre più usato dai cyber-criminali per diffondere il malware tra i file condivisi. Le applicazioni P2P aprono in pratica una porta di servizio nelle reti. Consentono agli utenti di condividere cartelle che potrebbero fare fuoriuscire dati sensibili, e rendere le aziende responsabili per il fatto che gli utenti acquisiscono media illegalmente. Abbiamo Tabella 3-B Le applicazioni Anonymizer aggirano le policy di sicurezza aziendali Un Anonymizer (o proxy anonimo) è uno strumento che tenta di rendere non tracciabile l’attività degli utenti su internet. Si avvale di un server proxy che funge da maschera di privacy tra un computer client e il resto della rete. Accede a internet per conto dell’utente, e nasconde le informazioni personali occultando i dati che permettono di identificare il computer dell’utente e la destinazione che quest’ultimo sta cercando di raggiungere. Questa tipologia di applicazioni può essere usata per bypassare le policy di sicurezza essenzialmente basate sulle identità degli utenti e sui siti/ URL di destinazione. Utilizzando un Anonymizer, l’utente appare 021 2013 CHECK POINT ANNUAL SECURITY REPORT 7 rf p s t er ss My A e d i %H a 6 %H ma c h i Fonte: Check Point Software Technologies o 7 %H tr a s u xy 49 % Americhe l 8 %U I-Pro 23 % Tor CG 13 % 40 % EMEA Le più note applicazioni Anonymizer (% di organizzazioni) Utilizzo di applicazioni Anonymizer per regione (% di organizzazioni) 35 % APAC su un indirizzo IP differente e sembra che stia provando ad accedere a destinazioni diverse, di conseguenza le policy di sicurezza non possono essere applicate per quell’utente con l’indirizzo IP e di destinazione alterati. In alcuni casi, gli Anonymizer possono essere utilizzati per nascondere attività criminali. Guardando alle aziende oggetto della nostra ricerca, il 43% ha utilizzato almeno un’applicazione Anonymizer tramite un dipendente, con Tor che è risultata la più diffusa. L’86% delle aziende in cui si è scoperto l’utilizzo di Anonymizer ha dichiarato che si è trattato di un utilizzo non autorizzato, in conflitto con le linee guida e le policy di sicurezza. Se guardiamo all’utilizzo della applicazioni Anonymizer per regione, vediamo come siano più popolari nelle Americhe e meno in Asia Pacifico. Fonte: Check Point Software Technologies 03 _ APPLICAZIONI ENTERPRISE Tabella 3-D Come funziona l’Anonymizer Ultrasurf? Ultrasurf è un anonymizer molto sofisticato che funziona come client proxy, creando un tunnel HTTP crittografato tra il computer dell’utente e un pool centrale di server proxy, consentendo agli utenti di oltrepassare firewall e limitazioni. Ultrasurf ha un design molto resiliente per l’individuazione di server proxy, compreso un cache file degli IP dei server proxy, le richieste DNS - che rimandano gli IP codificati dei server proxy - documenti cifrati su Google Docs e una lista codificata di IP di server proxy integrata. Tutto ciò contribuisce a rendere ancora più difficoltosa la loro identificazione da parte dei dispositivi di sicurezza. Ultrasurf Proxy Web Server Tabella 3-C Ulteriori informazioni sulle principali applicazioni Anonymizer sono disponibili nell’Appendice B Internet Ultrasurf si collega a uno dei suoi Proxy Server Ultrasurf Client 022 NEL 43% DELLE AZIENDE, VENGONO UTILIZZATI ANONYMIZER L‘ANONYMIZER TOR COMPROMETTE LA SICUREZZA o 4 %B b 3 %G C 52 % TeamViewer VN 17 % 43 % LogMeIn Tool di amministrazione remota usati per attacchi malevoli I RAT (Remote Administration Tool) potrebbero essere strumenti legittimi se utilizzati dall’help desk e dagli amministratori di rete. Tuttavia, numerosi attacchi in tempi recenti hanno sfruttato un RAT per controllare da remoto le macchine infette, infiltrarsi nelle rete, o rubare informazioni confidenziali. Dato che i RAT sono in genere applicazioni aziendali fondamentali, non dovrebbero essere bloccati in modo generico, tuttavia il loro utilizzo dovrebbe essere monitorato e controllato per prevenire usi impropri. Guardando alle aziende oggetto della nostra ricerca, l’81% ha utilizzato almeno un’applicazione di amministrazione remota, con Microsoft RDP che è risultata la più diffusa. Principali applicazioni di amministrazione remota (% di organizzazioni) mg ar ri d g e Tabella 3-F 58 % MS-RDP L’81% DELLE AZIENDE USA TOOL DI AMMINISTRAZIONE REMOTA l’anonimato durante la navigazione. Nonostante sia ampiamente supportato e goda di grande popolarità, se usato in azienda può creare numerose sfide legate alla sicurezza. Tor può essere facilmente utilizzato per aggirare le policy di sicurezza dato che è stato creato specificamente per garantire l’anonimato agli utenti. Quando si utilizza Tor per accedere alla risorse su internet, le richieste inviate dal computer di un utente vengono indirizzate casualmente attraverso una serie di nodi gestiti volontariamente da altri utenti Tor. Fonte: Check Point Software Technologies Recenti ricerche sulla sicurezza hanno identificato una botnet controllata da cyber criminali su un server IRC (Internet Relay Chat) che opera da servizio nascosto all’interno della rete Tor. Le connessioni tra gli utenti e i nodi di Tor hanno diversi livelli di codifica, rendendo molto complicato per i sistemi di sorveglianza che operano a livello di rete locale o ISP il compito di determinare la destinazione desiderata di un utente20. L’obiettivo principale della rete Tor (nota anche come Onion Router) è in pratica quello di garantire Ulteriori informazioni sulle principali applicazioni di file storage e sharing sono disponibili nell’Appendice B 023 03 _ APPLICAZIONI ENTERPRISE Attacco hacker tramite i tool di accesso remoto Dal luglio al settembre 2011 è stata sferrata una campagna di attacchi denominata “Nitro”. Per l’occasione è stato usato un RAT pronto all’uso chiamato Poison Ivy per svelare i segreti di oltre 50 aziende, molte delle quali operanti nel settore chimico e della difesa. Poison Ivy è stato installato nei PC Windows di utenti vittime di scam attuate via e-mail. Le e-mail sollecitavano richieste di incontri da parte di insospettabili partner dell’azienda o, in alcuni casi, aggiornamenti di software antivirus o Adobe Flash Player. Quando gli utenti aprivano l’allegato, installavano inconsapevolmente Poison Ivy sulle loro macchine. A partire da quel Non sempre è giusto condividere La condivisione è un termine positivo, spesso associato all’attenzione per il prossimo. Il discorso cambia quando si condividono contenuti utilizzando applicazioni di File Storage e File Sharing sul posto di lavoro. Una delle caratteristiche Principali applicazioni file storage e sharing (% di organizzazioni) i 9 %M c ocke c r t Sk ro s o f v yDri e Fonte: Check Point Software Technologies 10 tL % Pu dIt 69 % Dropbox 13 % rs yn Su g a uS en 51 % Windows Live Office Yo 22 % Tabella 3-G Ulteriori informazioni sulle principali applicazioni di file storage e sharing sono disponibili nell’Appendice B 024 momento gli hacker sono stati in grado di inviare istruzioni ai computer compromessi, violare password più complesse per ottenere accesso ai server che contenevano informazioni sensibili e infine scaricare il contenuto rubato in sistemi da loro controllati. 29 delle 48 aziende attaccate con successo operavano nel commercio di sostanze chimiche e di materiali avanzati - alcune di queste legate ai veicoli militari – mentre le altre 19 erano attive in altri settori, tra cui la difesa21. Nitro non è il solo esempio di uso improprio di RAT, altri esempi sono l’attacco a RSA, ShadyRAT e Operation Aurora. In tutti questi casi è stato utilizzato Poison Ivy. L’80% DELLE ORGANIZZAZIONI FA USO DI APPLICAZIONI DI FILE STORAGE E SHARING principali del Web 2.0 è la capacità di generare contenuti e condividerli, ma questo comporta anche dei rischi. Informazioni sensibili possono finire nelle mani sbagliate a causa della condivisione dei file. La nostra ricerca include applicazioni di File Storage e Sharing che possono causare perdite di dati o infezioni da malware senza che gli utenti se ne accorgano. Il nostro studio mostra come l’80% delle aziende abbia almeno un’applicazione di file storage o di sharing sulla propria rete. Abbiamo scoperto che il 69% degli eventi accade come conseguenza dell’utilizzo di Dropbox. Windows Live Office è al secondo posto con il 51%. Utilizzo di applicazioni ad alto rischio per settore di mercato Check Point ha analizzato l’utilizzo di applicazioni ad alto rischio dal punto di vista dei diversi settori di mercato. La figura 3-E indica che le aziende nel settore industriale e della pubblica amministrazione sono tra quelle che utilizzano maggiormente applicazioni ad alto rischio. Ci sono casi in cui l’uso di alcune di queste applicazioni potrebbe essere legittimo, è il caso dell’utilizzo dei RAT da parte dell’help desk, per cui la barra orizzontale nell’immagine indica il livello di probabilità di un uso legittimo in azienda. CHECK POINT 2013 SECURITY REPORT 03 _ APPLICAZIONI ENTERPRISE P ercentuale di < Re organizzazioni che l eva n ce fanno uso di applicazioni usi nes sU sag e dm in ad alto rischio, per To B m ot eA settore di mercato Sh ar in g Re (% di organizzazioni) ea nd Industria Fi le Sh Fi Telco ar le in g St or ag Pubblica Amministrazione ize r P2 P Finance 48% 38% 42% 44% 44% 29% An on ym Consulenza 55 59 % % Fonte: Check Point Software Technologies 63% % 62 % 82 % 82 84 81 71% 70% 71% % 82 % 81 % % 76% Tabella 3-E 025 DUE SIGNIFICATIVI INCIDENTI DI SICUREZZA CON DROPBOX IN DUE ANNI Nel luglio 2012 è stato sferrato un attacco agli utenti di Dropbox. User name e password divulgati su un altro sito web sono state provate sugli account Dropbox. Gli hacker hanno usato una password rubata per effettuare il login a un account di un dipendente di Dropbox che conteneva un documento con gli indirizzi email degli utenti. I criminali hanno utilizzato questi indirizzi per inviare spam22. L’incidente illustra una tattica frequente utilizzata dagli hacker. Essi rubano spesso user e password da siti che, a un primo sguardo, sembrano non contenere informazioni personali o finanziarie. In seguito provano queste credenziali su Utilizzo dell’ampiezza di banda da parte dei principali social network Uso medio calcolato per applicazioni di social network L in 12 % i t t er ke dIn Tabella 3-H Fonte: Check Point Software Technologies Tw 13 % 59 % Facebook Post di Facebook o virus? In seguito alla crescente popolarità dei social network, sono sempre più numerose le sfide che le aziende devono affrontare. Postare inavvertitamente sulle applicazioni social informazioni relative a progetti riservati potrebbe nuocere alla reputazione di un’azienda, portare svantaggi nei confronti della concorrenza e causare perdite economiche. I cyber criminali stanno sfruttando nuove tecniche di “hackeraggio” di tipo social per dare vita ad attività botnet. I video e i link sulle pagine dei social network sono mezzi sempre più sfruttati dagli hacker per diffondere malware. Oltre ai rischi per la sicurezza, le applicazioni di social networking creano un serio problema di consumo della larghezza di banda della rete. Facebook è senza dubbio uno dei social network con più accessi. Altri social network visitati durante la giornata lavorativa (sensibilmente meno di Facebook) sono Twitter e LinkedIn. siti Web di banche, account di brokeraggio e account Dropbox dove è più probabile trovare informazioni più lucrative. Nel 2011, un bug nell’aggiornamento del software di Dropbox ha reso possibile effettuare il login a qualsiasi account di Dropbox semplicemente conoscendo l’indirizzo e-mail dell’utente. Questo bug ha lasciato esposti i documenti e le informazioni condivise. Il problema è stato risolto in qualche ora, ma è servito come monito sia per gli utenti che per le aziende i cui dipendenti usano servizi di file sharing e storage, quali Dropbox e Google Docs, per conservare informazioni aziendali riservate23. Un link di Facebook che porta a un sito infetto: Attacchi di Social Engineering – una case study Attacchi recenti indicano che gli hacker stanno passando dall’uso 026 CHECK POINT 2013 SECURITY REPORT 03 _ APPLICAZIONI ENTERPRISE di e-mail a quello dei social network come canale di distribuzione. Il caso seguente si basa su un attacco reale verificatosi nell’agosto 2012. Gli hacker hanno usato una tecnica di social engineering su Twitter e Facebook per distribuire contenuto infetto. Utilizzando un account Twitter compromesso, l’hacker ha inviato messaggi diretti ai follower del profilo violato. Il messaggio era il seguente: CONSIGLI PER UN UTILIZZO SICURO DELLE APPLICAZIONI WEB SULLA RETE Come si attua un’efficace protezione Web 2.0? “exactly what were you doing inside this film [Facebook-URL]… wow disturbing”. L’URL indirizza a un’app di Facebook che richiede il login su Twitter. La schermata di login è in realtà un web server Il primo step per proteggere l’utilizzo delle applicazioni web in azienda è quello di adottare una soluzione di sicurezza che garantisca controllo e applicazione su tutti gli aspetti dell’utilizzo del web. È necessaria la completa visibilità su tutte le applicazioni in funzione nell’ambiente, insieme alla capacità di controllarne l’utilizzo. Questo livello di controllo deve essere assicurato sulle applicazioni client (come Skype), ma anche in caso di usi più tradizionali come le URL dei siti web. Dato che molti siti (quali Facebook) consentono l’esecuzione di numerose applicazioni basate sul loro URL, è fondamentale avere una granularità che vada oltre il livello dell’URL - per esempio la chat o i giochi di Facebook. Una volta che questo viene garantito, le aziende dovrebbero essere in grado di bloccare le applicazioni che potrebbero mettere in pericolo la sicurezza. Consentire l’uso dei Social Media per le attività di gestito dall’hacker che viene utilizzato per ottenere le credenziali su Twitter del destinatario. Usando le credenziali di Twitter, l’hacker può utilizzare lo stesso processo per ottenere ancora più password e usarle con altri servizi quali Gmail, Facebook ecc. Ma, peggio ancora, per effettuare il login sui conti online o persino su servizi aziendali quali SalesForce e altri. Dopo che il messaggio infetto è stato re-distribuito (ma questa volta a tutti i follower del povero utente), l’unica cosa da fare in questa situazione è stato postare le proprie scuse. business Ci sono casi in cui le aziende decidono di bloccare del tutto Facebook, anche se per molte di esse rappresenta anche uno strumento di business fondamentale. Le aziende vi pubblicano spesso informazioni sui prossimi webinar ed eventi o sulle ultime release e prodotti, oppure link a video e articoli interessanti. Come si può consentire l’uso dei social media in azienda senza compromettere la sicurezza di quest’ultima? Controllando le feature e i widget della applicazioni e delle piattaforme. Consentire l’uso di Facebook e bloccare le parti di esso meno rilevanti per le attività di business rende 027 2013 CHECK POINT ANNUAL SECURITY REPORT 03 _ APPLICAZIONI ENTERPRISE possibile l’utilizzo dei social media riducendo al minimo i rischi per la sicurezza che questi comportano. Utenti differenti hanno esigenze differenti Utenti differenti in azienda hanno esigenze diverse, e la policy di security dovrebbe supportare le attività di business, non interferire con esse. Per esempio, un commerciale potrebbe usare Facebook per restare in contatto con clienti e partner, mentre un membro dell’IT potrebbe usarlo per aggiornarsi sulle novità di settore. In che modo è quindi possibile assicurarsi che gli utenti ottengano l’accesso di cui hanno bisogno? Ha senso prevedere che il security manager conosca il livello di accesso da concedere a ogni utente e a ogni gruppo? Una soluzione pratica deve consentire una consapevolezza granulare a livello di utente, gruppo e macchina per fare una distinzione in modo semplice tra dipendenti e altri utenti (per esempio guest e contractor). Un altro aspetto importante è la capacità di istruire e coinvolgere gli utenti finali in tempo reale quando utilizzano le applicazioni. Quando un utente visita un sito o lancia un’applicazione sospetti, un messaggio pop up può richiedere all’utente di giustificare l’esigenza di business dietro a questa decisione, la sua risposta è registrata e monitorata, mentre il messaggio può istruire l’utente sulla policy aziendali e renderlo edotto del fatto che l’utilizzo di determinate applicazioni è sottoposto a verifiche. ‘Conoscere’ è una componente critica del controllo sul web Gli amministratori devono avere una visibilità globale sugli eventi di sicurezza nel web per assicurarne il controllo. È necessaria una soluzione che possa garantire un’ampia visibilità 028 RENDERE SICURO IL WEB 2.0 RICHIEDE UN APPROCCIO INTEGRATO DI URL FILTERING, APPLICATION CONTROL, CONSAPEVOLEZZA ED EDUCAZIONE DEGLI UTENTI, OLTRE ALLA POSSIBILITà CHE L’AMMINISTRATORE ABBIA SEMPRE IL CONTROLLO DEL WEB. sugli eventi di Web Security. La soluzione dovrebbe garantire funzionalità di visibilità e monitoraggio quali per esempio una timeline di eventi e una lista esauriente di questi eventi che possano essere filtrati, raggruppati e selezionati per utente, applicazione, categoria, livello di rischio, consumo di banda, tempo ecc. È importante anche essere in grado di generare report offline per mostrare le principali categorie, applicazioni, siti e utenti per il trend e capacity planning. Conclusioni Le regole del gioco sono cambiate. Proteggere il Web 2.0 non è più semplice come bloccare una URL sospetta. Non è più sufficiente bloccare l’esecuzione di un’applicazione. La protezione del Web 2.0 richiede un approccio integrato di protezione multi-livello: URL filtering, controllo delle applicazioni, protezione da malware e bot – integrando user awareness, istruzione dell’utente, tool sofisticati di monitoraggio e analisi dell’evento per consentire agli amministratori di tenere tutto sotto controllo in ogni momento. 2013 CHECK POINT ANNUAL SECURITY REPORT 04 CASI DI PERDITA DI DATI ALL‘INTERNO DELLA RETE Dati aziendali: il bene più prezioso di un’organizzazione I dati aziendali sono oggi più accessibili e portatili che mai, e la maggior parte di essi è da considerarsi, a diverso titolo, sensibile. Alcuni sono confidenziali semplicemente perché includono informazioni aziendali interne che non devono essere rese pubblicamente disponibili. Altri possono essere definiti sensibili sulla base di indicazioni aziendali, leggi nazionali e regolamentazioni internazionali. Ma in molti casi il valore dei dati dipende dalla loro confidenzialità – basti pensare alla proprietà intellettuale e alle informazioni legate alla concorrenza. A rendere la questione ancora più complessa, assieme alla gravità del fenomeno della perdita dei dati, vi sono oggi strumenti e pratiche che rendono ancora più probabili errori irreversibili: server cloud, Google docs, ma anche il semplice abuso involontario di procedure aziendali – come ad esempio nel caso in cui un dipendente porta il lavoro a casa. Effettivamente, la maggior parte dei casi di perdita di dati avviene per cause non volontarie. il Perdere i dati può succedere a tutti La perdita di dati può avvenire non sono per opera di un criminale informatico, ma anche involontariamente, causata dai dipendenti. Un documento confidenziale potrebbe essere inviato per errore alla persona sbagliata, materiale sensibile condiviso su un sito pubblico o un file di lavoro inviato a un account email privato non autorizzato. Si tratta di scenari che possono inavvertitamente accadere ad ognuno di noi, con risultati potenzialmente devastanti. La perdita di dati sensibili può portare a un danno d’immagine, a violazioni di conformità, a perdita di profitti e persino a multe salate. La nostra ricerca Quando un’organizzazione intende definire quali dati non dovrebbero essere inviati all’esterno dell’organizzazione, deve considerare una serie di variabili diverse. Di che tipo di dati si tratta? Chi li possiede? Chi li invia? Chi dovrebbe riceverli? Quando dovrebbero essere inviati? Che costi si hanno se i processi di business vengono interrotti a causa di policy di sicurezza più 54% D E L L E O R G A N I Z Z A Z I O N I CO I N V O LT E N E L L A R I C E R C A H A R I S CO N T R ATO A L M E N O U N P OT E N Z I A L E I N C I D E N T E D I P E R D I TA D E I DAT I O O P S… H O M A N DATO L’E M A I L A L L’ I N D I R I Z ZO S B AG L I ATO A ottobre 2012, il comune di Stoke-on Trent nel Regno Unito è stato multato 120.000 sterline dopo che un responsabile del dipartimento legale ha inviato email contenenti informazioni sensibili all’indirizzo sbagliato. Undici email destinate a un legale che stava curando un caso sono state inviate a un altro indirizzo email a causa di un errore di digitazione. Il quotidiano giapponese Yomiuri Shimbun ha licenziato uno dei suoi reporter a ottobre 2012 per aver inviato per errore alle persone sbagliate informazioni sensibili legate ad un’indagine. Il reporter intendeva inviare alcuni risultati della sua ricerca ai colleghi via email, ma ha mandato i messaggi a differenti testate, rivelando così l’identità delle sue fonti24. rigide del necessario? Nella ricerca abbiamo analizzato traffico inviato dall’interno verso l’esterno delle organizzazioni. Abbiamo esaminato sia il traffico HTTP che quello SMTP. Ad esempio, nel caso di email inviate a un destinatario esterno, un dispositivo Check Point ha analizzato il corpo dell’email, i destinatari e gli allegati (anche quelli compressi). Sono state inoltre analizzate le attività di navigazione nel web, come i post online e la web mail. Come policy di sicurezza su questi dispositivi, abbiamo configurato “chiavi in mano” una serie modelli di dati prestabiliti per rilevare dati sensibili, modelli e schemi (come numeri di carte di credito, codici sorgenti, dati finanziari e altro ancora) che potrebbero indicare una fuga potenziale di dati giungendo nelle mani sbagliate. Una lista dettagliata di tipi di dati è disponibile nell’Appendice D. Perdita potenziale di dati in azienda La ricerca ha rilevato che il 54% delle organizzazioni ha riscontrato almeno un evento che potrebbe indicare una potenziale perdita dei dati in un periodo medio di 6 giorni. Sono stati considerati eventi che includono informazioni interne (si veda la lista dei Ad aprile 2012, il Virginia Military Institute di Lexington ha inviato inavvertitamente i risultati scolastici degli studenti attraverso un allegato email. Un’email è stata inviata ad un responsabile di classe con un file allegato che rivelava la media dei voti di ogni studente senior. Senza aver notato l’allegato, il responsabile ha a sua volta inviato il messaggio ad altri 258 studenti. L’intenzione originale era di inviare un unico file con nomi e recapiti in modo da consentire agli studenti di confermare i loro indirizzi postali25. La Texas A&M University ha inviato accidentalmente un’email con un allegato contenente 4.000 numeri di previdenza sociale, nomi e indirizzi di ex studenti a un individuo che successivamente ha notificato l’errore all’università. L’incidente è avvenuto ad Aprile 201226. Percentuale di organizzazioni che hanno registrato almeno un evento di perdita potenziale di dati, per settore e a (% di organizzazioni) b b l i c i s tr a z i o n u P n 7 0 % A mm i Fonte: Check Point Software Technologies Ecco alcuni esempi di casi di perdita dei dati causati in maniera involontaria dai dipendenti nel corso del 2012: Fin 61 % Ind 50 % Tel 45 % 33 n % Co s u l en u s tr i anc e a co za Alt 54 % ro Tabella 4-Aׁ 031 2013 CHECK POINT ANNUAL SECURITY REPORT 04 _ INCIDENTI DI DATA LOSS IN RETE NEL 28% DELLE ORGANIZZAZIONI è STATA TROVATA UN’EMAIL INTERNA INVIATA A UN DESTINATARIO ESTERNO Email interne inviate all’esterno dell’organizzazione In molti casi, la perdita dei dati accade involontariamente, con un dipendente che manda un’email al destinatario sbagliato. Nella ricerca abbiamo considerato due differenti tipologie di messaggi email che potrebbero indicare tali casi. Il primo tipo consiste in email inviate con destinatari interni visibili (A e CC) e destinatari esterni in CCN. Tali email, nella maggior parte dei casi, appaiono come interne ma vengono inviate in realtà al di fuori dell’azienda. Il secondo tipo consiste in email inviate a numerosi destinatari interni e a un singolo esterno. Tali email sono solitamente inviate involontariamente a un destinatario esterno errato. Uno o entrambi questi tipi di casi sono stati registrati nel 28% delle organizzazioni prese in esame. Qual è la tipologia di dati che i dipendenti inviano a destinatari esterni o pubblicano online? La tabella 4-C mostra i principali tipi di dati che vengono inviati a soggetti esterni all’organizzazione. Le informazioni relative alle carte di credito sono in cima alla lista, seguite dal codice sorgente e da file protetti da password. L’azienda è conforme allo standard PCI? I dipendenti inviano numeri di carte di credito, i propri e quelli dei clienti, attraverso Internet. Inviano le ricevute di pagamento 032 dei clienti, che contengono numeri di una carta di credito in un allegato email. Rispondono a messaggi email dei clienti contenenti originariamente il numero di carta di credito nel corpo email. A volte, i dipendenti inviano persino file con i dati del cliente a destinatari email privati o a un partner aziendale. Spesso, i casi che interessano numeri di carta di credito sono il risultato di un processo aziendale incompleto o di mancanza di attenzione e consapevolezza da parte del dipendente. Tali incidenti possono anche indicare che le policy di sicurezza aziendale non rispondono all’obiettivo di promuovere un utilizzo sicuro e attento delle risorse. Inoltre, inviare i numeri di carta di credito via internet non è conforme ai requisiti PCI DSS 4, che impongono che i dati dell’intestatario della carta vengano crittografati durante la trasmissione attraverso reti pubbliche aperte. Non essere conformi allo standard PCI DSS può avere conseguenze in termini di reputazione, cause, richieste assicurative, rimozione di account, problemi nei pagamenti via carta di credito e multe governative. Nella ricerca è stato analizzato il traffico in uscita dalle organizzazioni e preso in esame il contenuto di tutte le parti del messaggio, inclusi allegati e archivi, la ricerca di email contenenti numeri di carta di credito e dati sull’intestatario. Le valutazioni si basano su abitudini di utilizzo, validazione di codici di controllo, e normative di conformità PCI DSS. La nostra ricerca mostra come nel 29% delle organizzazioni sia stato riscontrato nel periodo preso Percentuale di organizzazioni in cui sono state inviate informazioni sulla carta di credito a fonti esterne, per settore ione l ica (% di organizzazioni) Pubbministraz % 4 7 Am Fonte: Check Point Software Technologies tipi di dati nell’Appendice D) che erano state inviate a risorse esterne, attraverso la spedizione ad un destinatario email esterno o la loro pubblicazione online. La nostra ricerca indica come le organizzazioni governative e finanziarie registrino il più alto rischio di perdita potenziale dei dati (si veda la tabella 4-A). Fin 36 % Ind 26 % Tel 18 % 11 n % Co Tabella 4-B co s u l en za Alt 26 % ro u s tr i a anc e nel 36% D E L L E O R G A N I Z Z A Z I O N I F I N A N Z I A R I E, I N F O R M A Z I O N I R E L AT I V E A C A R T E D I C R E D I TO S O N O S TAT E I N V I AT E a L L’E S T E R N O Dati inviati all’ esterno dell’organizzazione dai dipendenti (% di organizzazioni) rd ri 21% i co ri d Nu me Alt ro nti ba n ca tri fi ri nan z ia Tabella 4-C Fonte: Check Point Software Technologies ri a la g is i re i on or ma z In ir rt 3% 2 9% a rm o f n z io i ve t a el a ac cr In f C i % % 24 ic od i ed to as i nt ge s or i ed Re a ti d wo 6% p et ro t s pa s n ia l i l at i ve 14 ile %F nat e co 13 7 l mai E % eg r a ss t n co m e co nz fide 2013 CHECK POINT ANNUAL SECURITY REPORT 04 _ INCIDENTI DI DATA LOSS IN RETE in esame almeno un caso di invio all’esterno dell’organizzazione di informazioni interessate dallo standard PCI. Abbiamo rilevato che nel 36% delle organizzazioni finanziarie, solitamente obbligate a essere conformi alle normative PCI, si è verificato almeno un evento legato allo standard PCI. HIPAA La normativa sulla privacy HIPAA fornisce protezione federale per le informazioni sullo stato di salute personale e offre ai pazienti una serie di diritti su tali informazioni. Allo stesso tempo, la normativa sulla Privacy è regolata in modo da permettere la divulgazione di informazioni sanitarie personali e altri scopi importanti.27 La HIPAA Privacy Rule consente ai fornitori di assistenza sanitaria di utilizzare email per discutere problemi sanitari con i loro pazienti, a patto di applicare le dovute precauzioni. La crittografia non è obbligatoria; tuttavia dovrebbero essere garantite altre tutele per proteggere adeguatamente la privacy. In che modo si mantengono i canali di comunicazione email aperti con i pazienti e i partner salvaguardando al contempo la privacy e mantenendo le organizzazioni conformi agli standard HIPAA? Nella nostra ricerca, abbiamo monitorato il traffico in uscita dalle organizzazioni analizzando ogni parte dei messaggi e gli allegati, cercando email contenenti informazioni private sui pazienti e identificando informazioni personali (come numero di previdenza sociale) e la relativa terminologia medica (CPT, ICD-9, LOINC, DME, NDC, ecc.). Abbiamo scoperto che nel 16% delle organizzazioni del settore sanitario e assicurativo, informazioni sanitarie soggette alla protezione dallo standard HIPAA Information sono state inviate all’esterno dell’organizzazione, a un destinatario email esterno oppure pubblicate online. RACCOMANDAZIONI DI SICUREZZA Nel mondo odierno, caratterizzato da casi sempre più frequenti di perdita di dati, le organizzazioni non possono fare altro che cercare di proteggere i loro dati sensibili. La migliore soluzione per prevenire la fuga involontaria di dati è implementare una policy aziendale automatizzata in grado di rilevare i dati protetti prima che questi vadano al di fuori dell’organizzazione. Una soluzione di questo tipo è nota come Data Loss Prevention (DLP). I prodotti DLP in grado di analizzare il contenuto sono dotati di un ampio set di funzionalità, e le organizzazionidispongonocosìdinumeroseopzioniperintraprendere un’implementazione di questo tipo. Prima di adottare una soluzione DLP, le aziende hanno bisogno di sviluppare strategie DLP chiare con un’indicazione precisa dei requisiti, quali le informazioni che si considerano confidenziali, chi le può inviare, e così via. Motore di classificazione dati L’elevata precisione nell’identificazione di dati sensibili è un elemento critico di una soluzione DLP. La soluzione DLP deve essere in grado di rilevare informazioni che consentono un’identificazione personale, dati relativi alla conformità (HIPAA, SOX, dati PCI, ecc.), e dati di business confidenziali. Dovrebbe 16% NEL D E L L E O R G A N I Z Z A Z I O N I S A N I TA R I E E A S S I C U R AT I V E, I N F O R M A Z I O N I S A N I TA R I E S O G G E T T E A P R OT E Z I O N E H I PA A S O N O S TAT E I N V I AT E A L L’E S T E R N O D E L L’O R G A N I Z Z A Z I O N E CHECK POINT 2013 SECURITY REPORT 04 _ INCIDENTI DI DATA LOSS IN RETE analizzare i flussi di contenuti e abilitare policy sui protocolli TCP più diffusi, inclusi SMTP, FTP, HTTP, HTTPS e webmail. La soluzione DLP dovrebbe inoltre essere in grado di condurre analisi per corrispondenza di modelli e classificazione dei file in modo da identificare tipi di contenuti indipendentemente dall’estensione applicata al file o dalla compressione. Inoltre, la soluzione DLP deve essere in grado di riconoscere e proteggere modelli, basati su schemi predefiniti e corrispondenza file/modello. Caratteristica importante di una soluzione DLP è la capacità di creare tipologie personalizzate di dati in grado di garantire la massima flessibilità, oltre alle tipologie di dati pronti all’uso che vengono forniti dai vendor. Abilitare gli utenti a rimediare agli incidenti Le soluzioni DLP tradizionali possono rilevare, classificare e persino riconoscere documenti specifici e vari tipi di file, ma non possono rilevare l’intenzione dell’utente che sta dietro la condivisione di informazioni sensibili. La tecnologia da sola non è sufficiente, perché non può identificare questa intenzione, e rispondere di conseguenza. Per questo, una buona soluzione DLP deve coinvolgere gli utenti in modo da ottenere risultati ottimali. Una modalità possibile è mettere gli utenti nelle condizioni di poter rimediare agli incidenti in tempo reale – la soluzione DLP dovrebbe informare l’utente che la sua azione potrebbe risultare in un potenziale caso di perdita di dati, e dare la possibilità all’utente di decidere se annullare il messaggio o mandarlo comunque. Questo migliora la sicurezza attraverso una maggiore consapevolezza delle policy di utilizzo dei dati, avvisando gli utenti di errori potenziali e consentendo loro di rimediare immediatamente, permettendo al contempo una rapida autorizzazione nel caso di comunicazioni legittime. Questo approccio rende inoltre più semplice la gestione. Mentre l’amministratore può tenere traccia di eventi DLP per un’analisi, non vi è necessità di rispondere in tempo reale a ogni richiesta di invio dati all’esterno dell’azienda. Protezione contro violazioni interne dei dati Un’altra importante funzionalità DLP è la possibilità di controllare non solo che i dati sensibili non vadano all’esterno dell’azienda, ma anche di analizzare e controllare il traffico di email sensibili tra i vari dipartimenti. Possono essere definite policy per evitare che dati confidenziali raggiungano i dipartimenti sbagliati. Esempi di dati che potrebbero avere bisogno di una protezione dalla trasmissione accidentale ad altri dipartimenti sono piani salariali, documenti confidenziali sulle risorse umane, documentazione relativa a fusioni e acquisizioni, o moduli sanitari. Protezione dei dati per gli hard disk degli endpoint Le aziende devono proteggere i dati presenti sui loro laptop come parte di una policy di sicurezza estesa. Se questi dati non sono protetti, elementi esterni possono avere accesso a informazioni importanti tramite laptop smarriti o persi, e questo può avere ripercussioni di tipo legale e finanziario. Una soluzione adeguata dovrebbe prevenire l’accesso di utenti non autorizzati a informazioni tramite una cifratura dei dati sugli hard disk di tutti gli endpoint, inclusi dati degli utenti, file dei sistemi operativi e file temporanei o cancellati. Protezione dei dati per i supporti rimovibili Per evitare che dati aziendali finiscano in mani sbagliate attraverso dispositivi storage USB e altri supporti rimovibili, è necessario implementare anche per questi dispositivi una cifratura e una prevenzione degli accessi non autorizzati. Spesso, i dipendenti mescolano file personali quali musica, immagini, e documenti, e file di lavoro quali documenti finanziari o delle risorse umane, su supporti portatili rendendo ancora più arduo mantenere il controllo sui dati aziendali. Attraverso una crittografia dei dispositivi storage rimovibili, le violazioni di sicurezza possono essere minimizzate anche nel caso in cui i dispositivi vengano compromessi. Protezione dei documenti I documenti aziendali vengono caricati sul web da applicazioni file-storage, inviati a smartphone personali, copiati su dispositivi multimediali rimovibili e condivisi esternamente con i partner aziendali su base regolare. Ognuna di queste operazioni mette i dati sensibili a rischio di essere smarriti o utilizzati in maniera impropria, o che persone non autorizzate vi accedano. Per mantenere i documenti aziendali protetti e al sicuro, una soluzione di sicurezza deve essere in grado di abilitare una policy di crittografia documenti e concedere l’accesso solo agli individui autorizzati. Event Management Definire le regole DLP per rispondere alle policy di utilizzo dei dati dell’organizzazione dovrebbe andare di pari passo con capacità adeguate di monitoraggio e reporting. Per minimizzare i risultati di una potenziale perdita di dati in un’organizzazione, la soluzione di sicurezza deve includere monitoraggio e analisi di eventi DLP in tempo reale e storici. Questo offre agli amministratori di sicurezza una chiara ed estesa visibilità delle informazioni che vengono inviate all’esterno e delle rispettive fonti, oltre alla capacità di agire in tempo reale in caso di necessità. 035 2013 CHECK POINT ANNUAL SECURITY REPORT 05 CONCLUSIONI E STRATEGIE DI SICUREZZA CONCLUDEREMO IL REPORT CON UN’ALTRA CITAZIONE DI SUN ZI PRESA DALLA SUA “ARTE DELLA GUERRA”. ECCO UN CONSIGLIO PER UN GENERALE: sicurezza deve evolvere da una raccolta di tecnologie e prassi distinte per diventare un processo aziendale efficace. Check Point raccomanda che le aziende considerino tre fattori nell’implementazione di una strategia e di una soluzione di sicurezza: le policy, le persone e l’esecuzione. „RADUNATO UN ESERCITO E CONCENTRATE LE FORZE, IL COMANDANTE NE DEVE FONDERE ED ARMONIZZARE GLI ELEMENTI PRIMA DI INIZIARE LE OPERAZIONI.” 28 Policy La sicurezza comincia con una policy ben definita e conosciuta in tutta l’azienda – strettamente legata alle esigenze aziendali piuttosto che ad un gruppo di tecnologie eterogenee e di controlli a livello di sistema. Le policy dovrebbero tenere conto del fatto che la priorità è l’azienda, oltre a suggerire modalità sicure di conduzione delle attività di business, come parte della policy. Per esempio, nel corso dell’analisi abbiamo scoperto che i dipendenti utilizzavano applicazioni web necessarie per l’andamento del business, ma potenzialmente in grado di compromettere la sicurezza aziendale. Se si andassero ad implementare semplicemente tecnologie che bloccano l’utilizzo di queste applicazioni, l’IT verrebbe letteralmente ricoperto di lamentele da parte dei dipendenti, o peggio ancora, gli stessi cercherebbero modi per aggirare la policy creando rischi per la sicurezza. Check Point raccomanda invece di creare una policy in grado di riconoscere i casi in cui sia necessario l’uso di tali applicazioni e di definire una procedura per garantirne l’utilizzo in tutta sicurezza. Gli utenti dovrebbero essere avvisati automaticamente della policy in caso di necessità. 2.600 anni dopo, lo stesso approccio si adatta perfettamente all’odierna lotta contro i cyber criminali – la migliore rete di sicurezza è assicurata quando i differenti livelli di protezione sono armonizzati tra loro per contrastare tutti gli aspetti delle varie minacce. Questo report ha trattato molteplici temi legati ai rischi che Check Point ha individuato in un ampio gruppo di aziende. Ha mostrato come bot, virus, violazioni e attacchi siano una minaccia reale e costante per la sicurezza aziendale. Lo studio ha evidenziato anche come alcune applicazioni web utilizzate dai dipendenti possano compromettere la sicurezza della rete. Infine, ha dato prova del fatto che i dipendenti sono soliti porre in essere molte attività potenzialmente in grado di causare una perdita involontaria di dati sensibili. Nella strategia di sicurezza aziendale la tecnologia da sola non è abbastanza L’approccio di Check Point volto a raggiungere il livello di sicurezza necessario per proteggere un’azienda riconosce il fatto che la tecnologia, da sola, non sia sufficiente. La 036 Persone Gli utenti dei computer rappresentano una componente critica del processo di sicurezza. Sono spesso loro a commettere errori che causano infezioni da malware e perdite dei dati. Le aziende dovrebbero assicurarsi che gli utenti siano coinvolti nel processo di sicurezza. I dipendenti devono essere informati ed CHECK POINT 2013 SECURITY REPORT 05 _ CONCLUSIONI E STRATEGIE DI SICUREZZA istruiti sulle policy e su come ci si aspetta che si comportino quando navigano su Internet o condividono dati sensibili. Contemporaneamente, la sicurezza dovrebbe essere il più possibile continua e trasparente, e non dovrebbe modificare il modo di lavorare dei dipendenti. L’implementazione di un programma di sicurezza dovrebbe includere: • Un programma di formazione – per far sì che tutti gli utenti siano consapevoli del fatto che i sistemi sono potenzialmente vulnerabili agli attacchi e che le loro azioni potrebbero contribuire a prevenirli. • Tecnologia – per informare in tempo reale le persone sul perché certe operazioni siano pericolose e consigliare loro come eseguirle in sicurezza. Esecuzione L’implementazione di soluzioni di sicurezza – come il software di protezione degli endpoint e i gateway – è di vitale importanza per la salvaguardia delle aziende da violazioni e perdita di dati. Gateway di sicurezza dovrebbero essere installati in tutti i punti di interconnessione, per assicurare che solo il traffico rilevante e autorizzato entra o esca dal network. Questa convalida dovrebbe avvenire a tutti i livelli e in generale su comunicazioni, protocolli, metodi, query, risposte e payload utilizzando soluzioni di sicurezza quali Firewall, Application Control, URL Filtering, DLP, IPS, Anti-Virus e Anti-Bot. 037 2013 CHECK POINT ANNUAL SECURITY REPORT 06 CHECK POINT SOFT WARE TECHNOLOGIES Check Point Software Technologies Ltd. (www.checkpoint. com), leader mondiale della sicurezza su Internet, è l’unico vendor in grado di offrire ai clienti una protezione senza compromessi da ogni tipo di minacce, diminuisce la complessità della sicurezza e riduce i costi totali di possesso. Grazie a FireWall-1 e alla tecnologia Stateful Inspection, Check Point può essere definito un pioniere nel settore della sicurezza. Oggi, Check Point continua ad innovare con lo sviluppo dell’architettura Software Blade grazie alla quale è in grado di offrire soluzioni sicure, semplici e flessibili che possono essere completamente personalizzate per rispondere alle specifiche esigenze di ogni organizzazione. Check Point è l’unico vendor in grado di andare oltre la tecnologia e definire la sicurezza come un processo di business. La 3D Security di Check Point combina in modo unico policy, persone ed esecuzione per ottenere la massima protezione degli asset informativi e aiutare le organizzazioni a creare modelli di sicurezza allineati con le necessità di business. Tra i clienti Check Point vi sono decine di migliaia di organizzazioni di ogni dimensione, tra cui tutte le aziende della lista Fortune e Global 100. Inoltre, la nota linea di soluzioni ZoneAlarm protegge milioni di utenti individuali da hacker, spyware e furti di identità. Check Point 3D Security Check Point 3D Security ridefinisce la sicurezza come un processo di business a tre dimensioni, che combina persone, policy ed esecuzione per una protezione su tutti i livelli – tra cui reti, dati ed endpoint. Per ottenere il livello di protezione che il ventunesimo secolo richiede, la sicurezza deve evolvere da un insieme di tecnologie differenti a un efficace ed effettivo processo di business. Con la 3D Security, le organizzazioni possono ora implementare un modello di sicurezza in grado di andare oltre la tecnologia per garantire l’integrità di tutta 038 la information security. Check Point 3D Security permette alle organizzazioni di ridefinire la sicurezza integrando queste dimensioni in un processo di business: Policy che supportano le necessità di business e trasformano la sicurezza in un processo aziendale Sicurezza che coinvolge le Persone della definizione delle policy, nella formazione e nella risoluzione degli incidenti Eseguire, consolidare e controllare tutti i livelli di sicurezza – rete, dati, applicazioni, contenuti e utenti Check Point Software Blade Architecture Come strumento fondamentale per creare una reale 3D Security, la Check Point Software Blade Architecture™ permette alle aziende di applicare policy di sicurezza ed al tempo stesso educare gli utenti a seguire queste policy. La Software Blade Architecture è la prima ed unica architettura di sicurezza in grado di offrire una security realmente totale, flessibile e gestibile, ad aziende di ogni dimensione. E, cosa ancor più importante, man mano che nuove minacce e necessità emergono, Check Point Software Blade Architecture estende in modo veloce e flessibile i propri servizi di sicurezza on-demand – senza richiedere nuovo hardware o particolari difficoltà di gestione. Le soluzioni vengono gestite centralmente tramite una singola console che riduce la complessità ed il carico operativo. Una protezione a più livelli è particolarmente critica oggi per combattere minacce dinamiche, quali bot, trojan ed Advanced Persistent Threat CHECK POINT 2013 SECURITY REPORT 06 _ SUMMARY AND SECURITY STRATEGY (APT). I firewall oggi sono più simili a gateway multi-funzione, ma non tutte le realtà richiedono la stessa sicurezza ovunque. Le aziende ricercano flessibilità e controllo sulle loro risorse di sicurezza. Le Software Blade sono applicazioni o moduli di sicurezza – come ad esempio firewall, Virtual Private Network (VPN), Intrusion Prevention System (IPS) o Application Control – indipendenti, modulari e gestiti centralmente. Permettono alle aziende di ottenere una configurazione di sicurezza personalizzata, in grado di raggiungere il mix ideale tra protezione ed investimenti. Le Software Blade possono essere velocemente abilitate e configurate su ogni gateway o sistema di gestione con un semplice click del mouse – senza che siano necessari aggiornamenti dell’hardware, del firmware o dei driver. E man mano che le necessità evolvono, ulteriori Software Blade possono essere facilmente attivate per estendere la security a una configurazione esistente sullo stesso hardware di sicurezza. Check Point offre una gestione centralizzata degli eventi per tutti i prodotti Check Point e per dispositivi di terze parti. Offre una vista in tempo reale sugli eventi di sicurezza per Check Point Security Gateway SmartDashboard. Schermo di attivazione delle Software Blade. aiutare a comprendere al volo la situazione ed intraprendere azioni immediate, tutto tramite una singola console. La vista della timeline permette la visualizzazione dei trend e della propagazione degli attacchi. La vista delle chart offre statistiche relative all’evento sotto forma di grafico a torta o a istogrammi. La vista delle mappe mostra le minacce potenziali per paese. Gestione degli eventi di sicurezza tramite Check Point SmartEvent. Vista in tempo reale. 039 2013 CHECK POINT ANNUAL SECURITY REPORT 06 _ SUMMARY AND SECURITY STRATEGY Feed di intelligence in tempo reale ThreatCloud ™ ThreatCloud è un network collaborativo ed una knowledgebase cloud-driven in grado di offrire ai security gateway informazioni dinamiche sulla sicurezza in tempo reale. Queste informazioni vengono utilizzate per identificare attacchi emergenti e trend nelle minacce. ThreatCloud mette la software blade Anti-Bot in condizioni di operare più efficacemente, permettendo ai gateway di investigare indirizzi mutevoli IP, URL e DNS nel caso di centri di Command & Control noti. Grazie ad un’elaborazione condotta nel cloud, milioni di signature e di protezioni malware possono essere esaminate in tempo reale. La knowledgebase di ThreatCloud viene aggiornata dinamicamente utilizzando feed che provengono da una rete di sensori globali di minaccia, informazioni sugli attacchi da gateway distribuiti in tutto il mondo, dai laboratori di ricerca Check Point e dai migliori malware feed del mercato. Le informazioni correlate sulle minacce vengono poi condivise tra tutti i gateway. Check Point 61000 Appliance Le security appliance di Check Point Nelle reti aziendali di oggi, i gateway di sicurezza sono più che semplici firewall – sono dispositivi che si trovano ad affrontare un numero sempre crescente di minacce sofisticate. Devono usare tecnologie differenti per controllare gli accessi alla rete, identificare attacchi sofisticati e fornire funzionalità di sicurezza aggiuntive come data loss prevention, protezione da minacce web-based e rendere sicuro un numero sempre maggiore di dispositivi mobili, quali iPhone e tablet, che si trova nelle reti enterprise. Sono minacce e funzionalità di sicurezza che richiedono maggiori livelli di prestazioni e versatilità da parte delle appliance di sicurezza. Basate su Check Point GAiA, il sistema operativo sicuro di nuova generazione, le appliance Check Point abbinano prestazioni elevate multi-core con tecnologie di fast networking, permettendo di offrire il massimo livello di sicurezza per i dati, la rete e i dipendenti. Ottimizzate per la flessibilità della Software Blade Architecture, ogni appliance 040 è in grado di gestire ogni combinazione di software blade, tra cui Firewall, IPsec VPN, IPS, Application Control, Mobile Access, DLP, URL Filtering, Anti-Bot, Antivirus, Anti-spam, Identity Awareness e Advanced Networking & Clustering – permettendo di ottenere la flessibilità ed il livello esatto di sicurezza richiesto da ogni azienda ad ogni location di rete. Consolidando differenti tecnologie di sicurezza su un unico security gateway, le appliance sono progettate per offrire soluzioni di sicurezza avanzate ed integrate, in grado di rispondere a tutte le necessità di sicurezza per il business di un’azienda. Presentato nel 2011, SecurityPower™ è una metrica che misura la capacità di un’appliance di effettuare più funzioni avanzate in uno specifico volume di traffico. Rappresenta un benchmark rivoluzionario, che permette ai clienti di scegliere le appliance di sicurezza appropriate per i propri specifici scenari di installazione. Le misurazioni di SecurityPower vengono determinate sulla base del traffico reale dei clienti, di differenti funzioni di sicurezza e di una tipica policy di security. CHECK POINT 2013 SECURITY REPORT 06 _ SUMMARY AND SECURITY STRATEGY Check Point Endpoint Security Le software blade Check Point Endpoint Security assicurano livelli di flessibilità, controllo ed efficienza senza precedenti alla gestione ed all’implementazione di una sicurezza endpoint. Gli IT manager possono scegliere tra sei software blade Endpoint per ottenere la sicurezza di cui necessitano, con la libertà di incrementarla in ogni momento. La Full Disk Encryption Software Blade garantisce sicurezza in modo automatico e trasparente a tutte le informazioni che si trovano sugli hard drive degli endpoint. Un’autenticazione pre-boot multifattore assicura l’identità dell’utente. La Media Encryption Software Blade offre una crittografia applicabile centralmente sui supporti storage rimuovibili, con la possibilità di crittografare solo dati relativi al business ed al tempo stesso motivare ed educare l’utente finale. La Remote Access VPN Software Blade offre agli utenti un accesso sicuro ed immediato alle reti ed alle risorse aziendali anche in viaggio o in caso di lavoro da remoto. La Anti-Malware and Program Control Software Blade identifica e rimuove efficacemente il malware dagli endpoint con un’unica scansione. Program Control verifica che sugli endpoint operino solamente programmi approvati ed autorizzati. La Firewall and Security Compliance Verification Software Blade offre protezione proattiva sul traffico in entrata ed uscita, evitando che il malware vada ad infettare i sistemi endpoint, bloccando attacchi mirati e fermando il traffico non desiderato. La Security Compliance Verification garantisce che gli endpoint siano sempre in linea con le policy di sicurezza richieste dall’organizzazione. Infine, la WebCheck Secure Browsing Software Blade protegge dalle più recenti minacce web-based, compresi drive-by download, siti di phishing e attacchi zero-day. Le sessioni del browser avvengono in un sicuro ambiente virtuale. Check Point Endpoint Security client 041 2013 CHECK POINT ANNUAL SECURITY REPORT A APPENDICE A: LE PRINCIPALI FORME DI MALWARE Questa appendice offre ulteriori informazioni sulle principali forme di malware che sono state indentificate nel corso della nostra ricerca. Il database malware completo di Check Point è disponibile su threatwiki.checkpoint.com Zeus è un backdoor bot agent che prende di mira la piattaforma Microsoft Windows. La backdoor è un modo per eludere le procedure di autenticazione. Una volta che un sistema è stato compromesso, una o più backdoor possono venire installate in modo da garantirsi un accesso più facile per il futuro.29 La nostra ricerca ha individuato bot Zeus generati utilizzando la versione 2.0.8.9 del toolkit Zeus. Zeus è una grande famiglia di trojan specifici nel mondo bancario, presente in realtà con un numero significativo di versioni e varianti. Il malware offre a chi attacca la possibilità di accedere da remoto ai sistemi infetti. Suo obiettivo primario è stato finora quello di sottrarre le credenziali di online banking usate dagli utenti presi di mira per accedere ai loro conti. o cartelle condivise. Kuluoz è un bot che prende di mira la piattaforma Microsoft Windows. Questo bot viene inviato all’interno di messaggi spam apparentemente provenienti dallo US Postal Service. Invia all’esterno informazioni di sistema ed accetta istruzioni da un server remoto per scaricare ed eseguire file malevoli sul computer infetto. Inoltre, crea un entry di registro per ripartire automaticamente dopo un reboot del sistema. Juasek è un backdoor bot che colpisce la piattaforma Microsoft Windows. Questo malware permette ad un hacker remoto non autenticato di eseguire azioni malevole, quali aprire una shell di comando, scaricare o caricare file, creare nuovi processi, listare o terminare processi, ricercare/creare/cancellare file e recuperare informazioni di sistema. Inoltre, installa istruzioni specifiche per superare reboot del sistema. Papras è un trojan bancario che colpisce le piattaforme Zwangi è un adware destinato a colpire la piattaforma Microsoft Windows. Viene registrato su un sistema infetto come oggetto di supporto al browser. Può creare una toolbar personalizzata all’interno di Internet Explorer e presentare all’utente messaggi pubblicitari non desiderati. Questo malware infetta i sistemi attraverso bundle software. Sality è un virus che si diffonde tramite l’infezione e la modifica di file eseguibili, ed alla loro copiatura su drive rimuovibili 042 Microsoft Windows a 32 e 64 bit. Questo malware invia all’esterno informazioni di sistema e richiede informazioni sulla configurazione da un host remoto. Individua le funzioni di rete e monitora le attività Internet di un utente per sottrarre importanti informazioni finanziarie. Inoltre, ha funzionalità backdoor per fornire agli attaccanti remoti la possibilità di accedere in modo non autorizzato ai computer infetti. Tra i comandi di controllo accettati vi sono il download di altri file malevoli, la raccolta di informazioni su cookie ed altri certificati, il reboot o lo spegnimento del sistema, l’invio all’esterno di informazioni di log, la possibilità di catturare istantanee dello schermo, l’avvio di connessioni socket ad un host remoto per altre attività, ecc… Inoltre, il malware si inserisce all’interno dei processi e può allo stesso modo iniettare altri file malevoli nei processi target. CHECK POINT 2013 SECURITY REPORT B APPENDICE B: LE APPLICAZIONI PIù RISCHIOSE Questa appendice offre ulteriori informazioni sulle principali applicazioni indentificate nel corso della nostra ricerca. Il database applicativo completo di Check Point è disponibile su appwiki.checkpoint.com. Anonymizers Tor è un’applicazione che permette di ottenere anonimato online. Il client software di Tor incanala il traffico Internet attraverso una rete mondiale indipendente di server per nascondere la location o le attività di un utente da chiunque operi una sorveglianza di rete o un’analisi del traffico. L’utilizzo di Tor rende più difficile tenere traccia e ricollegare agli utenti dell’attività Internet, come “visite a siti web, post online, messaggi istantanei e altre forme di comunicazione”. CGI-Proxy è un pacchetto software di Common Gateway Interface. Appare all’utente come una pagina web che consente l’accesso a un sito differente. Tra i protocolli supportati vi sono HTTP, FTP e SSL. Hopster è un’applicazione per superare firewall e proxy server, che permette di navigare su Internet e chattare in forma anonima. Hide My Ass è un servizio gratuito di web proxy, che nasconde gli indirizzi IP permettendo agli utenti di collegarsi a siti web in modo anonimo. Hamachi è un’applicazione shareware di virtual private network (VPN). Viene utilizzata per realizzare una connessione su Internet che emula una connessione su rete locale (LAN). Ultrasurf è uno strumento proxy gratuito che consente agli utenti di aggirare firewall e software deputati a bloccare contenuti Internet. OpenVPN è un applicazione software gratuita ed open source che implementa tecniche di virtual private network (VPN) per creare connessioni sicure – punto a punto o sito a sito – in configurazioni basate su router o bridge e sistemi di accesso remoto. File sharing P2P BitTorrent è un protocollo di comunicazione P2P per il file sharing peer-to-peer. E’ un metodo per la distribuzione di grandi quantità di dati, senza che il distributore originale debba sostenere i costi totali delle risorse hardware, hosting e di banda. Al contrario, quando i dati vengono distribuiti via BitTorrent, ogni partecipante fornisce una parte dei dati ad altri riceventi, riducendo così il costo ed il peso su ogni fonte individuale, offrendo ridondanza rispetto a possibili problemi del sistema e riducendo la dipendenza dal distributore originale. Sono numerosi i client compatibili con BitTorrent, scritti in una grande varietà di linguaggi di programmazione e operanti su molte diverse piattaforme di elaborazione. eMule è un’applicazione di file sharing peer-to-peer che si collega alle reti eDonkey e Kad. Il software offre l’interscambio diretto delle fonti tra i nodi dei clienti il ripristino di download corrotti e l’utilizzo di un sistema di crediti per premiare gli uploader più assidui. eMule trasmette i dati in formato compresso zlib per risparmiare ampiezza di banda. Soulseek è un’applicazione di file sharing peer-to-peer. Viene utilizzata soprattutto per condividere musica, anche se gli utenti hanno anche la possibilità di condividere tipi diversi di file. Gnutella è una nota rete di file sharing, oltre che uno dei principali protocolli peer-to-peer, usato da applicazioni come BearShare, Shareaza, Morpheus e iMesh. Viene comunemente utilizzata per scambiare file musicali MP3, video, applicazioni e documenti. Sopcast è un’applicazione di media streaming che consente uno streaming di file multimediali via reti P2P. Sopcast consente agli utenti di trasmettere contenuti multimediali ad altri o di accedere a stream trasmessi da altri utenti. 043 2013 CHECK POINT ANNUAL SECURITY REPORT APPENDIX Tool di amministrazione remota è un’applicazione proprietaria sviluppata da Microsoft che fornisce agli utenti un’interfaccia remota verso un altro computer. Team Viewer permette agli utenti di controllare computer remoti usando un client software od effettuando il login ad un sito web. LogMeIn è una suite di servizi software che offre la possibilità di accedere remotamente ad altri computer via Internet. Esistono differenti versioni del prodotto, pensate sia per utenti individuali che per personale specializzato nell’help desk. I prodotti di accesso remoto di LogMeIn utilizzano un protocollo proprietario di remote desktop che viene trasmesso via SSL. Gli utenti accedono ai desktop remoti usando un portale web Internet-base e, se lo desiderano, l’applicazione standalone LogMeIn Ignition. VNC è un software che si compone di un’applicazione server e client su protocollo Virtual Network Computing (VNC) per controllare remotamente un altro computer. Il software opera su sistemi operativi Windows, Mac OS X e di tipo Unix. VNC opera anche su piattaforma Java e sui dispositivi Apple iPhone, iPod touch o iPad. Remote 044 Desktop Protocol (RDP) Applicazioni di File Storage e Sharing Dropbox è un’applicazione che consente agli utenti di condividere file. Dropbox è un servizio di file hosting offerto da Dropbox Inc. che offre cloud storage, sincronizzazione dei file ed un client software. Inoltre, Dropbox permette agli utenti di creare una cartella speciale su ogni computer, che Dropbox poi sincronizza in modo che appaia sempre la stessa cartella (con gli stessi contenuti) indipendentemente dal computer da cui viene visualizzata. I file collocati in questa cartella sono accessibili anche attraverso un sito web ed applicazioni per telefoni cellulari. Windows Live Office è uno strumento online di Microsoft Office di archiviazione, editing e condivisione di documenti, creato da Microsoft. Con le Office Web Apps, gli utenti possono creare, visionare, modificare, condividere, migliorare e collaborare su documenti, fogli di lavoro, presentazioni e note online, ovunque essi abbiano a disposizione una connessione ad Internet. Curl è uno strumento a linea di comando che consente agli utenti di trasferire dati con una sintassi URL. Supporta certificati FILE, FTP, HTTP, HTTPS e SSL, oltre ad altri protocolli di trasferimento. YouSendIt è un servizio di distribuzione di file digitali. Il servizio permette agli utenti di inviare, ricevere e tenere traccia di file in modalità on demand. CHECK POINT 2013 SECURITY REPORT C APPENDICE C: ULTERIORI INFORMAZIONI SULL’UTILIZZO DELLE APPLICAZIONI WEB I dati seguenti rappresentano un’elaborazione ulteriore delle informazioni esposte nella sezione “Applicazioni enterprise”. Le tabelle C-A e C-B sintetizzano l’utilizzo delle applicazioni per categoria e per regione. Am 81 % 80 % P 61 % 43 on % An tora File S ile S 2P F ym iz s m in i ha r i n one tr a z i g Tool mi di am nistr az re m ione EM 83 % ota Am 80 % EA eri c h e AC AP 77 % rem o S ha e and ta ring Sto File ra g ds e an hari 82 ng e % Am EM 81 % AC g AP 72 % er AC Sh File arin g P2 AP 72 % P Am 62 % Tabella C-A EM 55 % An o ny m i ze r e % Am 49 EM 40 % eri c h EA e ri c h e EA Fonte: Check Point Software Technologies Fonte: Check Point Software Technologies Utilizzo delle applicazioni per categoria (% di organizzazioni) Utilizzo delle applicazioni per regione (% di organizzazioni) ri c h e EA AC AP 35 % Tabella C-B 045 2013 CHECK POINT ANNUAL SECURITY REPORT APPENDIX La tabelle seguente offre ulteriori informazioni sui più noti client di BitTorrent e Gnutella Principali client di Numero di organizzazioni Vuze 108 Xunlei 74 uTorrent 55 BitComet 25 FlashGet 21 QQ Download 8 Pando 7 P2P Cache 7 Transmission 6 Altro Principali client di Gnutella Numero di organizzazioni BearShare 52 LimeWire 23 FrostWire 16 Foxy 2 Altro 31 242 La tabella seguente offre ulteriori informazioni sulle applicazioni più utilizzate per categoria e per regione Categoria di applicazione Regione Nome dell’applicazione Anonymizer Americhe Tor CGI-Proxy Hamachi Hopster Ultrasurf Tor CGI-Proxy Hamachi Hopster Hide My Ass Tor Hopster CGI-Proxy Hamachi Hide My Ass EMEA APAC 046 % di organizzazioni 24% 16% 8% 8% 7% 23% 12% 4% 7% 7% 20% 6% 6% 6% 7% CHECK POINT 2013 SECURITY REPORT APPENDICE Categoria di applicazione Regione Nome dell’applicazione P2P File Sharing Americhe BitTorrent Clients SoulSeek eMule Windows Live Mesh Sopcast BitTorrent Clients SoulSeek eMule Sopcast iMesh BitTorrent Clients eMule SoulSeek Sopcast BearShare 35% 23% 21% 8% 8% 33% 19% 15% 12% 10% 62% 26% 11% 10% 8% Dropbox Windows Live Office Curl YouSendIt ZumoDrive Dropbox Windows Live Office Curl YouSendIt ImageVenue Dropbox Windows Live Office Curl YouSendIt Hotfile 73% 52% 28% 26% 12% 71% 51% 22% 21% 18% 57% 50% 26% 16% 10% EMEA APAC File Storage and Sharing Americas EMEA APAC % di organizzazioni 047 2013 CHECK POINT ANNUAL SECURITY REPORT APPENDICE Categoria di applicazione Regione Nome dell’applicazione Remote Administration Americhe MS-RDP LogMeIn TeamViewer VNC 59% 51% 45% 14% Bomgar MS-RDP TeamViewer LogMeIn VNC pcAnywhere TeamViewer MS-RDP LogMeIn VNC Gbridge 8% 60% 55% 44% 20% 3% 58% 51% 26% 16% 3% EMEA APAC 048 % di organizzazioni CHECK POINT 2013 SECURITY REPORT D APPENDICE D: TIPOLOGIE DI DATI DLP La nostra ricerca ha previsto un’ispezione su decine di diverse tipologie di dati alla ricerca di potenziali casi di perdita di dati. La seguente lista presenta le principali tipologie di dati ispezionati ed individuati dalla DLP Software Blade di Check Point. Source Code – abbina i dati che contengono linee di linguaggio di programmazione, C, C++, C#, JAVA ed altri; indica perdita di proprietà intellettuale. Informazioni relative a carte di credito – comprende due diverse tipologie di dati: numeri di carta di credito e dati di autenticazione PCI - Sensitive. • Numeri di carta di credito: Criteri di individuazione: relativi allo standard Payment Card Industry (PCI); abbina dati contenenti numeri di carta di credito MasterCard, Visa, JCB, American Express, Discover e Diners Club; l’individuazione si basa sia sul pattern (espressione regolare) che sulla convalida di cifre di controllo secondo lo schema definito nell’annesso B di ISO/IEC 7812-1 ed in JTC 1/SC 17 (algoritmo Luhn MOD-10); indica perdita di informazioni confidenziali. Esempio: 4580-0000-00000000. • Dati di autenticazione PCI - Sensitive Criteri di individuazione:relativiallostandardPaymentCardIndustry (PCI); abbina informazioni classificate come dati sensibili e che richiedono autenticazione secondo gli standard PCI Data Security Standard (DSS). Questi dati, a differenza dei dati relativi al proprietario della carta, sono altamente sensibili, e PCI DSS non ne consente l’archiviazione. Vengono abbinati i dati che contengono informazioni sulla banda magnetica di una carta di credito (track 1, 2 or 3), un codice PIN cifrato o meno, e un Card Security Code (CSC). Esempi:%B4580000000000000^JAMES /L.^99011200000000000?, 2580.D0D6.B489.DD1B, 2827. File protetti da password – individua file che sono protetti da una password o crittografati. Questi file possono contenere informazioni confidenziali. File legati alla gestione delle paghe– individua file che contengono informazioni relative alla gestione dipaghe, quali indicazioni di stipendio lordo o netto; indica perdita di informazioni personali. Email confidenziali – Individua messaggi di Microsoft Outlook che sono stati indicati dal mittente come ‹Confidenziale›; questi messaggi email solitamente contengono informazioni sensibili. Nota: Microsoft Outlook permette al mittente di contrassegnare i messaggi inviati con vari livelli di sensibilità; questa tipologia di dati individua messaggi contrassegnati come ‹Confidenziale› usando le opzioni di sensibilità di Outlook. Informazioni relative a stipendi e retribuzioni – individua documenti che contengono parole e frasi relative a dati sulla retribuzione dei dipendenti, come: salario, bonus, ecc… Altri tipi di dati individuati nel corso della ricerca: numeri di carta di credito di Hong Kong, termini legati a report finanziari, numeri di conti bancari, numeri di IBAN finlandesi, numeri di assicurazione sociale canadesi, FERPA - Confidential Educational Record, codici postali statunitensi, numeri di partita Iva del Regno Unito, numeri di sicurezza sociale messicani e statunitensi, numeri di registrazione universitaria, report di Salesforce, codici personali finlandesi, codici legati alla regolamentazione ITAR (International Traffic in Arms Regulation), registri personali sensibili, progetti o file grafici CAD-CAM, informazioni sanitarie protette dallo standard HIPAA, numeri di sicurezza sociale francesi, liste di nomi di dipendenti, informazioni interne neozelandesi, dati relativi ai proprietari di carte di credito PCI, licenze di guida statunitensi, codici IBAN danesi, numeri di partita IVA finlandesi, codici IBAN (International Bank Account Number) e tanti altri ancora. 049 2013 CHECK POINT ANNUAL SECURITY REPORT ReferenZE The Art of War By Sun Tzu, http://suntzusaid.com/artofwar.pdf http://www.checkpoint.com/campaigns/3d-analysis-tool/index.html 3 http://www.checkpoint.com/products/threatcloud/index.html 4 http://supportcontent.checkpoint.com/file_download?id=20602 5 http://www.nytimes.com/2012/03/05/technology/the-bright-side-of-being-hacked.html?pagewanted=2&ref=global-home 6 http://edition.cnn.com/video/#/video/bestoftv/2012/10/01/exp-erin-cyberattack-nuclear-networks-leighton.cnn?iref=allsearch 7 http://www.networkworld.com/news/2012/071312-security-snafus-260874.html?page=4 8 http://www.businessweek.com/news/2012-10-18/bank-cyber-attacks-enter-fifth-week-as-hackers-adapt-to-defenses 9 http://arstechnica.com/security/2012/09/blackhole-2-0-gives-hackers-stealthier-ways-to-pwn/ 10 http://www.networkworld.com/slideshow/52525/#slide1 11 http://www.ihealthbeat.org/articles/2012/10/30/breaches-at-uks-nhs-exposed-nearly-18m-patient-health-records.aspx 12 http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf 13 http://cve.mitre.org/index.html 14 http://www.networkworld.com/news/2012/020912-foxconn-said-to-have-been-255917.html 15 http://news.cnet.com/8301-1009_3-57439718-83/anonymous-attacks-justice-dept-nabbing-1.7gb-of-data/ 16 http://news.cnet.com/8301-1009_3-57396114-83/vatican-anonymous-hacked-us-again/ 17 http://news.cnet.com/8301-1023_3-57411619-93/anonymous-hacks-into-tech-and-telecom-sites/ 18 http://www.ftc.gov/opa/2012/06/epn-franklin.shtm 19 http://www.ftc.gov/opa/2010/02/p2palert.shtm 20 http://www.networkworld.com/news/2012/091212-botnet-masters-hide-command-and-262402.html 21 http://www.computerworld.com/s/article/9221335/_Nitro_hackers_use_stock_malware_to_steal_chemical_defense_secres 22 http://bits.blogs.nytimes.com/2012/08/01/dropbox-spam-attack-tied-to-stolen-employee-password/ 23 http://news.cnet.com/8301-31921_3-20072755-281/dropbox-confirms-security-glitch-no-password-required/ 24 http://japandailypress.com/newspaper-reporter-fired-for-emailing-sensitive-info-to-wrong-people-159277 25 http://www.roanoke.com/news/roanoke/wb/307564 26 http://tamutimes.tamu.edu/2012/04/13/am-acting-on-email-message-that-inadvertently-included-some-alumni-ss-numbers/ 27 www.hhs.gov/ocr/privacy/hipaa/index.html 28 The Art of War By Sun Tzu, http://suntzusaid.com/artofwar.pdf 29 http://en.wikipedia.org/wiki/Malware#Backdoors 1 2 050 Contact Check Point now www.checkpoint.com/contactus By phone in the US: 1-800-429-4391 option 5 or 1-650-628-2000 www.checkpoint.com COntACt CHeCK POint Worldwide Headquarters 5 Ha’Solelim Street, Tel Aviv 67897, Israel | Tel: 972-3-753-4555 | Fax: 972-3-624-1100 | Email: [email protected] U.S. Headquarters 800 Skyway 959 Bridge Parkway, Road, Suite Redwood 300, San City, Carlos, CA 94065 CA 94070 | Tel: 800-429-4391; | Tel: 800-429-4391; 650-628-2000 650-628-2000 | Fax: 650-654-4233 | Fax: 650-654-4233 | www.checkpoint.com | www.checkpoint.com ©2003–2012 Check Point Software Technologies Ltd. All rights reserved. Check Point, AlertAdvisor, Application Intelligence, Check Point 2200, Check Point 4000 Appliances, Check Point 4200, Check Point 4600, Check Point 4800, Check Point 12000 Appliances, Check Point 12200, Check Point 12400, Check Point 12600, Check Point 21400, Check Point 6100 Security System, Check Point Anti-Bot Software Blade, Check Point Application Control Software Blade, Check Point Data Loss Prevention, Check Point DLP, Check Point DLP-1, Check Point Endpoint Security, Check Point Endpoint Security On Demand, the Check Point logo, Check Point Full Disk Encryption, Check Point GO, Check Point Horizon Manager, Check Point Identity Awareness, Check Point IPS, Check Point IPSec VPN, Check Point Media Encryption, Check Point Mobile, Check Point Mobile Access, Check Point NAC, Check Point Network Voyager, Check Point OneCheck, Check Point R75, Check Point Security Gateway, Check Point Update Service, Check Point WebCheck, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, DefenseNet, DynamicID, Endpoint Connect VPN Client, Endpoint Security, Eventia, Eventia Analyzer, Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IP Appliances, IPS-1, IPS Software Blade, IPSO, R75, Software Blade, IQ Engine, MailSafe, the More, better, Simpler Security logo, Multi-Domain Security Management, MultiSpect, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management,Power-1, Provider-1, PureAdvantage, PURE Security, the puresecurity logo, Safe@Home, Safe@Office, Secure Virtual Workspace, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, SecurityPower, Series 80 Appliance, SiteManager-1, Smart-1, SmartCenter, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, SmartEvent, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartProvisioning, SmartReporter, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SmartWorkflow, SMP, SMP On-Demand, SocialGuard, SofaWare, Software Blade Architecture, the softwareblades logo, SSL Network Extender, Stateful Clustering, Total Security, the totalsecurity logo, TrueVector, UserCheck, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Edge, VPN-1 MASS, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VE, VPN-1 VSX, VSX, VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Antivirus + Firewall, ZoneAlarm DataLock, ZoneAlarm Extreme Security, ZoneAlarm ForceField, ZoneAlarm Free Firewall, ZoneAlarm Pro Firewall, ZoneAlarm Internet Security Suite, ZoneAlarm Security Toolbar, ZoneAlarm Secure Wireless Router, Zone Labs, and the Zone Labs logo are trademarks or registered trademarks of Check Point Software Technologies Ltd. or its affiliates. ZoneAlarm is a Check Point Software Technologies, Inc. Company. All other product names mentioned herein are trademarks or registered trademarks of their respective owners. The products described in this document are protected by U.S. Patent No. 5,606,668, 5,835,726, 5,987,611, 6,496,935, 6,873,988, 6,850,943, 7,165,076, 7,540,013, 7,725,737 and 7,788,726 and may be protected by other U.S. Patents, foreign patents, or pending applications. Dicembre16, 2012 October 2012 Classification: [Protected] - All rights reserved. Design: RoniLevit.com SEDI CHECK POINT