Report di Previsione sulle Minacce 2016 di McAfee Labs
Transcript
Report di Previsione sulle Minacce 2016 di McAfee Labs
Rapporto McAfee Labs Previsioni sulle minacce nel 2016 McAfee Labs ci offre la previsione sulla sicurezza informatica a cinque anni e ipotizza le principali minacce dell'anno venturo. Informazioni su McAfee Labs Introduzione McAfee Labs è una delle principali fonti mondiali per la ricerca sulle minacce, informazioni sulle minacce e leadership strategica sulla sicurezza informatica. Grazie ai dati raccolti da milioni di sensori su tutti i principali vettori di minacce – file, web, messaggi e rete – McAfee Labs offre informazioni sulle minacce in tempo reale, analisi critica e valutazioni di esperti per migliorare la protezione e ridurre i rischi. Benvenuti nel report di previsioni sulle minacce 2016 di McAfee Labs. McAfee è ora parte di Intel Security. www.mcafee.com/it/mcafee-labs.aspx Segui McAfee Labs Quest'anno abbiamo sviluppato due visioni distinte del futuro. Nel Report McAfee Labs sulle minacce: agosto 2015, volgevamo lo sguardo agli ultimi cinque anni, vale a dire da quando Intel annunciò l'acquisizione di McAfee. Abbiamo confrontato ciò che pensavamo sarebbe accaduto nel panorama delle minacce informatiche con quello che è in effetti successo. Nel primo capitolo di questo report di previsione ci rivolgiamo di nuovo verso il futuro, ai prossimi cinque anni. Abbiamo intervistato 21 esperti che hanno condiviso le loro personali opinioni sul possibile panorama delle minacce e sulla probabile reazione del settore della sicurezza. Abbiamo chiesto loro di guardare oltre l'orizzonte per ipotizzare come cambieranno i tipi di minaccia, come muteranno i comportamenti di vittime e aggressori e come reagirà l'industria da adesso al 2020. McAfee Labs: le previsioni sulle minacce per il 2016 | 2 Nel secondo capitolo approfondiamo la tematica e facciamo delle previsioni specifiche sull'attività delle minacce che ci attendiamo nel 2016. Le previsioni per il prossimo anno coprono uno spettro di minacce che va dal ransomware agli attacchi alle automobili, dalle minacce alle infrastrutture critiche all'immagazzinamento e vendita dei dati rubati. E inoltre: ■■ ■■ ■■ ■■ ■■ Speriamo che queste visioni del futuro offrano delle conoscenze preziose per sviluppare sia i piani a breve termine, sia le strategie ad ampio raggio. Felici vacanze a te e ai tuoi cari. Vincent Weafer, Senior Vice President, McAfee Labs Trattiamo una sottile ma egualmente dannosa forma di minaccia – gli attacchi all'integrità – che assumerà maggior rilievo nel 2016. Spieghiamo perché una maggiore sicurezza nella grande impresa comporta un maggior numero di attacchi contro i dipendenti che lavorano da casa. Descriviamo i cambiamenti nei sistemi di pagamento e le loro implicazioni. Mostriamo perché i dispositivi indossabili, integrati con lo smartphone, sono un vettore di attacco allettante. Evidenziamo le modifiche in positivo nella condivisione delle informazioni sulle minacce all'interno del settore privato e fra settore privato e pubblico. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 3 Sommario McAfee Labs: le previsioni sulle minacce per il 2016 La realizzazione di queste proiezioni a cinque anni su come probabilmente si evolveranno il mercato e i protagonisti della sicurezza informatica è stato possibile grazie alla collaborazione dei seguenti esperti: Brad Antoniewicz Christiaan Beek Torry Campbell Gary Davis Carric Dooley Steven Grobman Simon Hunt Rees Johnson Brett Kelsey Tyson Macaulay Raja Patel Tom Quillin Matthew Rosenquist Raj Samani Craig Schmugar Michael Sentonas Rick Simon Bruce Snell Jim Walter Vincent Weafer Candace Worley Ricerca e redazione delle previsioni sulle minacce 2016: Christiaan Beek Carlos Castillo Cedric Cochin Alex Hinchliffe Jeannette Jarvis Haifei Li Qiang Liu Debasish Mandal Matthew Rosenquist Raj Samani Ryan Sherstobitoff Rick Simon Bruce Snell Dan Sommer Bing Sun Jim Walter Chong Xu Stanley Zhu Intel Security: uno sguardo sui prossimi cinque anni 6 McAfee Labs: le previsioni sulle minacce per il 2016 22 L'hardware 23 Il ransomware 24 Le vulnerabilità 25 I sistemi di pagamento 27 Gli attacchi tramite i sistemi dei dipendenti 28 I servizi nel cloud 29 I dispositivi indossabili 30 Le automobili 31 I magazzini dei dati rubati 33 L'integrità 34 Lo spionaggio informatico 35 L'attivismo informatico 36 Le infrastrutture critiche 37 La condivisione delle intelligence sulle minacce 38 Intel Security: uno sguardo sui prossimi cinque anni Intel Security: uno sguardo sui prossimi cinque anni Intel Security: uno sguardo sui prossimi cinque anni La realizzazione di questo sguardo su come probabilmente si evolveranno il mercato e gli attori della sicurezza informatica è stato possibile grazie alla collaborazione di ventuno esperti di Intel Security. Nell'ordine: Brad Antoniewicz Christiaan Beek Torry Campbell Gary Davis Carric Dooley Steven Grobman Simon Hunt Rees Johnson Brett Kelsey Tyson Macaulay Raja Patel Tom Quillin Matthew Rosenquist Raj Samani Craig Schmugar Michael Sentonas Rick Simon Bruce Snell Jim Walter Vincent Weafer Candace Worley L'informatica è sempre più pervasiva e potenzia quasi tutti gli aspetti della vita personale e lavorativa, creando sempre più opportunità per l'innovazione, ma anche sempre più nuove minacce. Le tecnologie che coinvolgono la vista, l'udito e il tatto consentono alle persone di vivere il mondo in maniera differente, interagendo con esso e con gli altri in nuove, peculiari modalità. Gli oggetti di ogni giorno diventano sempre più intelligenti e connessi, e in tal modo stimolano la prossima ondata dell'nformatica. Le imprese stanno approfondendo le connessioni in tempo reale con fornitori, partner, enti pubblici e clienti, raccogliendo e condividendo selettivamente enormi quantità di dati. Il valore delle informazioni conservate e in transito sta crescendo rapidamente e, così facendo, alimenta nuovi mercati, creando l'esigenza di connettere i dispositivi in modo sicuro, inviando dati affidabili nel cloud ed estraendo valore dalle analisi. Come qualsiasi cosa preziosa, anche le informazioni attirano l'attenzione di potenziali avversari, che cercano sempre modi nuovi per rubarle, sfruttarle e trarne vantaggio. Sebbene il primo pensiero corra generalmente al crimine organizzato e ad altri malintenzionati, gli avversari includono potenzialmente gli attivisti informatici, gli stati-nazioni e altri soggetti che non agiscono necessariamente a scopo di lucro. Se allunghiamo lo sguardo verso la personalizzazione e la consumerizzazione degli attacchi informatici, vediamo che gli avversari possono includere anche un concorrente, un oppositore politico, un coniuge, un vicino o altro antagonista personale, senza contare la crescente attività delle schegge impazzite che desiderano solamente spargere caos e distruzione. E dato che l'informatica diviene un prolungamento dell'individuo che rende il nostro ambiente più "smart", consapevole del contesto e meglio connesso, comincerà a cambiare tutto. Le password verranno prima o poi sostituite da un sistema più sofisticato di gestione e autenticazione delle credenziali, mentre la fiducia diverrà una parte vitale delle nostre attività online ed elettroniche. Valore, trasparenza e consenso diventeranno concetti importanti nel nostro vocabolario digitale. E il valore dei dati personali aumenterà non solo per noi, ma anche per i nostri avversari. Cosa vedemmo allora, cosa vediamo ora Nel Report McAfee Labs sulle minacce: agosto 2015, abbiamo volto lo sguardo all'acquisizione di McAfee da parte di Intel nel 2010 ed esaminato le nostre aspettative dell'epoca, confrontandole con ciò che è successo effettivamente nel panorama delle minacce negli ultimi cinque anni. A partire da quella retrospettiva, 21 esperti di Intel Security hanno collaborato alla redazione di questo report previsionale, relativo a ciò che ci aspettiamo di vedere nell'industria della sicurezza informatica nei prossimi cinque anni. Quali funzioni di sicurezza verranno aggiunte all'hardware per rinforzarne la protezione e contrastare più efficacemente le minacce sempre più sofisticate? In che modo verranno sfruttati gli strumenti di sicurezza per proteggere privacy e sicurezza nella tua rete personale e oltre? La tempesta perfetta che avevamo previsto era forse il fronte di qualcos'altro in arrivo, molto più grande, più innovativo, ma potenzialmente più distruttivo? Quali mutazioni osserveremo nel panorama della minacce informatiche, in seguito ai cambiamenti nella tecnologia e nell'economia delle informazioni? Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 6 Intel Security: uno sguardo sui prossimi cinque anni La superficie di attacco informatico Cinque anni fa pensavamo che il maggior numero di dati, dispositivi e cloud stesse creando una tempesta perfetta, costituita da minacce e vulnerabilità. Molte previsioni si sono avverate, ma erano solo l'avvisaglia di una tempesta più grande, data dall'aumento delle quantità. Gli ambienti di lavoro dinamici, la forza lavoro altamente mobile e le aspettative dei dipendenti in rapido cambiamento hanno messo in discussione il concetto di perimetro di rete. I dipendenti non rimangono più nei confini di una rete affidabile, né sono limitati da uno specifico dispositivo; ciò li rende più produttivi, ma ne complica la protezione. Con il tempo, si verifica ciò che chiamiamo inversione del perimetro o "outside-in" (accesso dall'esterno). Le applicazioni e i dispositivi che prima venivano indirizzati principalmente alla rete e al centro dati dell'azienda, vengono ora orientati verso Internet e il cloud. Il centro dati mantiene capacità di hosting ed elaborazione limitate, solo per le proprietà intellettuali più importanti. Il rilascio di Microsoft Office 365 e la sua conseguente adozione costituiscono forse il punto critico, superato il quale la maggioranza di noi è passata dall'archiviazione incentrata sul PC a quella incentrata sul cloud. I produttori di soluzioni di sicurezza dovranno sviluppare migliori sistemi di protezione per la crescente varietà di dispositivi endpoint, per l'archiviazione nel cloud e per gli ambienti di elaborazione, oltre che per i canali di comunicazione che collegherà tutto questo. Dovunque andiamo e qualunque cosa facciamo, lasciamo una scia di "emissioni digitali". Per quanto riguarda i consumatori, l'esplosione dei dispositivi e la proliferazione di entusiasmanti servizi "gratuiti" – per telefoni, tablet, dispositivi indossabili, smart TV o domotica – sta alimentando la crescita esponenziale dei dati. Dovunque andiamo e qualunque cosa facciamo, lasciamo una scia di "emissioni digitali". Allo stesso tempo, le bizzarre aspettative di privacy durante l'eccessiva condivisione di informazioni, che sia intenzionale o inavvertita, stimolerà il dibattito in merito al controllo e alla regolamentazione della riservatezza. Dato che tali considerazioni variano notevolmente fra paesi e culture diverse, non riteniamo che si raggiungerà un consenso globale sulla privacy. Questo renderà più difficile l'offerta, da parte delle multinazionali, di prodotti e servizi oltre confine. A causa di queste tendenze, si avranno anche dei problemi di conformità nel caso dei dipendenti che usano gli stessi strumenti per accedere alle risorse personali come a quelle aziendali. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 7 Intel Security: uno sguardo sui prossimi cinque anni La crescente superficie di attacco informatico 3,3 mld 4 mld 3 mld Più smartphone connessi Più utenti 3 miliardi nel 2015 4 miliardi nel 2019 8,8 ZB 5,9 mld 3,3 miliardi nel 2015 5,9 miliardi nel 2020 44 ZB 16,3 mld Più dati 24,4 mld Più dispositivi connessi tramite IP 8,8 zettabyte nel 2015 44 zettabyte nel 2020 16,3 miliardi nel 2015 24,4 miliardi nel 2019 72,4 EB 168 EB Più traffico di rete 72,4 exabyte al mese di traffico IP nel 2015 168 exabyte al mese di traffico IP nel 2019 Fonte: McAfee Labs, 2015 Il volume e la varietà dei dispositivi continuerà a crescere: attualmente si prevede che nel 2020 i dispositivi connessi saranno 200 miliardi e continueranno ad aumentare. Se combiniamo questo massiccio aumento dei dispositivi da proteggere, con la ben documentata carenza di esperti in sicurezza, è facile comprendere perché il settore deve semplificare e automatizzare le difese e le relative configurazioni, oltre a migliorare l'efficienza con l'apprendimento automatico e la collaborazione in rete. Anche con questi miglioramenti, le impostazioni di sicurezza rimarranno ben oltre la portata dell'individuo medio, alimentando la crescita dei servizi di sicurezza che forniscono formazione, guida e assistenza per impostazioni e aggiornamenti, a consumatori e piccole imprese. Coloro che installano le reti in abitazioni o piccole imprese dovranno garantirne la sicurezza, dato che in questi casi la protezione non viene gestita da alcun amministratore. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 8 Intel Security: uno sguardo sui prossimi cinque anni La protezione a partire dal chip Con l'ulteriore rafforzamento di applicazioni e sistemi operativi, che superano le limitazioni del perimetro, gli autori degli attacchi continueranno a cercare più in basso nello stack le vulnerabilità da sfruttare. Abbiamo infatti osservato attacchi al firmware del disco rigido e alle unità di elaborazione grafica. Recenti dimostrazioni di exploit che sfruttano il BIOS o altre vulnerabilità del firmware, indicano che più in basso si va, più controllo si ottiene. Anziché restare confinati a una singola applicazione o computer virtuale, gli attacchi riusciti al firmware possono accedere all'intera macchina fisica, senza far scattare alcun allarme. Tutti i computer virtuali, tutta la memoria e tutti i driver rimangono persistenti anche dopo un riavvio o una reinstallazione. Tali attacchi sono inoltre efficaci su un'ampia gamma di dispositivi, a prescindere dal sistema operativo. Pertanto sussiste una corsa al fondo dello stack, perché chi vi arriva per primo ottiene un vantaggio strategico, sia per la difesa sia per l'attacco. "Con nuovi o diversi criminali e stati-nazioni che iniziano a esercitare le proprie minacce informatiche, potremmo assistere a più attacchi basati sull'hardware, con l'intento di disseminare il caos o di negare il servizio di un'organizzazione". Steven Grobman, Chief Technology Officer, Intel Security Attualmente vediamo solo una minima parte del malware prendere di mira le vulnerabilità di hardware o firmware, ma nei prossimi cinque anni le cose cambieranno. Ci aspettiamo di osservare un maggior numero di gruppi sfruttare nuove tecniche, condividendo le proprie conoscenze nel tentativo di progettare attacchi efficaci. Gran parte di ciò si diffonderà, dalle agenzie di difesa e spionaggio degli Stati più avanzati, alle grandi organizzazioni criminali e all'uso generale. Le difese di hardware e firmware, come l'avvio sicuro, gli ambienti di esecuzione affidabili, la protezione antimanomissione, la crittografia accelerata, la protezione attiva della memoria e l'identità immutabile dei dispositivi, renderanno più difficile l'infiltrazione di tali attacchi, facilitandone il rilevamento e la risoluzione. Allo stesso tempo dobbiamo riconoscere il fatto che non elimineremo mai tutti i rischi, che niente è per sempre al sicuro. E anche se potessimo, sarebbe troppo costoso. Pertanto abbiamo bisogno di un meccanismo per mantenere dispositivi, gadget e sensori perfettamente funzionanti. Una parte essenziale delle difese di hardware e firmware è costituita dagli aggiornamenti wireless o altri mezzi non fisici per l'aggiornamento del codice. Anche se l'introduzione di qualsiasi tipo di connessione esterna aumenta la superficie di attacco, i vantaggi dati dal poter aggiornare rapidamente il codice per eliminare una vulnerabilità appena scoperta, compensa i rischi posti dal lasciare migliaia o milioni di dispositivi vulnerabili finché non possono essere modificati fisicamente. Legati all'aggiornamento remoto e automatizzato sono i controlli delle identità e degli accessi, che supereranno di molti milioni i convenzionali sistemi del passato, diminuendo però in dimensioni e complessità per supportare i dispositivi molto piccoli e limitati. Secondo la famosa legge di Moore, cofondatore di Intel, le operazioni matematiche accelereranno al punto in cui i costi della crittografia dei dati basata su hardware si avvicineranno a zero. Per la nota legge di Moore, cofondatore di Intel, le operazioni matematiche accelerano fino al punto in cui il costo della crittografia dei dati basata su hardware si avvicina a zero, aumentando enormemente le nostre prospettive per la protezione dei dati a riposo, in uso e in movimento. La crittografia protegge dati, comunicazioni e aggiornamenti del codice da manomissioni e spoofing. La crittografia dell'hardware incoraggia gli sviluppatori a usarla di più, alleggerendo e velocizzando il processo da 5 a 20 volte, a seconda del tipo di cifratura. Dato che ogni anno continuiamo a scoprire vulnerabilità nei comuni metodi di crittografia, dobbiamo sperimentare e abbracciare dei modelli di crittografia più robusti o migliori, purché continuino a essere efficienti e trasparenti all'utente. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 9 Intel Security: uno sguardo sui prossimi cinque anni Il legame sempre più stretto fra hardware e software di sicurezza sarà visibile anche nella capacità di eseguire nell'hardware certi tipi di elaborazione dei pacchetti TCP/IP, consentendo maggiori operazioni di sicurezza su piattaforme di elaborazione più piccole. Il costo per unità di elaborazione di sicurezza scenderà, anche se le tecnologie in sé miglioreranno. Gli attacchi difficili da rilevare La sempre maggiore capacità degli attacchi di evitare i tradizionali sistemi di sicurezza e di passare inosservati è stata una delle previsioni azzeccate cinque anni fa, ma solo adesso assistiamo agli inizi di tale fenomeno. Il malware è tuttora molto diffuso e in espansione e l'anno scorso ha segnato l'inizio di uno spostamento verso nuove minacce che sono molto più difficili da rilevare, comprendenti gli attacchi senza file, gli exploit remoti di shell e protocolli di controllo, le infiltrazioni cifrate e il furto delle credenziali. Dato che i sistemi di sicurezza di endpoint, perimetri e gateway sono più efficaci nell'ispezione e riconoscimento degli eseguibili ostili, gli autori degli attacchi si spostano su altri tipi di file. Ora stanno sperimentando le infezioni che non si avvalgono dei file. Sfruttando le vulnerabilità di BIOS, driver e altro firmware, eludono le difese iniettando i comandi direttamente in memoria oppure manipolando le funzioni di quest'ultima per installare un'infezione ed estrarre i dati. Questi attacchi non sono di facile esecuzione e non sono intercambiabili come alcuni dei malware più popolari, pertanto il numero degli attacchi noti è attualmente abbastanza piccolo. Comunque, come altre tecniche, nel corso del tempo diventeranno più semplici e più diffusi con la conseguenza di essere più accessibili e di alimentare la propria crescita. L'industria della sicurezza sta sviluppando una tecnologia attiva per la protezione e la scansione della memoria, che rileva le parti di memoria non collegate a uno specifico file. Tuttavia assisteremo a un aumento di questo tipo di attacchi finché tali difese non saranno di impiego comune. McAfee Labs: le previsioni sulle minacce per il 2016 | 10 Intel Security: uno sguardo sui prossimi cinque anni Gli attacchi difficili da rilevare 2015 2016 2017 2018 2019 2020 Al di sotto del sistema operativo: MBR, BIOS, firmware Minacce senza file Exploit di shell remota e protocolli di controllo remoto Infiltrazioni crittografate Malware che evade le sandbox Un altro tipo di attacchi senza file dei quali prevediamo l'aumento nei prossimi cinque anni è la violazione in remoto delle shell e dei protocolli di controllo, come VNC, RDP, WMI e PowerShell. Gli aggressori assumono direttamente il controllo di tali sistemi e possono così installare il codice nocivo senza far scattare gli allarmi degli endpoint. In altri casi i pirati informatici tentano di rubare le credenziali di un utente, in modo da usare tali protocolli legittimamente, attività che è ancora più difficile da individuare. Anzi, riteniamo che l'acquisizione delle credenziali diventerà un obiettivo primario, dato che sono spesso un bersaglio più facile dei dati. Sovente danno inoltre accesso a una serie di risorse preziose, dai dispositivi stessi alle applicazioni dei proprietari, fino ai servizi nel cloud. Una volta che l'aggressore dispone delle credenziali, la maggior parte delle difese considera le ulteriori azioni come legittime, consentendo all'intruso di muoversi liberamente nell'ambiente. L'analisi comportamentale è in grado di rilevare alcuni di questi attacchi. Purtroppo però, l'industria della sicurezza è ancora indietro in questo campo e per gran parte dei prossimi cinque anni non saranno pronte delle solide tecnologie di analisi comportamentale. Nel frattempo, l'autenticazione a due fattori e la biometrica si diffonderanno fino a soppiantare le password, mentre saranno altre le tecnologie determinanti della legittimità. Assisteremo inoltre a: attacchi più pazienti, "dormienti", che attendono dei mesi prima di attivarsi pur di eludere gli ambienti della sandbox; a infezioni che raccolgono i dati silenziosamente, senza interferire affatto con l'utente; e a infiltrazioni occultate nei protocolli comunemente cifrati, come l'HTTPS. Un'altra tecnica furtiva che continueremo a vedere usa una tecnica di distrazione, un po' come fanno i prestigiatori: un attacco malware o botnet attira su di sé l'attenzione e le risorse del reparto sicurezza, mentre il vero attacco si infiltra altrove, muovendosi inosservato e indisturbato. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 11 Intel Security: uno sguardo sui prossimi cinque anni La virtualizzazione Come ogni altra tecnologia, la virtualizzazione presenta punti di forza e punti deboli. Anche se isola e protegge i server virtuali e le applicazioni, può anche rendere più difficili da rilevare i movimenti laterali. Prima della virtualizzazione potevamo potenzialmente individuare i movimenti laterali tramite il traffico di rete anomalo. Nello switching e nell'instradamento basati su software, tale traffico è interamente contenuto in una macchina fisica. La visione complessiva dell'intera macchina, sulla quale ci affidavamo una volta, è ora complicata da tutte le barriere e i computer virtuali posti fra le funzioni del sistema operativo. C'è inoltre il problema di chi è responsabile della sicurezza ai vari livelli, quando l'hardware e le funzioni di base sono forniti da un'azienda o amministrazione, i servizi nel cloud e di virtualizzazione da un'altra e i servizi applicativi da un'altra ancora. E in che modo si può accuratamente tracciare e attribuire un attacco, con tutto l'occultamento possibile tramite i cloud e la virtualizzazione? Nelle sue molte forme, la virtualizzazione presenta significative sfide tecniche e operative per la sicurezza. La virtualizzazione è inoltre interessata da un altro fenomeno: si sta spostando dal centro dati alla rete. Si tratta di una tecnologia in rapida evoluzione, chiamata virtualizzazione della funzione di rete (network function virtualization, NFV), che nei prossimi cinque anni investirà le reti di telecomunicazioni come una tempesta. Anche se le reti virtualizzate esistono già da anni nei cloud centri dati, costituisce una novità all'interno delle reti che collegano utenti ed endpoint ai cloud come Internet. La NFV usa delle piattaforme di elaborazione standard per le attività specializzate della rete che richiedevano appliance specializzate: router, switch, mezzi informatici specifici per le telecomunicazioni, firewall, IPS, DNS, DHCP ecc. Per vari motivi, per quanto riguarda la sicurezza, la NFV è ancora un grosso punto interrogativo. La NFV rende il networking molto più flessibile ed efficiente, ma anche più complesso. Si basa frequentemente sulle tecnologie open source, i cui difetti vengono generalmente comunicati senza problemi; non c'è alcun periodo di tolleranza specifico di un produttore, fra la scoperta e la comunicazione. La NFV crea delle efficienze consentendo la virtualizzazione di più elementi di rete in una sola piattaforma. In caso di un attacco riuscito o di un altro problema, si crea così un singolo punto di errore. Inoltre si hanno i "contenitori" e la "containerizzazione": una nuova forma di virtualizzazione che, a quanto pare, creerà dei nuovi computer virtuali migliori, più veloci e più leggeri. I contenitori sostituiscono le immagini nel centro dati e nel cloud, essenzialmente condividendo non solo le risorse hardware (come consente un hypervisor), ma anche le risorse del sistema operativo, come le librerie. La containerizzazione è una tecnologia già ampiamente impiegata dai principali fornitori di servizi nel cloud. Nei prossimi cinque anni potrebbe sbarcare anche in un centro dati nelle tue vicinanze. Come la NFV, i contenitori possono creare nuove forme di complessità e di rischi. Si basano principalmente sul software open source e generano nuove superfici di attacco tramite la condivisione di più risorse fra tutti i contenitori. Infine, nei prossimi cinque anni le reti definite dal software (software-defined network, SDN) diventeranno la regola nel networking, non solo nei centri dati e negli ambienti cloud. Le SDN verranno usate in combinazione con la NFV per creare degli ottimi nuovi servizi a valore aggiunto e disponibili su richiesta, in forme altamente scalabili e totalmente automatizzate. Eppure, come la NFV, la SDN paga un prezzo in termini di sicurezza perché aggiunge ulteriore complessità, usa il software open source, amplia le superfici di attacco e crea dei singoli punti di errore. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 12 Intel Security: uno sguardo sui prossimi cinque anni Nuovi tipi di dispositivo L'unico sbaglio nelle nostre precedenti previsioni sulla crescita del volume e dei tipi di dispositivi è stato l'eccesso di prudenza. Ciò che abbiamo sperimentato negli ultimi cinque anni è solo una piccola parte di ciò che ci riservano i prossimi cinque. La facilità e il costo dello sviluppo degli oggetti connessi sta scendendo rapidamente, conducendo a un'esplosione di nuovi prodotti, modelli di business e di utilizzo. I prototipi diventano velocemente prodotti, mentre i gadget di precoce adozione maturano ed espandono la base di installazioni nelle applicazioni di consumo, industriali e aziendali. Alcuni di questi avanzati dispositivi dell'Internet of Things (IoT) hanno una base di installazioni così ampia da rendere gli attacchi una garanzia, mentre altri tipi di dispositivo seguono a ruota. La maggioranza di queste aziende e i loro gadget sono spinti dal time to market, dalla fruibilità e da snelle strutture dei costi, perché hanno tempo e risorse limitati per investire nella sicurezza informatica dei dispositivi. Tali dispositivi espongono agli attacchi non solo se stessi, ma anche i sistemi a cui si connettono e le informazioni personali che gestiscono. Inoltre, molti di essi sono progettati per restare in funzione per molti anni, esponendo se stessi e i sistemi a quelle minacce che sarebbero altrimenti eliminate dagli upgrade o dai brevi cicli di aggiornamento. McAfee Labs: le previsioni sulle minacce per il 2016 | 13 Intel Security: uno sguardo sui prossimi cinque anni Nuovi tipi di dispositivi Tablet Dispositivi indossabili 2019 269 mln 2018 780 mln 248 mln 200 mln 2015 2015 Dispositivi IoT 2020 200 mld Dimensione del mercato globale del cloud pubblico 2020 159 mld $ 15 mld 97 mld $ 2015 2015 Fonte: McAfee Labs, 2015 In casa, gli smartphone e i tablet sono diventati il fulcro dell'ecosistema IoT. Telefoni e tablet sono i punti di raccolta delle informazioni per la maggior parte dei dispositivi indossabili. Vengono usati per configurare e comandare le smart TV; azionare luci, serrature ed elettrodomestici; collegarsi all'automobile; coordinare molti strumenti medicali digitali. Il tutto è connesso a un backend nel cloud. Questo fulcro è anche un eccellente serbatoio di informazioni che può attirare i malintenzionati. Sappiamo che le vulnerabilità dei telefoni non sono state ancora prese di mira, ma solo perché gli autori degli attacchi non hanno ancora delle motivazioni finanziarie. Con l'aumento del loro uso come punti di raccolta, ci aspettiamo che nei prossimi cinque anni smartphone e tablet saranno colpiti in modo più aggressivo, per i dati che conservano e che fanno transitare. Parimenti, con la competizione delle aziende per il predominio nella casa connessa, riteniamo che gli hub domestici e i rispettivi servizi nel cloud saranno interessati dal paziente malware raccoglitore di informazioni di basso profilo. Molti di questi dispositivi sono sempre attivi, sempre in ascolto e sempre in comunicazione, il che desta preoccupazioni per la trasparenza e la privacy. Dato che i padroni di casa sono impreparati o male equipaggiati per rilevare e debellare la maggior parte delle minacce alla sicurezza, un attacco riuscito può Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 14 Intel Security: uno sguardo sui prossimi cinque anni raccogliere i dati personali in maniera continuativa, abilitare le azioni di negazione di servizio e trasformare in zombi i dispositivi della casa connessa a Internet. Nel corso dei prossimi cinque anni, le reti domestiche connesse potrebbero diventare il modo più semplice per infiltrarsi nella vita delle persone o nelle risorse dei loro datori di lavoro. Per tale motivo ci sarà un'elevata richiesta di tecnici installatori esperti in sicurezza informatica, di configurazioni predefinite più efficaci per le reti domestiche e di nuovi servizi di sicurezza dai fornitori della banda larga e delle applicazioni a integrazione dei dispositivi. Nei prossimi cinque anni faranno la loro comparsa anche gateway domestici più intelligenti e sicuri, come non sono ora, perché movimentano i pacchetti da e verso Internet con poca o nessuna supervisione e li smistano senza alcuna policy all'interno della casa. I gateway dovranno migliorare per supportare l'IoT, con le sue interconnessioni cyberfisiche e le applicazioni critiche per la sicurezza. A un dispositivo (o utente) compromesso della casa non deve essere consentito di attaccare un altro dispositivo IoT domestico senza qualche forma di rilevamento o, ancora meglio, di protezione. I gateway diventeranno l'ultima linea di difesa, ma consentiranno anche molti nuovi e preziosi servizi per la sicurezza, nonostante i timori dei consumatori e i dubbi del legislatore. Questa nuova gamma di dispositivi implica ben più di un semplice passaggio a telefoni e tablet. Annuncia anche l'arrivo di un mondo nel quale gli utenti in movimento potranno impiegare qualsiasi dispositivo dotato di tastiera e schermo per accedere alle informazioni nel cloud. L'obiettivo degli aggressori sono sempre stati i dati che ora possono essere a disposizione in quantità molto maggiori da dispositivi di accesso meno controllati e gateway meno protetti. Se teniamo i nostri file nel cloud e vi accediamo da un telefono, tablet, chiosco, automobile o orologio (ognuno dei quali esegue un sistema operativo e applicazioni differenti), abbiamo sostanzialmente ampliato la superficie di attacco. Dato che questi dispositivi di accesso saranno inevitabilmente meno sicuri, i fornitori di cloud computing saranno indotti a migliorare significativamente la sicurezza delle connessioni e dei dati stessi. Riteniamo che i migliori fornitori sapranno raccogliere questa sfida nei prossimi cinque anni, grazie alle tecnologie dei principali produttori di soluzioni di sicurezza. In parallelo, nuovi tipi di dispositivi e sensori professionali si inseriscono in impianti industriali, sistemi di controllo delle infrastrutture critiche e procedure aziendali fondamentali, creando nuove superfici di attacco. In aggiunta alle minacce dirette, abbiamo visto quanto questi nuovi tipi di dispositivo possono intrecciare sistemi industriali e aziendali, una tendenza che potrà solo velocizzarsi con la loro sempre maggiore interconnessione. Alcuni di questi dispositivi saranno situati nei punti critici delle reti affidabili, rendendole attraenti per ulteriori attacchi, nel caso in cui possano essere compromesse. Dobbiamo inoltre essere attenti a non prestare solo attenzione ai grandi numeri. Benché un attacco riuscito ai dispositivi IoT con centinaia di milioni di installazioni è probabile che scateni il caos, un solo dispositivo in un punto chiave del sistema di controllo di un'infrastruttura critica potrebbe essere molto più devastante. McAfee Labs: le previsioni sulle minacce per il 2016 | 15 Intel Security: uno sguardo sui prossimi cinque anni L'evoluzione delle minacce informatiche Finché esisteranno risorse digitali preziose ci saranno dei criminali, pertanto nei prossimi cinque anni il cimine informatico continuerà a prosperare. Come quelle di una qualsiasi azienda, la maggior parte delle operazioni del crimine informatico segue i soldi, cercando il modo più facile per sottrarre qualcosa di valore. Il crescente valore dei dati personali giocherà un ruolo importante, dato che sono già più preziosi dei dati delle carte di pagamento e lo saranno sempre di più. Il maggiore uso delle criptovalute come Bitcoin renderà le valute virtuali, che sono già il metodo di pagamento preferito dai delinquenti, un bersaglio attraente per i ladri. Gli attacchi informatici offerti in pacchetto saranno sempre più accessibili agli individui meno esperti, consentendo o facilitando gli attacchi con obiettivi più personali, come reputazione, integrità, molestie, vandalismo o il puro e semplice caos. La crescita del cloud computing creerà nuove vulnerabilità e minacce. Le tradizionali infrastrutture di reti e sistemi hanno offerto il potenziale per la definizione chiara di un perimetro da proteggere, mentre i cloud e il loro ventaglio di confini organizzativi e punti di controllo rende tale attività più difficile. Gli autori degli attacchi prenderanno sempre più di mira il cloud per trarre vantaggio da tali confini mal definiti. Colpiranno anche il cloud pubblico perché offre la possibilità di muoversi lateralmente e di violare le altre reti virtuali al suo interno. Il cloud computing offre inoltre eccezionali risorse ai criminali sotto forma di capacità di elaborazione e archiviazione, oltre alla possibilità di comparire e scomparire con un clic del mouse. Per le forze dell'ordine sarà difficile chiudere un intero fornitore di servizi cloud a causa del comportamento criminoso dei suoi utenti, pertanto per poterli neutralizzare occorrerà perseguirne le risorse, come i portafogli di Bitcoin. Nella nostra retrospettiva quinquennale abbiamo notato l'evoluzione verso un maggior numero di attacchi perpetrati dagli Stati, che continueranno a rinforzare le proprie capacità informatiche di attacco e difesa. Svilupperanno le loro capacità di raccolta di informazioni e di manipolazione furtiva dei mercati, continuando così ad ampliare la definizione e le regole della guerra informatica. Le armi informatiche degli Stati fungeranno da riequilibratore, spostando gli equilibri di potere in molte relazioni internazionali, proprio come fecero le armi nucleari a partire dagli anni 50. I piccoli Paesi saranno in grado di mettere insieme o ingaggiare un ottimo gruppo informatico per affrontare un Paese più grande. Anzi, le capacità di guerra informatica sono già entrate a far parte dell'armamentario politico internazionale, in termini sia di attacco sia di difesa. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 16 Intel Security: uno sguardo sui prossimi cinque anni Evoluzione delle minacce informatiche Sondaggio sulle infrastrutture critiche 48% 70% Oltre il 70% ritiene che le minacce alla sicurezza informatica contro la propria aziende stiano aumentando Il 48% ritiene probabile che un attacco informatico metta in ginocchio un'infrastruttura critica con potenziale perdita di vite umane Fonte: http://www.mcafee.com/it/resources/reports/rp-aspen-holding-line-cyberthreats.pdf Gli attacchi informatici possono colpire non solo database e infrastrutture digitali, ma anche armamenti e infrastrutture fisiche. Uno Stato aggressore potrebbe tentare di togliere l'elettricità o di chiudere l'erogazione di acqua piuttosto che l'accesso a Internet, oppure potrebbero assumere il controllo di droni, armi e sistemi di puntamento di un altro Paese. Anche lo spionaggio digitale fa parte della guerra informatica. Gli agenti del controspionaggio digitale prendono il controllo dei sistemi di sorveglianza, seguono i dipendenti governativi e sottraggono documenti per conseguire vantaggi strategici. L'abbiamo già visto con la portata della violazione all'Ufficio Statunitense di Gestione del Personale e durante i prossimi cinque anni osserveremo questi comportamenti sempre di più. Gli standard di sicurezza dell'IoT Per quanto riguarda i nuovi tipi di dispositivo, nel capitolo precedente abbiamo trattato gli emergenti dispositivi dell'IoT. Tuttavia non abbiamo parlato dei nuovi standard previsti per l'IoT, in particolare le norme legate alla sicurezza. La creazione di robuste norme di sicurezza per l'IoT è vitale, dato il gran numero di dispositivi IoT che raccolgono dati molto personali oppure critici per le aziende. Nelle mani sbagliate, tali dati potrebbero distruggere un'azienda o essere fatali per una persona. Per quanto riguarda gli standard di qualsiasi tipo, l'IoT è una sorta di caleidoscopio. Esistono letteralmente centinaia di standard che possono sfiorare potenzialmente l'IoT e alcuni, importanti, che lo riguardano direttamente. L'IoT è interessato dalle norme (emanate da molti organismi) in materia di sicurezza di rete, gestione delle identità, interoperabilità, comunicazioni wireless, privacy e molte altre. Condividi questo report Eppure, in questo turbine di norme sovrapposte e concorrenti esistono delle lacune, soprattutto legate alla sicurezza. Per esempio, il modo di progettare e gestire in modo sicuro le reti basate su NFV o SDN non è affrontato da nessuno degli enti più importanti, come ISO, EIC e ITU. Parimenti, i nuovi e differenti requisiti legati all'IoT per le identità e il controllo degli accessi, oppure la chiara applicazione delle normative sulla privacy ai big data dell'IoT, richiedono ancora molto lavoro. McAfee Labs: le previsioni sulle minacce per il 2016 | 17 Intel Security: uno sguardo sui prossimi cinque anni La buona notizia è che gli sforzi attuali dovrebbero produrre delle indicazioni notevolmente migliori per la sicurezza IoT, a livello di normative internazionali. I mercati dovrebbero giovarne, oltre a fornire rassicurazioni dopo alcuni disastri di alto profilo collegati agli albori dell'IoT. Dati personali, sicurezza e privacy Il crescente valore dei dati personali attirerà i ladri informatici, creando mercati sofisticati per i dati rubati. Condurrà però anche a maggiore legislazione in materia di sicurezza e privacy. I dati personali, il loro valore e la domanda di privacy cambieranno drasticamente la sicurezza e il crimine informatico, dai bersagli agli attacchi e alle difese. Nei prossimi cinque anni il volume e i tipi di informazioni personali raccolte e conservate aumenteranno. Si passerà da nome, indirizzo, numero telefonico, indirizzo email e alcuni acquisti di un individuo, alle località visitate di frequente, ai comportamenti "normali", a ciò che mangiamo, guardiamo e ascoltiamo, ai nostri peso, pressione arteriosa, ricette mediche, modo di dormire, attività quotidiane e fisiche. Dei sensori invieranno tali informazioni a tutta una serie di organizzazioni, che ci restituiranno pubblicità, consigli e offerte convenienti. La combinazione di tali informazioni rappresenta le "emissioni" digitali che diventeranno un sottoprodotto costante e inevitabile della vita moderna. Le emissioni digitali da noi prodotte oggi, consapevolmente o meno, avranno un enorme valore economico in futuro, consentendoci di venderle in cambio di contanti, sconti, prodotti o servizi sempre più personalizzati. Dato il sempre maggior valore delle informazioni, vorremo proteggerle e controllarle. Qualcuno continuerà a prenderci i dati "legittimamente", ma seppellendo le condizioni in un contratto di servizio per un'app o un servizio altrimenti innocui. Qualcun altro tenterà di prelevarli dal cloud, tramite i nostri dispositivi, o nel momento in cui attraversano le molte reti per le quali passiamo ogni giorno. Altri, ovviamente, vorranno rubarli. Il crescente valore dei dati personali sta creando un nuovo tipo di delinquenza che combina, immagazzina e vende le informazioni rubate per scopi specifici. Sfruttando le tecniche analitiche usate nel mondo dei big data, tali criminali cercheranno nessi e correlazioni in tutto il loro bottino di informazioni rubate, decompileranno le identità personali e venderanno tali informazioni al miglior offerente. Questo metodo consentirà ai ladri di eludere le tecniche di verifica delle identità più usate comunemente – codici fiscali, date di nascita, ultime quattro cifre delle carte di credito oppure le risposte alle tipiche domande di sicurezza – ed essenzialmente venderanno credenziali legittime rendendo più difficile l'identificazione dei comportamenti sospetti da parte dei sistemi di difesa. I criminali informatici possono anche essere in grado di usare le analisi comportamentali per capire quali acquisti si possono fare con le carte di pagamento rubate senza far scattare l'allarme. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 18 Intel Security: uno sguardo sui prossimi cinque anni Mappa 2014 per la privacy dei dati Maggiormente soggetto a restrizioni Soggetto a restrizioni Soggetto ad alcune restrizioni Di fatto non soggetto a restrizioni Soggetto a restrizioni minime Nessuna direttiva o informazione Fonti: Dipartimento del commercio degli Stati Uniti e direttive locali; Forrester Research, Inc. La privacy digitale e le linee guida e normative di sicurezza non sono nuove. Per lungo tempo ci sono state discussioni e attività in molti settori e Paesi su ciò che è accettabile, sugli appropriati requisiti di conformità e sulle pene per gli illeciti. Con una sempre maggiore quantità di dati personali acquisiti e conservati, i tentativi di codificare politiche e sanzioni continuerà. I consumatori domanderanno non solo più privacy, ma anche modi migliori per dare il consenso alla tracciatura, più trasparenza su ciò che viene conservato, oltre al diritto di visionare, modificare o perfino cancellare le proprie informazioni. Le aziende si muoveranno tempestivamente verso l'autoregolamentazione, magari offrendo prodotti con configurazioni predefinite che siano più idonee alla privacy dei consumatori che alla raccolta delle informazioni: spostandosi verso modelli di consenso piuttosto che di rinuncia da parte del consumatore. Si tratta di una linea sottile su cui camminare e le industrie che non si adattano abbastanza si ritroveranno in un groviglio legislativo. Anche l'eccessiva regolamentazione è un pericolo, dalle innumerevoli conseguenze indesiderate, che può potenzialmente vanificare l'innovazione e costituire una significativa minaccia per le industrie. Per far evolvere le normative relative ad auto e telefoni è servito più di un secolo. Durante i prossimi cinque anni vedremo eventualmente l'impatto della regola della neutralità della rete, recentemente emessa dalla Federal Communications Commission (FCC) degli Stati Uniti, che impone delle regolamentazioni a Internet. Per quanto riguarda la regolamentazione dell'IoT, nei prossimi cinque anni dovremo aspettarci una serie di iniziative e fallimenti. Ci sarà una significativa pressione per condividere i dati personali con i governi, forzando le multinazionali a districarsi fra regolamenti in conflitto e responsabilità legali durante la comunicazione dei dati oltre confine. Come già osserviamo oggi, le organizzazioni potrebbero domandare protezione dalle responsabilità oppure rifiutarsi di cooperare con i regolamenti di divulgazione in alcuni Paesi contrari ai loro valori oppure alle regole del Paese della casa madre, il che innescherà conflitti interessanti. McAfee Labs: le previsioni sulle minacce per il 2016 | 19 Intel Security: uno sguardo sui prossimi cinque anni Il contrattacco dell'industria della sicurezza Le analisi comportamentali miglioreranno la capacità di rilevare gli attacchi avanzati. Una migliore collaborazione e la condivisione delle intelligence sulle minacce porteranno alla più rapida identificazione delle tecniche e tattiche degli autori degli attacchi. L'agenda dell'industria della sicurezza ■■ ■■ ■■ ■■ Analisi comportamentali: per rilevare le attività irregolari. Intelligence condivise sulle minacce: per una protezione migliore e tempestiva. Sicurezza integrata nel cloud: per migliorare la visibilità e il controllo. Rilevamento e correzione automatizzati: per proteggere più dispositivi con meno professionisti della sicurezza. Le analisi comportamentali sono la prossima arma pesante nell'arsenale della difesa informatica. Identificando i comportamenti normali e monitorando continuamente le attività, questi strumenti imparano i movimenti regolari e le attività degli individui legittimi, inviando degli allarmi o prendendo delle iniziative quando rilevano qualcosa di irregolare. Solitamente questa applicazione viene usata da una persona per lavoro? Questa attività viene eseguita durante il normale orario di lavoro, in sedi tipiche e usando dei dispositivi verificati? Le tecnologie di analisi comportamentale sono agli inizi ed è ancora difficile estrarre informazioni significative da massicce quantità di dati. Tuttavia matureranno rapidamente nei prossimi cinque anni, dato che il problema verrà affrontato dalle capacità di apprendimento delle macchine, dai big data e dalle funzioni analitiche. Al fine di fornire una protezione più veloce e migliore, aziende, governi e produttori di soluzioni di sicurezza saranno sotto pressione per condividere i dati di intelligence. Oggi assistiamo già agli inizi di questa tendenza, con alcuni partecipanti dell'ecosistema giunti alla conclusione che i vantaggi della condivisione superano gli svantaggi. Questi scambi probabilmente cresceranno a monte e a valle della catena di fornitura e in vari settori, con le organizzazioni che decideranno di chi fidarsi e come utilizzare le informazioni sulle minacce nelle proprie attività. I prodotti e servizi di intelligence sulle minacce continueranno a proliferare, ma i produttori di soluzioni di sicurezza dovranno scegliere fra il valore di marketing e di fatturato degli abbonamenti ai feed di informazioni e l'evidente necessità di condividerle per collaborare meglio. Le agenzie governative saranno alle prese con conflitti e cooperazione fra le giurisdizioni, oltre che con le aziende preoccupate delle responsabilità derivanti dalla comunicazione delle informazioni sulle minacce con le forze dell'ordine. Il volume generato di intelligence sulle minacce richiederà l'avanzamento delle capacità di apprendimento e analisi dei computer, per la conversione efficiente in azioni appropriate e avvisi tempestivi agli operatori. Gli scambi di informazioni avranno bisogno di sistemi di punteggio per affidabilità e qualità, capacità di verifica e metodi sofisticati per corroborare e convalidare rapidamente i risultati, in modo da ridurre i falsi positivi e prevenire la manipolazione del sistema. Un altro imperativo chiave dei prossimi cinque anni sarà anche l'aumento di efficienza ed efficacia. Entro il 2020 il numero di dispositivi da proteggere supererà i 200 miliardi. Contemporaneamente il numero di professionisti della sicurezza, con il livello di capacità necessario, sta aumentando, anche se l'offerta di tali persone e capacità è ben al di sotto della domanda del mercato. La necessità porterà a un'automazione delle funzioni di sicurezza più profonda e più ricca. Le imprese richiederanno inoltre dei livelli prevedibili di investimenti in sicurezza e di gestione dei rischi, stimolando il continuo sviluppo della sicurezza come servizio, di prodotti assicurativi specifici e di piani di copertura dai rischi di violazioni catastrofiche. In tutto ciò le informazioni sulle minacce svolgeranno il proprio ruolo, fornendo i dati necessari per la realizzazione di modelli attuariali nel settore assicurativo. Tali modelli potranno essere il frutto di interessanti collaborazioni fra settore assicurativo e produttori di soluzioni di sicurezza, fornitori di servizi nel cloud o consorzi di intelligence sulle minacce. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 20 Intel Security: uno sguardo sui prossimi cinque anni Conclusioni Cinque anni fa ritenevamo che tre fattori sarebbero stati responsabili delle problematiche della sicurezza informatica: la superficie di attacco in espansione, l'industrializzazione della pirateria e la complessità e frammentazione del mercato della sicurezza informatica. Guardando avanti, pensiamo che i fattori principali saranno la continua espansione della superficie di attacco, la sempre maggiore sofisticazione degli aggressori, l'elevato costo delle violazioni, la mancanza di integrazione fra le tecnologie di sicurezza e la carenza di talenti per contrastare le minacce. Dispositivi indossabili, gadget, sensori e altri oggetti collegati a Internet stanno creando nuove connessioni ed esponendo nuove vulnerabilità. Ogni nuovo prodotto che si connette a Internet deve fronteggiare le minacce odierne e tutta la loro forza, pertanto abbiamo una lunga strada da percorrere, se vogliamo tenere il passo con la velocità e complessità degli attacchi. L'incorporazione della protezione nei livelli hardware e software è essenziale per i nuovi prodotti, se si vuole che gli utenti si fidino. Il lato positivo è che sul mercato stanno giungendo nuovi strumenti di sicurezza, mentre aumentano le imprese di ogni dimensione che sono consapevoli dell'importanza di una buona sicurezza informatica. L'economia dei dati personali rappresenta una manna per i consumatori, che saranno in grado di trarre sempre maggior valore dalle proprie attività e informazioni. Tuttavia, data la forza di attrazione di tale valore per i ladri, dovremo affrontare minacce tremende alla riservatezza. I dati sono interessati anche dalle regolamentazioni, per cui saranno messe in discussione anche l'innovazione e le libertà civili. Le organizzazioni di tutti i tipi svolgeranno campagne di lobby per affermare il proprio punto di vista e limitare le proprie responsabilità in caso di violazioni. Le operazioni di sicurezza si sposteranno ulteriormente dalle spese in conto capitale a un modello continuo e prevedibile di spese operative e di esternalizzazione, unite ai costi di assicurazione e alla gestione dei rischi. Infine, continueranno a crescere le capacità di guerra informatica degli Stati, sia in termini di portata che di sofisticazione. Gli attacchi informatici freddi e caldi influenzeranno le relazioni politiche e le strutture di potere nel mondo. I relativi strumenti cadranno nelle mani del crimine organizzato e di altri gruppi spinti da motivazioni ostili, economiche o di diffusione del caos. Ci sono però dei segni di speranza. L'industria della sicurezza e molte agenzie governative collaborano reciprocamente in modo più semplice, migliorando i nostri tassi di successo nell'individuazione e blocco delle minacce informatiche. La ricerca negli ambiti di vulnerabilità e sicurezza continua a svilupparsi, identificando più precocemente gli exploit. Le grandi aziende tecnologiche, Intel compresa, possiedono team interni di ricerca e sviluppo molto competenti in sicurezza, il che continuerà ad aumentare l'efficacia di rilevamento, protezione e risoluzione degli attacchi. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 21 McAfee Labs: le previsioni sulle minacce per il 2016 L'hardware Le automobili Il ransomware I magazzini dei dati rubati Le vulnerabilità I sistemi di pagamento Gli attacchi tramite i sistemi dei dipendenti I servizi nel cloud I dispositivi indossabili L'integrità Lo spionaggio informatico L'attivismo informatico Le infrastrutture critiche La condivisione delle intelligence sulle minacce McAfee Labs: le previsioni sulle minacce per il 2016 L'hardware Per le finalità di questa previsione, il termine "hardware" comprende gli attacchi a firmware, BIOS e UEFI (sotto il sistema operativo) che influiscono sui componenti hardware, quando non li sfruttano direttamente. Nel 2015 abbiamo assistito a una profonda trasformazione nell'ambito dell'hardware e degli attacchi incentrati su di esso. Sono stati pubblicati molti nuovi articoli accademici e proof-of-concept relativi agli attacchi hardware. Dal canto loro, il settore della sicurezza e le organizzazioni hanno scoperto numerosi attacchi in circolazione basati sull'hardware. Nel caso degli attacchi dell'Equation Group scoperti all'inizio di quest'anno, gli artefatti di malware rinvenuti erano già vecchi di alcuni anni. Questo è un ulteriore esempio di come i ricercatori scoprano dei malware altamente sofisticati a livello bassissimo che (contemporaneamente) sono già "vecchi" per gli standard degli autori e perpetratori degli attacchi. Avevamo già visto in precedenza l'uso di malware vecchio in minacce come Flame, Duqu e altre simili. Il malware dell'Equation Group è stato capace di riprogrammare il firmware delle unità disco rigido e a stato solido, rimanendo persistente nonostante gli sforzi a livello più alto (reinstallazioni del sistema operativo, formattazione dell'unità) per rimuoverlo. Questo attacco è un esempio lampante di come si sfrutti l'intima conoscenza del firmware e del codice di riferimento di specifici produttore, usandola per mantenere aggressivamente la persistenza del malware. Nel 2016 non solo questa tendenza continuerà, ma è anche molto probabile che i ricercatori delle minacce scopriranno attacchi continui di questa natura, mano a mano che si scava nelle minacce correnti. UEFI (Unified Extensible Firmware Interface) è un'interfaccia firmware per PC basata su degli standard, progettata per sostituire il BIOS. È stata creata dalle oltre 140 aziende tecnologiche che fanno parte dell'UEFI Forum. Gli attacchi hardware sono amplificati dall'emergere degli strumenti commerciali di attacco. Nel 2015 abbiamo scoperto il primo rootkit UEFI commerciale, comprendente il codice sorgente. Il gruppo Hacking Team, autore del rootkit, offre una piattaforma chiamata Remote Control System, che include tale modulo rootkit. Porzioni di questo strumento sono state già adattate per gli attacchi osservati in circolazione. La messa a disposizione del codice sorgente ha infatti facilitato notevolmente agli autori degli attacchi la personalizzazione e modifica del rootkit per i propri scopi. Nel 2016 è probabile che compaiano copie di tale codice e strumenti simili. Grazie agli sforzi di gruppi come NSA Playset possiamo vedere esempi (e ricerche) analoghi. Va ribadito che questi strumenti non sono nuovi, ma gli autori degli attacchi possono adattarli e continueranno a farlo per perseguire i propri scopi illeciti. La capacità di persistere al di sotto del sistema operativo, nel quale esercita la propria azione la gran parte dei tipici controlli di sicurezza, è molto attraente per gli attori delle minacce di qualsiasi livello, dai comuni ladri informatici agli stati-nazione In abbinamento al cloud o ai fornitori di servizi nel cloud, gli attacchi basati sul firmware di sistema pongono un rischio serio. Nel 2015, il team ATR di Intel ha dimostrato come si possa ottenere l'accesso ai computer virtuali adiacenti tramite vettori multipli, compresi i rootkit del firmware o semplici errori di configurazione. Le minacce simili all'attacco S3 Boot Script possono essere adattate per gli attacchi in circolazione. In molti casi si tratta solo di sfruttare semplici errori di configurazione nell'UEFI o nel BIOS. Andando avanti dobbiamo essere iper-consapevoli dei componenti situati al di sotto del sistema operativo e del modo in cui possono essere sfruttati per un attacco. I mezzi di controllo disponibili per gli attacchi al di sotto del sistema operativo comprendono strumenti come CHIPSEC e tecnologie come Intel Kernel Guard Technology (iKGT) e Intel BIOS Guard. Condividi questo report Jim Walter McAfee Labs: le previsioni sulle minacce per il 2016 | 23 McAfee Labs: le previsioni sulle minacce per il 2016 Il ransomware Nel 2016 il ransomware resterà una minaccia importante e in rapida crescita. Con nuove varianti in arrivo e grazie al successo del modello commerciale di "ransomware come servizio", prevediamo che la sua crescita iniziata nel terzo trimestre del 2014 continuerà anche nel 2016. Nel 2015 abbiamo visto il ransomware come servizio ospitato dalla rete Tor, con l'utilizzo delle valute virtuali per i pagamenti. Nel 2016 ci aspettiamo un'ulteriore sviluppo, dato che i criminali informatici inesperti avranno accesso a tale servizio restando relativamente anonimi. Anche se sono poche le famiglie di ransomware – fra cui CryptoWall 3, CTB-Locker e CryptoLocker – che dominano il panorama, prevediamo l'emergere di varianti di queste e altre famiglie, con nuove funzionalità di occultamento. Per esempio, le nuove varianti possono cominciare a crittografare i dati in maniera silente. I file cifrati vengono sottoposti a backup finché l'aggressore non toglie la chiave, con la conseguenza di avere dei file crittografati sia nel sistema che nel backup. Altre varianti potrebbero usare i componenti del kernel per agganciarsi al file system e cifrare i file istantaneamente, quando l'utente vi accede. Nuovi esempi di famiglie di ransomware 25.000 20.000 15.000 10.000 5.000 0 4° T 2013 1° T CTB-Locker 2° T 2014 3° T CryptoWall 4° T 1° T Teerac 2° T 2015 3° T CryptoLocker Fonte: McAfee Labs, 2015 I gruppi dietro la maggior parte delle attuali campagne di ransomware sono alla ricerca di rapidi guadagni, perciò usano le campagne di spam e i kit di exploit, come Angler, per colpire i Paesi ricchi, nei quali la gente può permettersi di pagare un riscatto. Mentre ci aspettiamo che tale tendenza prosegua nel 2016, prevediamo altresì un nuovo bersagliamento di alcuni settori come la finanza e gli enti pubblici locali, che pagheranno velocemente i riscatti pur di far ripartire le proprie essenziali attività. Anzi, già abbiamo visto dei criminali piuttosto efficienti nell'attaccare questi settori. Di solito vengono presi di mira solo i file di Microsoft Office, i file Adobe PDF e i file grafici, ma nel 2016 ci aspettiamo che si aggiungeranno altre estensioni comuni negli ambienti aziendali. Gli attacchi a Microsoft Windows continueranno nel 2016, ma ci aspettiamo che il ransomware cominci a colpire anche Mac OS X, grazie alla sua crescente diffusione. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 24 McAfee Labs: le previsioni sulle minacce per il 2016 Nel rapporto 2015 abbiamo fatto delle previsioni sul fatto che il ransomware avrebbe preso di mira il cloud e i dispositivi mobili, ma di fatto abbiamo visto ancora pochi tentativi in queste aree. Nonostante il fatto che nei telefoni cellulari vengano memorizzati file personali, è abbastanza facile ripristinare i file cifrati o danneggiati tramite il servizio cloud del fornitore dell'applicazione o un backup locale. Christiaan Beek Le vulnerabilità Le vulnerabilità delle applicazioni sono un problema continuo per gli sviluppatori di software e i loro clienti. Adobe Flash è forse il prodotto attaccato più di frequente: le vulnerabilità di Flash, fra cui CVE-2015-0311 e CVE-2015-0313, hanno costituito quasi un terzo di tutti gli attacchi zero-day scoperti dalle aziende della sicurezza nel biennio 2014-2015. Nonostante la notorietà di Flash, Adobe è comunque in grado di ripararne velocemente le falle. Prevediamo inoltre che la popolarità di questo vettore di attacchi (soprattutto quelli istigati dai kit di exploit) calerà nel prossimo anno, grazie alle funzioni di mitigazione introdotte di recente da una patch di Flash Player. Tali funzioni neutralizzano il metodo di sfruttamento "vector spray" aumentando la sicurezza di Flash e rendendone più difficile la violazione. Ma nessuna prevenzione o mitigazione è perfetta. Dato che la qualità del codice e la complessità di Flash non sono cambiate, le vulnerabilità ancora presenti sono molte. Nel prossimo anno ci aspettiamo di vedere alcuni proof of concept che riusciranno a bypassare la mitigazione. Alcuni sviluppatori hanno pensato all'HTML5 per sostituire Flash, mentre Google Chrome presto lo penalizzerà. Ma qualsiasi transizione sarà lenta. Internet è pieno di vecchi contenuti Flash, almeno per i desktop (anche se non per i dispositivi mobili), e non riteniamo che la situazione cambi presto. Attacchi Zero-Day per applicazione vulnerabile, 2014–2015 Adobe Flash Adobe Reader 12% 2% 6% 34% Microsoft Internet Explorer Microsoft Office Componente/Kernel del sistema operativo Windows 16% 6% 6% 18% Oracle Java Sistema operativo non Windows Altri Condividi questo report Fonte: McAfee Labs, 2015 McAfee Labs: le previsioni sulle minacce per il 2016 | 25 McAfee Labs: le previsioni sulle minacce per il 2016 Le vulnerabilità di Internet Explorer sono meno comuni oggi rispetto ad alcuni anni fa, anche se occasionalmente vediamo in circolazione degli exploit come CVE-2015-2425 e CVE-2014-1815. Tale declino è principalmente dovuto alle recenti mitigazioni che hanno aumentato il costo delle violazioni. Nel 2016 non prevediamo un grosso cambiamento al riguardo. D'altro canto, anche se Microsoft continua ad aggiungere nuove difese a IE (modalità protetta potenziata, Virtual Table Guard, Control Flow Guard, heap isolato, protezione della memoria ecc.), gli autori degli attacchi trovano spesso il modo di eluderle. I trucchi per bypassare queste funzioni vengono costantemente rivelati. Di conseguenza, è solo una questione di tempo prima di vedere gli attacchi zero-day bypassare le ultime protezioni di Internet Explorer. E per quanto riguarda Edge, il nuovo browser di Microsoft incluso in Windows 10? Con la sua ampliata superficie di attacco (perché supporta i nuovi standard del web) e le migliori funzioni di prevenzione (come il Garbage Collector della memoria), prevediamo un interessante confronto in questa arena. Edge sarà vulnerabile come lo era IE? Pensiamo che delle vulnerabilità verranno scovate anche in Edge, ma che saranno più difficili da sfruttare. Gli exploit di Java, PDF e Office hanno avuto un notevole declino. Nei due anni passati abbiamo osservato in circolazione un solo zero day per Java (CVE‑2015‑2590). Questa scarsità è attribuibile principalmente ai miglioramenti della sicurezza nelle ultime versioni di Java Runtime Environment. Il numero di attacchi zero-day basati su Office negli ultimi anni non è stato ingente; tuttavia, questo genere di attacchi costituisce un serio pericolo per gli ambienti informatici delle imprese. Alla conferenza Black Hat USA 2015 abbiamo presentato la nostra ricerca sulla sicurezza del collegamento ed incorporamento di oggetti (Object Linking and Embedding, OLE), un'importante funzione dei documenti di Office. Abbiamo riscontrato che l'OLE ha una superficie di attacco molto estesa, pertanto ci aspettiamo che continuerà ad essere preso di mira. Gli attuali metodi di rilevamento e protezione per gli attacchi alle vulnerabilità basate su Office non sono ancora abbastanza efficaci (per esempio, i documenti Office crittografati possono essere usati per eludere il rilevamento). Di conseguenza, nel prossimo anno prevediamo l'aumento degli attacchi basati su Office. In particolare, ci aspettiamo di vedere gli exploit delle nuove vulnerabilità scoperte nelle aree oltre Windows. Sempre di più, i bersagli delle minacce avanzate e degli attacchi zero-day saranno i sistemi integrati, l'Internet degli Oggetti e il software delle infrastrutture. I bersagli comprenderanno le varianti di Unix, le piattaforme smartphone più diffuse, i sistemi specifici dell'IoT (come Tizen e Project Brillo), oltre ai componenti e alle librerie fondamentali (Glibc, OpenSSL ecc.). Nello specifico, le librerie e i componenti di più ampio utilizzo, soprattutto i framework open source, non sono così sicuri come dovrebbero essere. Se guardiamo agli attacchi zero-day critici degli ultimi due anni, notiamo che molti di essi sono legati alle vulnerabilità del software open source, come CVE-2015‑0235 (GHOST) e i problemi di OpenSSL (CVE-2015-1793, CVE‑2014‑3566 e CVE‑2014‑0160). Prevediamo che nel 2016 questi bersagli diversi da Windows saranno molto colpiti. Bing Sun e Haifei Li McAfee Labs: le previsioni sulle minacce per il 2016 | 26 McAfee Labs: le previsioni sulle minacce per il 2016 I sistemi di pagamento Una volta fare la spesa era semplicissimo: per comprare qualcosa bastava avere dei contanti in tasca. Oggi invece il numero di metodi di pagamento alternativi è vertiginoso: Bitcoins, ApplePay, carte di credito e debito, fino ai servizi di pagamento online. Nel rapporto del 2013 Digital Laundry: An analysis of online currencies, and their uses in cybercrime (Riciclaggio digitale: un'analisi delle valute online e del loro uso nel cybercrime), abbiamo trattato le principali valute elettroniche e virtuali di quel periodo. Secondo Wikipedia oggi esistono più di 740 criptovalute! Wikipedia inoltre conta oltre 60 servizi di pagamento online. Sulle transazioni eseguite con le carte di credito e di debito poniamo particolare attenzione, per quanto riguarda la sicurezza, perché la maggior parte delle transazioni digitali usa tali forme di pagamento. Tuttavia, con la crescita dei metodi di pagamento alternativi, il numero di superfici di attacco si è moltiplicato, offrendo ai ladri informatici molti più bersagli fra cui scegliere. Nei metodi di attacco associati alle carte di credito e di debito vediamo poca innovazione. La maggior parte dei furti delle carte avviene nello stesso modo da 10 anni, puntando ai meccanismi di pagamento o ai database contenenti i dati. Una volta ottenuti, i dati delle carte vengono rivenduti il più in fretta possibile per intascare il profitto. Ora però le regole del gioco stanno cambiando. Data la pletora dei metodi di pagamento, la maggior parte dei quali richiede nomi utente e password, le credenziali sono diventate molto preziose. Per sottrarle, i criminali informatici stanno puntando direttamente ai consumatori, che sono sia la fonte delle credenziali che l'anello debole della catena di pagamento. Per il 2016 prevediamo che, per i sistemi di pagamento, i criminali informatici si concentreranno sempre più sugli attacchi finalizzati al furto e alla vendita delle credenziali. Riteniamo che faranno uso di meccanismi tradizionali e collaudati, come gli attacchi di phishing e i keystroke logger (che registrano le battute sulla tastiera), ma emergeranno anche nuovi metodi. Prevediamo inoltre che il numero di furti dei sistemi di pagamento continuerà la sua crescita irresistibile. Raj Samani Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 27 McAfee Labs: le previsioni sulle minacce per il 2016 Gli attacchi tramite i sistemi dei dipendenti La frequenza degli attacchi di alto profilo continua ad aumentare. Quest'anno abbiamo visto gravi attacchi a grandi aziende, agenzie governative e persino a siti di incontri online (Ashley Madison). E non parliamo più di semplici home page sfigurate. Solo quest'anno sono stati rubati i dati personali di milioni di persone, comprendenti carte di credito, codici fiscali e indirizzi. Purtroppo, temiamo che questa tendenza continuerà. Le violazioni degli ultimi anni hanno reso la sicurezza un argomento comunemente discusso nelle riunioni dei consigli di amministrazione e di certo non è un tema che si possa accantonare facilmente. Ora vediamo un aumento della spesa in sicurezza. Purtroppo, anche se gran parte di questo denaro non viene forse speso nella maniera più efficiente, per la maggior parte delle aziende l'investimento complessivo in sicurezza crescerà. Le aziende più accorte punteranno non solo sulla tecnologia, ma anche su formazione, sensibilizzazione e sul personale. Cosa implica per gli autori degli attacchi? Se un'organizzazione ha adottato la tecnologia più recente, con persone intelligenti che creano policy efficaci e restano vigili, i malintenzionati hanno poche opzioni. Cionondimeno: ■■ ■■ ■■ Saranno più aggressivi. Nessuna protezione è sicura al 100%. Se degli intrusi vogliono davvero i tuoi dati, li otterranno. Occorrono solo tempo e impegno, che però aumentano quasi esponenzialmente quando persone intelligenti e buona tecnologia sono in essere. Perseguiteranno qualcun altro. Le organizzazioni che hanno speso i soldi in modo inefficiente (magari acquistando l'ultima tecnologia, ma senza contare il personale aggiuntivo necessario), continueranno a essere bersagli (relativamente) facili per i pirati informatici. Attaccheranno i dipendenti quando sono a casa o in viaggio. Se gli autori degli attacchi desiderano veramente i tuoi dati, ma si ritrovano bloccati a ogni tentativo sferrato contro il centro dati aziendale, il successivo bersaglio logico sono i sistemi domestici dei dipendenti. L'infiltrazione in un'azienda tramite i dipendenti che si trovano fuori della rete protetta non è una novità. Uno dei primi esempi molto visibili (Operazione Aurora) ebbe luogo nel 2009. Da allora si sono verificate molte altre violazioni delle reti aziendali, in seguito alla violazione di un portatile connesso da un bar o un albergo o di un sistema personale nell'abitazione di un dipendente. Le ricerche indicano che il numero di attacchi continua a crescere. Il prossimo anno dovremo aspettarci almeno uno, se non più, attacchi gravi che partono da un sistema di proprietà di un dipendente o da un sistema aziendale situato in un luogo non protetto, come un albergo o un bar. Dato che la recente vulnerabilità Stagefright ha messo in luce alcune aree di potenziale sfruttamento, dobbiamo aspettarci che anche i dispositivi Android fungeranno da gateway di accesso negli ambienti protetti per il malware o le minacce avanzate persistenti. Questa minaccia dovrebbe spingere le organizzazioni IT a riflettere attentamente su cosa significa essere protetti. Non basta preoccuparsi della sicurezza solo nella rete della propria azienda. Le organizzazioni accorte la espandono fino a includere le abitazioni dei propri dipendenti. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 28 McAfee Labs: le previsioni sulle minacce per il 2016 Attualmente la maggior parte delle aziende dota i dipendenti di un software VPN per farli collegare in modo sicuro alla rete. Questo è un ottimo modo per assicurare la sicurezza delle comunicazioni fra il sistema di lavoro del dipendente all'ufficio. Tuttavia, la maggior parte delle persone accede a Internet da svariati dispositivi. Anche se un portatile aziendale è sicuro, chi può sapere che tipo di protezione utilizza un dipendente nel proprio sistema domestico? Per proteggere le proprie infrastrutture la maggior parte delle organizzazioni impiega firewall, gateway web e di posta, IPS e altre tecnologie, tuttavia molti utenti domestici possiedono a malapena un antimalware, mentre generalmente non hanno né un firewall né un gateway. Queste omissioni nelle abitazioni dei dipendenti spalancano la porta agli attacchi diretti ai loro datori di lavoro. Nel prossimo anno o giù di lì, vedremo le organizzazioni fornire ai dipendenti tecnologie di sicurezza più avanzate, da installare nei sistemi personali. Ciò agevolerà la protezione contro le minacce che si infiltrano tramite le reti sociali e lo spear phishing. Bruce Snell I servizi nel cloud I servizi nel cloud per le aziende sono diventati ubiqui. Le imprese hanno abbracciato la collaborazione nel cloud per la comodità della teleconferenza, l'archiviazione dati dal costo conveniente e per la possibilità di connettersi con chiunque, in qualunque momento. L'adozione dei servizi e dell'archiviazione nel cloud è pervasiva, nel nostro sempre più connesso ambiente lavorativo globale. La quantità di dati aziendali riservati, condivisi su questi servizi e piattaforme è allarmante: strategie, portafogli prodotti, prossime innovazioni, dati finanziari, acquisizioni e dismissioni, dati dei dipendenti e molto altro. Dato che i servizi nel cloud come questi, contengono spesso dei segreti commerciali o vengono usati per comunicarli, attirano criminali informatici, concorrenti e Stati che desiderano sottrarre tali informazioni. I clienti di tali servizi sono nelle mani dei sistemi di controllo del provider, della cui condizione di sicurezza sanno ben poco. Di recente gli hacker sono penetrati nei sistemi informatici di un'importante agenzia di stampa, sottraendo informazioni riservate che hanno usato per scambiare azioni in modo illegale e guadagnare illecitamente milioni di dollari. Il furto e l'esposizione dei dati sensibili dei clienti del sito di incontri online Ashley Madison, caso trattato fra gli altri da Fortune e Krebs on Security, ha causato un notevole imbarazzo e preoccupazione a tutte le parti coinvolte. Questa violazione ha bypassato i punti deboli della protezione del sito. Nel corso dell'anno abbiamo visto numerosi esempi di violazioni dei dati, che hanno esposto i dati dei dipendenti, comprese email e salari, oltre a casi in cui dei contenuti inediti sono stati rubati e resi pubblici. Nessuno può considerarsi immune dagli attacchi, perfino il controverso Hacking Team ne è stato oggetto all'inizio dell'estate. McAfee Labs: le previsioni sulle minacce per il 2016 | 29 McAfee Labs: le previsioni sulle minacce per il 2016 Con o senza il consenso del reparto informatico, la maggior parte delle aziende si avvale di servizi di collaborazione nel cloud gratuiti o a basso costo. Tuttavia, dato che i dettagli della sicurezza spesso non vengono divulgati, il rischio di violazione ed esposizione dei dati è ignoto. Che utilizzino la videoconferenza o la casella vocale, piuttosto che gli strumenti di gestione progetti, i siti di archiviazione dati o le applicazioni nel cloud, i dipendenti possono mettere a rischio le aziende accedendo e memorizzando i dati aziendali su dei siti terzi che non offrono adeguate garanzie sulla gestione della sicurezza. Un attacco all'infrastruttura backend allo scopo di sottrarre informazioni o ascoltare conversazioni private, comprese le riunioni in teleconferenza, è un'opportunità che può essere colta. Un fornitore di servizi nel cloud deve vigilare costantemente sulle minacce emergenti e adattare i propri controlli di sicurezza alle tecniche in evoluzione degli hacker. La protezione dei servizi nel cloud richiede un approccio esaustivo ai controlli di sicurezza, per comprendere le potenziali opportunità di utilizzo dell'ingegneria sociale al fine di accedere ai dati. La protezione richiede inoltre l'implementazione di una robusta crittografia, in modo che solo gli utenti autorizzati accedano ai dati. Come mostrato da questi esempi, prevediamo che criminali informatici, concorrenti scorretti, "giustizieri" solitari e Stati nazionali attaccheranno sempre di più le piattaforme di servizi nel cloud per violare le aziende, sottrarne i preziosi dati riservati e usare quest'ultimi a scopo strategico, di vantaggio competitivo o di lucro. Jeannette Jarvis I dispositivi indossabili Negli ultimi due anni abbiamo osservato un'enorme crescita dell'Internet of Things (IoT). All'inizio di tale fenomeno, l'impegno consisteva soprattutto nel rendere "intelligenti" i dispositivi e prodotti esistenti, tramite l'integrazione di funzioni di elaborazione e di connettività wireless. Categorie quali le smart TV e la casa connessa sono da subito sembrate molto promettenti. Di recente abbiamo visto il rapido aumento del numero di dispositivi indossabili, come tracciatori di attività, smart watch e altri (mentre scrivo, indosso due di questi dispositivi). Anche se oggi molta attenzione è rivolta all'Apple Watch, gli indossabili continueranno a diffondersi, grazie alla robustezza del settore, guidato da nomi ben noti come Fitbit e Pebble. Sia tali aziende consolidate sia quelle emergenti contribuiranno ai 780 milioni di dispositivi indossabili stimati entro il 2019 da ABI Research, il che significa che verranno indossati da uno ogni 10 abitanti della Terra. Se consideriamo un minor numero nei Paesi in via di sviluppo, tale statistica è forse più vicina a una persona ogni quattro o cinque nei Paesi sviluppati. Dal punto di vista di un hacker, le aree densamente popolate saranno ambienti ricchi di bersagli da attaccare. La violazione di un dispositivo indossabile non comporta necessariamente un guadagno immediato per un hacker (anche se la raccolta di dati GPS potrebbe favorire lo spear phishing), ciononostante il vero valore è racchiuso nella connessione dell'indossabile a uno smartphone. Condividi questo report La maggior parte ddei dispositivi indossabili raccoglie una gran quantità di semplici dati, che invia a un'applicazione in uno smartphone o tablet per l'elaborazione. Molti di questi dispositivi usano la tecnologia Bluetooth LE (low energy, bassa energia), che è stata interessata da numerose e ben documentate falle nella sicurezza e che probabilmente ne produrrà di altre con ogni nuova versione (Mike Ryan ha svolto delle ottime ricerche in proposito). L'anello debole è il Bluetooth. McAfee Labs: le previsioni sulle minacce per il 2016 | 30 McAfee Labs: le previsioni sulle minacce per il 2016 Superfici di attacco "indossabili" ■ Kernel del sistema operativo ■ Software di rete/WiFi ■ Interfaccia utente ■ Memoria ■ File e sistema di storage locali ■ Software controllo accessi/sicurezza ■ Computer virtuale cloud e app di controllo ■ App web ■ Memoria ■ File e sistema di storage locali ■ Software controllo accessi/sicurezza Il codice scritto male apre una porta sul retro del tuo smartphone. Inizialmente, dubitiamo che uno smartphone venga completamente compromesso da un attacco compiuto tramite un dispositivo indossabile, ma entro 12-18 mesi ci aspettiamo che le app di controllo degli indossabili vengano compromesse in un modo tale da fornire dati preziosi per gli attacchi di spear phishing. Uno scenario potenziale è quello dei dati GPS raccolti da un'app per la corsa, collegata a un tracciatore dell'attività fisica. L'autore dello spear phishing potrebbe usare tali dati per fabbricare un'email tale da indurti ad aprirla. Se dopo la corsa ti fermi in un bar, grazie ai dati GPS un aggressore potrebbe inviarti un'email dicendo "Credo che stamattina sei passato al bar" e poi includere il collegamento a un file immagine infetto. Gli indossabili sono ottimi per motivare le persone a interagire di più con il mondo circostante, anziché guardare solo al telefono o al computer portatile, tuttavia più persone li usano e più aumenta il rischio per la sicurezza informatica posto dagli stessi dispositivi. Bruce Snell Le automobili Gli attacchi ai sistemi delle automobili aumenteranno velocemente nel 2016 a causa del rapido aumento dell'hardware connesso, che viene incorporato nelle auto senza i basilari principi di sicurezza. Ogni autovettura necessita di una difesa approfondita, con livelli di protezione che riducano il rischio e l'impatto di un attacco informatico. Le auto senza conducente e le autostrade intelligenti, se scarsamente protette, esporranno ulteriormente gli automobilisti e i loro passeggeri nel 2017 e oltre, con la possibile perdita di vite umane. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 31 McAfee Labs: le previsioni sulle minacce per il 2016 Secondo il "Rapporto sulle auto connesse" di Business Insider, entro il 2020 le strade saranno percorse da 220 milioni di auto connesse. Il portale di analisi Statista, citando un rapporto McKinsey, prevede che entro il 2016 sarà connesso a Internet il 12% delle auto. Inoltre i consumatori desiderano: poter navigare su Internet da un monitor nell'auto (57%), l'identificazione automatica di segnaletica, ingorghi e incidenti (52%), un sistema che permetta al passeggero di fermare l'auto (51%), allarmi anticollisione anteriori e posteriori (45%), la visione notturna (42%), un dispositivo di avviso anti-stanchezza (41%) e l'accesso ai media sociali dall'auto (40%). Tutte queste funzionalità richiedono che il software e l'hardware dell'automobile si connettano ai sistemi esterni in maniera sicura per evitare azioni indesiderate o non autorizzate che potrebbero mettere a rischio i passeggeri. Superfici di attacco di un'automobile Centralina di controllo airbag Smartphone App collegamento remoto OBD || USB Ricevitore DSRC -Based (V2X) Bluetooth Chiave remota Accesso passivo senza chiave Centralina Centralina di controllo Sistema di di controllo sistema sistema ADAS monitoraggio accesso della Centralina di al veicolo Centralina di pressione Centralina controllo motore controllo sistema degli di controllo e trasmissione illuminazione pneumatici sterzo (interno ed esterno) e freni Quindici delle superfici di attacco più esposte e più violabili, comprese svariate centraline elettroniche, in un'auto di nuova generazione. Secondo il report di Intel Security Automotive Security Best Practices (Le migliori pratiche di sicurezza nel settore automobilistico) l'unificazione e interconnessione dei sistemi veicolari richiede di progettare la sicurezza in modo che includa funzioni quali "avvio protetto, ambienti di esecuzione affidabili, protezione antimanomissione, isolamento dei sistemi critici per l'incolumità, autenticazione dei messaggi, crittografia della rete, privacy dei dati, monitoraggio comportamentale, rilevamento delle anomalie e informazioni condivise sulle minacce". Attualmente molte auto connesse mancano di alcune o della maggior parte di tali funzioni di sicurezza. Ad agosto alcuni ricercatori hanno dimostrato che è possibile infiltrarsi in diversi tipi di auto connesse, compresa una Jeep Cherokee, inviando dei comandi tramite il sistema di intrattenimento della Jeep alle funzioni del quadro di controllo, al volante, ai freni e alla trasmissione, il tutto usando un computer portatile remoto. Condividi questo report Anche nei sistemi progettati per essere sicuri, c'è sempre la possibilità che un bug o una vulnerabilità vengano scoperti, pertanto dev'esserci un modo per aggiornare il software facilmente e in remoto al fine di risolvere il problema. A quanto sembra gli aggiornamenti non sono possibili in determinati modelli di Cherokee, oltre che nelle vetture Dodge e Chrysler, dato che la casa madre ha emesso un richiamo di sicurezza per 1,4 milioni di veicoli negli Stati Uniti, dopo la divulgazione pubblica di una ricerca. L'unica casa automobilistica capace di aggiornare il software in remoto è Tesla, che ha inviato una patch dopo la divulgazione di una vulnerabilità al Def Con 23. McAfee Labs: le previsioni sulle minacce per il 2016 | 32 McAfee Labs: le previsioni sulle minacce per il 2016 Finora, le vulnerabilità correnti sono state responsabilmente comunicate ai costruttori. Prevediamo che nel 2016 i ricercatori della sicurezza scopriranno altre vulnerabilità dei sistemi automobilistici. È inoltre abbastanza possibile che verranno scoperte vulnerabilità del giorno zero, sfruttate da criminali informatici in circolazione che potrebbero minacciare la vita della gente, compromettere la sicurezza stradale e bloccare i trasporti. Alcune minacce potrebbero già essersi annidate nelle automobili. Si tratta di minacce non legate all'incolumità, ma che invadono la privacy del proprietario del veicolo monitorandone la posizione o ascoltando le sue conversazioni tramite il microfono in auto o addirittura riprendendolo con le videocamere interne. Riteniamo che il 2016 vedrà l'inizio di campagne di attacco che potrebbero venir scoperte solo qualche mese dopo l'infezione originaria. Carlos Castillo, Cedric Cochin e Alex Hinchliffe I magazzini dei dati rubati Dato che i componenti della sicurezza come firewall, gateway e prodotti per gli endpoint funzionano bene contro i comuni attacchi negli ambienti aziendali, gli avversari stanno cercando nuovi modi per bypassare queste tecnologie. Un modo è tramite l'acquisizione e l'utilizzo di credenziali valide. I criminali informatici possono ottenerle tramite le vulnerabilità oppure acquistarle sul mercato nero. Usando credenziali valide, gli avversari si muovono al di fuori del radar della sicurezza perché appaiono come utenti legittimi. Spesso l'unico indizio è il loro comportamento. È il normale comportamento dell'utente o si tratta di una qualche deviazione? Mentre l'industria della sicurezza lavora duramente per sviluppare capacità di rilevamento comportamentale usando i big data uniti alle avanzate tecnologie analitiche, gli avversari stanno abusando dell'attuale assenza del rilevamento, adattando le proprie metodologie di attacco per restare occulti. Tale comportamento degli avversari continuerà per tutto il 2016 e oltre, finché non sarà disponibile una tecnologia di rilevamento comportamentale che rilevi le attività anomale. Nel 2015 ad aziende e governi è stata rubata un'enorme quantità di dati. Alcuni dei dati sottratti sono di valore limitato, ma altri sono probabilmente tenuti in luoghi segreti, in attesa di essere usati in futuri attacchi. Inoltre, associando fra loro vari insiemi di dati rubati, questi possono diventare ancora più preziosi per i pirati informatici. Cosa succederebbe se i dati di un operatore sanitario, dei donatori di sangue, di Madison Ashley e dell'Ufficio Statunitense di Gestione del Personale venissero combinati e memorizzati in un archivio dati nel cloud? Tali informazioni potrebbero condurre a ricatti, alla generazione di nuove credenziali o al furto di identità. Questo accumulo di dati rubati è andato avanti per qualche anno. Pensiamo che nel 2016 si svilupperà un florido mercato nero di credenziali e informazioni rubate che consentono l'identificazione personale. Emergeranno degli archivi clandestini specializzati nell'offerta di dati personali rubati, credenziali compromesse e dettagli di infrastrutture di svariate origini. I criminali informatici che sono clienti fidati della rete illecita saranno in grado di selezionare insiemi specifici di dati da acquistare per l'uso in successivi attacchi. Christiaan Beek Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 33 McAfee Labs: le previsioni sulle minacce per il 2016 L'integrità Una costante della sicurezza informatica è il cambiamento. Il settore si evolve in continuazione, seguendo le mutazioni della tecnologia, le capacità degli aggressori, il valore dei potenziali bersagli e la rilevanza degli impatti risultanti. Nel 2016 vedremo un'ulteriore espansione delle tattiche. Uno dei più significativi e nuovi vettori di attacco saranno le violazioni dell'integrità di sistemi e dati. Gli attacchi alla riservatezza e alla disponibilità sono clamorosi, brutali e ovvi. Violano i dispositivi, ne espongono i dati e causano imbarazzo, inconvenienti e alcune perdite. Gli attacchi all'integrità sono furtivi, selettivi e potenzialmente molto più devastanti. Anziché causare danni o scappare con vaste quantità di dati sensibili, si concentrano invece sull'attenta modifica di particolari elementi di transazioni, comunicazioni o dati, per trarne un significativo vantaggio. In passato abbiamo osservato ciò con alcuni attacchi di elite, sponsorizzati dagli Stati. Stuxnet e i malware di supporto Duqu, Flame e Gauss sono stati sviluppati per colpire furtivamente specifici dispositivi e apportare piccole modifiche alle configurazioni che comportavano un notevole impatto in un programma nucleare nazionale. Il loro intento non era né di distruggere un computer né di raccogliere dati in massa, ma piuttosto quello di modificare selettivamente i sistemi di lavoro per raggiungere gli obiettivi dell'aggressore. All'inizio del 2015 abbiamo osservato dei criminali informatici usare queste tattiche per attaccare le banche. Carbanak era notevolmente diverso dai precedenti malware per il banking, che si concentravano sulla sottrazione di dati dei conti e di accesso. Carbanak ha compromesso in silenzio circa 100 banche, consentendo agli autori dell'attacco di capire come erano gestite le operazioni interne. Il malware eseguiva una ricognizione per gli aggressori, che a loro volta iniziavano a modificare le transazioni selezionate. Alla fine dell'attacco solo un piccolo numero di conti era stato colpito, ma con il furto di una cifra compresa fra i 300 milioni e il miliardo di dollari. Vediamo che la ricerca negli attacchi all'integrità sta guadagnando terreno e le recenti violazioni di veicoli ne sono un ottimo esempio. I ricercatori non cercano solo di spegnere la vettura o raccoglierne i dati, ma si concentrano sulla modifica selettiva di comunicazioni e comandi, in modo che possano prendere il controllo o comunque influire su ciò che fa il veicolo. Ciò ha delle conseguenze potenzialmente impressionanti. Nel 2016 assisteremo a un attacco all'integrità nel settore finanziario, durante il quale verranno sottratti milioni di dollari da parte di ladri informatici che modificheranno certi dati nel flusso di transazioni, con il risultato di un significativo reindirizzamento dei pagamenti verso conti coperti dall'anonimato. Il rilevamento di questi e altri casi simili sarà molto difficile. Gli attacchi all'integrità possono apparire come problemi operativi, errori di contabilità, verifiche non riuscite, atti di un dipendente rancoroso o semplicemente errori di distrazione. A complicare il quadro, gli strumenti, i meccanismi e i processi attualmente disponibili e in uso sono prevalentemente ciechi a questo tipo di attacchi, per cui l'attribuzione sarà difficile. Verranno inoltre colpiti: fatturazioni e vendite degli esercizi commerciali; dati anagrafici pubblici come nascite e morti; codici fiscali; conti correnti e transazioni dei Bancomat. Altri settori seguiranno, fra i quali: cartelle cliniche, fatturazioni, gestione delle prescrizioni, controllo dei trasporti e gestione di automobili, treni e aeroplani. McAfee Labs: le previsioni sulle minacce per il 2016 | 34 McAfee Labs: le previsioni sulle minacce per il 2016 Forse uno dei vettori prevalenti per gli attacchi all'integrità è l'ascesa del ransomware, che modifica solo pochi file. Il ransomware, una forma permanente di attacco denial-of-service, lascia il sistema in funzione con tutti i dati presenti, eccetto alcuni file che non sono più utilizzabili a causa dell'integrità compromessa. Gli autori dell'attacco chiedono poi un riscatto per ripristinare l'integrità originale. Anche questo vettore di attacco crescerà in modo significativo nel 2016. Matthew Rosenquist Lo spionaggio informatico L'anno scorso McAfee Labs previde che nel 2015 gli attacchi di spionaggio informatico sarebbero diventati più frequenti e più occulti. Mentre scriviamo, non sappiamo ancora si supereranno i 548 casi segnalati nel 2014 dal Report investigativo Verizon sulla violazione di dati. Sappiamo però che gli attacchi di spionaggio sono diventati più furtivi e che hanno un impatto maggiore rispetto alle violazioni precedenti. In un esempio significativo, descritto nel post Stealthy Cyberespionage Campaign Attacks With Social Engineering (Gli attacchi di spionaggio informatico occulto con il social engineering) del nostro blog, l'attore della minaccia ha usato una sofisticata campagna di spear phishing per violare alcuni obiettivi dei settori difesa, aerospaziale e legale, minimizzando la sua presenza grazie alla sola esecuzione di JavaScript. Poi ha creato dei profili dei sistemi violati e li ha trasferiti ai server di controllo. In un altro esempio, uno Stato è riuscito a penetrare i sistemi del settore energetico di un altro Paese, inserendovi (fra le altre cose) dei cancellatori del record di avvio per disattivare o distruggere i sistemi e le reti dell'avversario. Anche in questo caso il vettore iniziale dell'attacco sembra essere stato lo spear phishing. E, ovviamente, la violazione e il furto di circa 20 milioni di accertamenti sui precedenti penali, subito dall'Ufficio Statunitense di Gestione del Personale, è un'illustrazione molto chiara del sempre maggiore impatto delle attività di spionaggio informatico. Nel 2016 assisteremo ad altri casi simili. Gli attori delle minacce useranno alcune delle seguenti specifiche tecniche: ■■ ■■ ■■ Condividi questo report Nelle prossime campagne di spionaggio informatico, certi servizi legittimi come l'hosting di file nel cloud (Dropbox, Box e Stream Nation), verranno usati come server di controllo. Gli attori delle minacce si avvarranno di servizi leciti per passare inosservati e vanificare gli sforzi dei ricercatori per dirottarne le risorse. Questi servizi di archiviazione nel cloud consentiranno al malware di inviare e ricevere comandi senza destare sospetti, oltre che di eludere le difese del gateway per il fatto di sembrare associati al traffico valido, allungando così la durata della campagna. Nelle campagne di spionaggio informatico avrà ancora maggior peso l'utilizzo della rete Tor per rendere anonime le connessioni ai server di controllo. Quest'ultimi verranno ospitati nella rete Tor, permettendo al malware di connettersi senza neanche la necessità di un browser Tor installato nel computer della vittima. In passato gli attori delle minacce hanno sfruttato varie vulnerabilità nei documenti Microsoft. Nel 2016, oltre ai .ppt, .doc e .xls cominceremo a vedere l'uso di altri formati. Ryan Sherstobitoff McAfee Labs: le previsioni sulle minacce per il 2016 | 35 McAfee Labs: le previsioni sulle minacce per il 2016 L'attivismo informatico Il concetto di attivismo informatico non è nuovo. Sulla spinta di una ben definita motivazione politica o sociale, un gruppo di attivisti molto preparati attacca un'entità nota e ne usa la piattaforma per farsi sentire. Da oltre 20 anni gli attivisti informatici riescono a fare notizia, costruendo un vero e proprio "brand". Anonymous è forse il gruppo più noto, ma ce ne sono molti altri. Fonte: "Anonymous at Scientology in Los Angeles" (Anonymous da Scientology a Los Angeles) di Vincent Diamante. Pubblicato inizialmente su Flickr come Anonymous at Scientology in Los Angeles. Concesso in licenza secondo CC BY-SA 2.0 via Commons—https://commons.wikimedia.org/wiki/File:Anonymous_at_ Scientology_in_Los_Angeles.jpg#/media/File:Anonymous_at_Scientology_in_Los_Angeles.jpg Ciò che è lentamente cambiato negli ultimi anni è la facilità con la quale degli attori non attivisti possono associare le proprie azioni a quelle dei gruppi noti, tramite delle operazioni copia. Questa tendenza sembra offuscare l'ideologia alla base delle vere operazioni di attivismo. La violazione di Ashley Madison, durante la quale un gruppo sconosciuto ha divulgato i dati degli utenti con la motivazione che i dettagli degli acquisti non erano stati rimossi come promesso, non sembra un'azione così nobile, con un obiettivo socio-politico ben definito che è la base di un vero attacco attivista. In un altro caso, un gruppo auto-dichiaratosi come Anonymous, ha sferrato l'anno scorso una serie di attacchi informatici alla polizia, ai tribunali e ad altre istituzioni canadesi. Anonymous ha negato ogni coinvolgimento, affermando di non approvare certe azioni compiute dagli aggressori. Per quegli attacchi non è mai stata fornita alcuna spiegazione credibile. È possibile che quella e altre azioni siano l'opera di attori caotici, che desiderano semplicemente portare distruzione. Se fosse vero, staremmo entrando in un mondo di vandalismo su scala industriale. È anche possibile però che la vera motivazione sia il classico crimine informatico aziendale, che semplicemente usa l'attivismo informatico come maschera. Oppure potrebbe trattarsi di operazioni "sotto falsa bandiera", come dichiarato da Anonymous nel caso dell'attacco in Canada. Quali che siano le motivazioni di questi attacchi, la realtà è che le organizzazioni vittima subiranno perdite finanziarie importanti. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 36 McAfee Labs: le previsioni sulle minacce per il 2016 Nel 2016 prevediamo che l'attivismo informatico vero e proprio continuerà, ma che forse sarà di portata più limitata rispetto al passato. Molti attivisti impegnati nel promuovere delle cause sono stati arrestati, processati e incarcerati. Ciò che probabilmente aumenterà, comunque, sono gli attacchi apparentemente ispirati dall'attivismo informatico ma in realtà con motivazioni molto diverse e difficili da scoprire. La realtà è che il moderno attivismo informatico non è altro che un copia e incolla e, come abbiamo visto, i nostri tentativi di dissipare la nebbia che lo avvolge saranno difficili come mai prima d'ora. Raj Samani Le infrastrutture critiche Se dobbiamo credere ai comunicati stampa di certi produttori di soluzioni di sicurezza, il futuro è diventato notevolmente più incerto, a causa degli attacchi mirati alle nostre infrastrutture critiche. Molti di questi clamorosi rapporti sono usciti dopo l'attacco del 2010 compiuto da Stuxnet, che ha provocato dei significativi danni fisici. Sono però passati alcuni anni prima che il successo di un secondo attacco a un'infrastruttura essenziale facesse di nuovo notizia. Con solo due casi riconosciuti pubblicamente dal 2009 in qua, la nostra previsione 2016 per gli attacchi alle infrastrutture critiche è che saranno pochi eventi ma di grande impatto. Ciò detto, stiamo assistendo alla sempre maggiore connessione del mondo, dai giacimenti petroliferi digitali agli impianti di trattamento delle acque, con le relative attività che vengono ospitate nel cloud pubblico. La natura "isolata" di tali tecnologie operative semplicemente non esiste più, come spiegato da una ricerca che ha gettato luce sui dispositivi connessi a Internet delle infrastrutture critiche. Il fatto che alcuni di essi usino, per la protezione, delle semplici credenziali di accesso predefinite, dovrebbe farci preoccupare. Sena contare poi la tendenza emergente dei criminali che rivendono l'accesso diretto ai sistemi delle infrastrutture. La dura realtà è che il numero di vulnerabilità nelle infrastrutture critiche sta aumentando. È forse questa escalation delle vulnerabilità che ha indotto il 48% degli intervistati, esponenti delle organizzazioni che gestiscono le infrastrutture, a ritenere probabile o estremamente probabile che nei prossimi tre anni un attacco informatico possa disattivare un'infrastruttura essenziale e causare la perdita di vite umane. Tale cupa previsione è preoccupante e, anche senza sopravvalutare la minaccia, dobbiamo riconoscere che l'ampliamento della superficie di attacco comporta una maggiore esposizione a tali attacchi. L'interruzione di un servizio essenziale può anche non essere l'unico obiettivo. L'attacco Dragonfly del 2014 alle compagnie energetiche mostra che l'interruzione della disponibilità non era l'intento a breve termine dei criminali. In quel caso, il loro obiettivo è sembrato essere lo spionaggio e la persistenza dell'accesso. Gli attacchi alle infrastrutture critiche sono meno attraenti per i ladri informatici, ma attirano di più gli Stati. Il panorama dei criminali informatici è interamente concentrato sul fare soldi. A parte gli esempi di ricatto degli operatori o la vendita delle credenziali di accesso per le infrastrutture critiche, l'investimento compiuto dai criminali frutta di più quando prendono di mira altri settori. Il risultato è che il volume di attacchi alle infrastrutture critiche è e resterà molto minore di quello verso altri obiettivi. Fra gli aggressori esistono molti più ladri informatici che Stati nazionali. McAfee Labs: le previsioni sulle minacce per il 2016 | 37 McAfee Labs: le previsioni sulle minacce per il 2016 Nel 2016 e oltre, il crescente numero di vulnerabilità nelle infrastrutture critiche sarà una questione preoccupante. Gli attacchi a questi bersagli, quando riescono, hanno un enorme impatto negativo sulla società. Tuttavia molti malintenzionati fanno così tanti soldi altrove, che tali attacchi proverranno più probabilmente dagli Stati nazionali, molto selettivi e strategici nelle loro azioni. Raj Samani La condivisione delle informazioni sulle minacce Durante il Vertice della Casa Bianca su Sicurezza Informatica e Protezione del Consumatore, svoltosi a febbraio presso l'Università di Stanford, il presidente Obama ha annunciato un nuovo impegno del Governo per la condivisione delle informazioni sulle minacce fra le agenzie governative, in modo che possano rilevare e agire più rapidamente contro di esse. Obama ha firmato un decreto per promuovere ancora di più la condivisione delle informazioni sulle minacce informatiche fra il settore pubblico e quello privato. La sua iniziativa ha costituito un indicatore precoce del fatto che la condivisione delle informazioni è fondamentale per la sicurezza nazionale. Anche se si tratta di un passo nella giusta direzione, serve molto di più se si vuole proteggere la sicurezza nazionale e la proprietà intellettuale delle imprese, tutelando contemporaneamente la privacy dei cittadini. Le informazioni sulle minacce informatiche sono costituite da informazioni selezionate, riguardanti un attacco o un avversario, che possono essere distribuite allo scopo di potenziare le difese. Comprendono tipicamente il contesto, gli indicatori di compromissione (IoC) e le iniziative da prendere. L'intelligence condivisa sulle minacce consente ad aziende e governi di combinare le prove interne con le informazioni esterne per individuare meglio gli attacchi e reagire di conseguenza. Intel Security è uno dei quattro membri fondatori della Cyber Threat Alliance, nata con lo scopo di automatizzare e rendere efficiente questa condivisione nell'ambito di una comunità fidata di attori del settore. I membri della Cyber Threat Alliance condividono gli IoC e altre informazioni che si concentrano sugli aspetti complessi e sottili degli attacchi informatici attivi, fornendo una visibilità tempestiva sull'attività e le tecniche utilizzate. La condivisione dell'intelligence e la collaborazione sono fondamentali per combattere rapidamente gli atteggiamenti aggressivi degli avversari, sia che prendano di mira un'infrastruttura essenziale, la proprietà intellettuale di un'azienda oppure i dati personali di un individuo. Sfruttando l'esperienza dei suoi membri, la Cyber Threat Alliance ci aiuterà a rispondere in modo più intelligente ai complessi attacchi multidimensionali. Nel 2016 la Cyber Threat Alliance adotterà lo standard STIX/TAXII per la condivisione delle informazioni sulle minacce, il che accorcerà i tempi di risposta e correzione di tutti i membri dell'alleanza. La Cyber Threat Alliance è una di molte cooperazioni analoghe nel settore, che si trovano in varie fasi di maturità ma che perseguono gli stessi obiettivi. Nel 2016 si cominceranno ad avere i primi risultati, così clienti e governi potranno capire meglio se queste collaborazioni possono migliorare la protezione. Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 38 McAfee Labs: le previsioni sulle minacce per il 2016 Non è altrettanto chiaro se nel 2016 prenderà il via la condivisione sistematica delle informazioni sulle minacce fra industria e governo. Forse vedremo delle iniziative legislative per ridurre le potenziali responsabilità legali delle imprese e quindi abilitarle maggiormente alla condivisione. Ma se tali leggi verranno applicate, vedremo indubbiamente dei ricorsi in merito. Il Dipartimento per la Sicurezza Interna ha di recente concesso un incentivo all'Università del Texas di San Antonio per lavorare con le organizzazioni di condivisione delle informazioni sulle minacce e con gli operatori delle infrastrutture critiche, le agenzie federali e i settori pubblico e privato, per sviluppare delle indicazioni finalizzate alla rapidità della condivisione. Di conseguenza, nel 2016 assisteremo a un'accelerazione nello sviluppo delle pratiche migliori e più adatte alle esigenze dell'industria, per condividere le informazioni sulle minacce emergenti. Jeannette Jarvis Condividi questo report McAfee Labs: le previsioni sulle minacce per il 2016 | 39 Informazioni su McAfee Labs Segui McAfee Labs McAfee Labs è una delle principali fonti mondiali per la ricerca sulle minacce, informazioni sulle minacce e leadership strategica sulla sicurezza informatica. Grazie ai dati raccolti da milioni di sensori su tutti i principali vettori di minacce – file, web, messaggi e rete – McAfee Labs offre informazioni sulle minacce in tempo reale, analisi critica e valutazioni di esperti per migliorare la protezione e ridurre i rischi. www.mcafee.com/it/mcafee-labs.aspx A proposito di Intel Security McAfee è ora parte di Intel Security. Con la propria strategia Security Connected, l’approccio innovativo alla sicurezza potenziata dall’hardware e l’ineguagliato servizio Global Threat Intelligence, Intel Security è impegnata senza sosta nello sviluppo di soluzioni e servizi di sicurezza proattiva comprovati che proteggono sistemi, reti e dispositivi portatili per l’utilizzo aziendale e personale a livello mondiale. Intel Security combina l’esperienza e la competenza di McAfee con l’innovazione e le prestazioni comprovate di Intel per rendere la sicurezza un ingrediente essenziale di ogni architettura e di ogni piattaforma di elaborazione. La missione di Intel Security è di assicurare a chiunque la tranquillità di vivere e lavorare in modo sicuro e protetto nel mondo digitale. www.intelsecurity.com McAfee. Part of Intel Security. Via Fantoli, 7 20138 Milano Italia (+39) 02 554171 www.intelsecurity.com Le informazioni contenute nel presente documento sono fornite solo a scopo didattico e destinate ai clienti McAfee. Le informazioni qui contenute sono soggette a modifica senza preavviso e vengono fornite "come sono" senza garanzia o assicurazione relativamente all'accuratezza o all'applicabilità delle informazioni a situazioni o a circostanze specifiche. Intel e i loghi Intel e McAfee sono marchi registrati di Intel Corporation o McAfee, Inc. negli Stati Uniti e/o in altri Paesi. Altri marchi e denominazioni potrebbero essere rivendicati come proprietà di terzi. Copyright © 2015 McAfee, Inc. 62156rpt_threats-predictions_1015