il panorama delle minacce

IL PANORAMA DELLE MINACCE
Una guida pratica dagli esperti di Kaspersky IL
A cura di David Emm
Senior Regional Researcher, Team Ricerca Globale e Analisi
Con Kaspersky, adesso è possibile.
www.kaspersky.it/business
Be Ready for What's Next
INFORMAZIONI SULL'AUTORE
David Emm
Senior Regional Researcher
Team Ricerca Globale e Analisi (GReAT), noto anche come team GReAT
David è in Kaspersky Lab dal 2004. Nel suo ruolo di Senior Technology Consultant, David
presentava informazioni su malware e altre minacce IT a fiere ed eventi e forniva
commenti ai media televisivi e di stampa. Forniva inoltre informazioni sui prodotti e sulle
tecnologie Kaspersky Lab. È stato promosso alla sua attuale posizione nel 2008. David
ha un particolare interesse per gli ecosistemi malware, i furti di identità e le tecnologie
Kaspersky Lab e ha ideato e sviluppato il nostro Malware Defence Workshop aziendale.
David ha lavorato nel settore del software antivirus dal 1990 ricoprendo svariati ruoli.
Prima di entrare in Kaspersky Lab, David ha rivestito le cariche di tecnico di sistemi,
responsabile di prodotto e responsabile del marketing di prodotto in McAfee e,
precedentemente, ha ricoperto i ruoli di responsabile dell'assistenza tecnica e
consulente di tecnologie senior in Dr Solomon’s Software.
SOMMARIO
1. L'evoluzione del malware
2. Siete a rischio?
Una nuova epoca di attacchi mirati
3. Malware: adesso è diventato una
minaccia anche per gli utenti mobili
4. Modalità di diffusione del malware
5. Il fattore umano nella sicurezza
6. Tecnologie anti-malware
7. I suggerimenti più interessanti per
creare una consapevolezza della
sicurezza nella vostra azienda
CAPITOLO 1
L'EVOLUZIONE DEL MALWARE
CONTESTO
UNA PORTATA E UNA GRAVITÀ SEMPRE MAGGIORI
Sono passati più di 25 anni dalla comparsa dei primi virus informatici. Nel tempo, la
natura della minaccia è cambiata significativamente. Oggi, le minacce che si trovano ad
affrontare le aziende sono più complesse che mai.
La connettività fornita da Internet consente di lanciare attacchi sui computer delle
vittime in modo molto rapido, sia diffusi che selettivi, in base alle esigenze degli autori
dei malware e del substrato criminale che li sponsorizza.
Il sondaggio sui rischi globali IT di Kaspersky del 2013 ha rivelato che la maggiore
preoccupazione per i responsabili IT è rappresentata dalle nuove tecnologie, che
portano a nuovi metodi di lavoro. La mobilità, l'utilizzo di dispositivi personali (BYOD) e di
social network nell'ambiente di lavoro rappresentano le tre problematiche principali.
I codici nocivi possono venire integrati nelle e-mail, inseriti in falsi pacchetti software
oppure collocati nelle pagine Web della "zona grigia" per il download da un Trojan
installato su un computer infettato.
Anche la portata del problema, solo in termini di cifre, ha continuato ad aumentare.
Oggi, il numero di campioni specifici di malware analizzati quotidianamente ammonta a
centinaia di migliaia.
Quali sono le problematiche che maggiormente preoccupano gli esperti nel campo
della sicurezza della tua organizzazione?
Affermazione di una forza lavoro sempre più mobile
Persone che usano dispositivi privati per
accedere ai dati aziendali
Accesso ai siti di social network sul lavoro
Conformità
Crescita e/o diversificazione dell'attività
Tagli sul personale IT
Cloud computing
Virtualizzazione
Tagli generali
Fusioni e acquisizioni
Altro
Il 19% degli utenti ha indicato le cyberminacce come
il principale rischio aziendale attuale
0%
10%
20%
30%
40%
Da ciò emerge un quadro di un ambiente tecnologico in notevole cambiamento. Le tre
tendenze che abbiamo riscontrato avere un impatto dal punto di vista della sicurezza
aziendale sono:
Ȋ La mobilità/BYOD: l'ubiquità della mobilità e la crescente consumerizzazione
nell'ambiente aziendale indicano che la comunità di utenti finali tipica adesso, è mobile.
Ȋ Il cloud: l'accesso ai dati aziendali tramite il cloud da una crescente varietà di
dispositivi mette sotto pressione la sicurezza IT.
Ȋ La virtualizzazione: il crescente uso di ambienti virtualizzati per ridurre i costi e
aumentare la flessibilità crea aree specifiche di complessità della sicurezza IT.
Ȋ I social network: l'utilizzo dei social media da parte dei dipendenti raramente
rappresenta di per sé un problema, ma i cybercriminali sfruttano sempre più il
comportamento "aperto" degli utenti su tali siti per accedere a dati preziosi.
50%
DAL CYBERVANDALISMO AL CYBERCRIMINE
NUOVE MOTIVAZIONI, NUOVE TATTICHE
Fino al 2003, i virus e altri tipi di malware rappresentavano atti ampiamente isolati di
vandalismo informatico: un'autoespressione antisociale tramite strumenti di alta
tecnologia. La maggior parte dei virus si limitavano a infettare altri dischi o programmi.
Il cambio di motivazioni ha portato anche a un cambio di tattiche. Il numero di epidemie
globali, progettate per diffondere malware il più ampiamente e rapidamente possibile,
ha subito un calo. Gli attacchi sono diventati più mirati.
Dopo il 2003, il panorama delle minacce è cambiato. La maggior parte dei malware attuali
vengono creati allo scopo di assumere il controllo sui computer e ricavare profitti illegalmente.
La principale ragione di questo cambiamento è che, oggi, gli attacchi hanno intenti
criminali e mirano a rubare dati riservati, che poi verranno elaborati e utilizzati.
Coinvolgendo milioni di computer vittima, aumentano le probabilità di essere scoperti e
si crea un'enorme operazione logistica. Pertanto, gli autori di codici nocivi, attualmente,
preferiscono concentrare i propri attacchi.
Di conseguenza, le minacce che devono affrontare oggi le aziende sono diventate molte
più complesse. Gli amministratori IT hanno molto di più contro cui combattere: ci sono
molti più tipi di minacce il cui danno non si limita all'inattività IT, ma è in gran parte
finanziario.
Ciò spiega perché nel nostro sondaggio sui rischi globali IT del 2013 la portata e la
complessità delle preoccupazioni sulla sicurezza IT siano significative e gli
amministratori IT siano soprattutto preoccupati di una serie di problematiche, anziché di
un unico grande problema.
Quanto siete preoccupati riguardo alle seguenti sfide quotidiane della sicurezza IT
all'interno della vostra organizzazione?
Aggiornamento costante delle definizioni dei virus e
dei software antivirus
Protezione dell'accesso remoto
Monitoraggio delle intrusioni
Gestione dell'accesso e della sicurezza dei
dispositivi mobili
Gestione delle password e accesso amministrativo
Molto preoccupato
Abbastanza preoccupato
Neutrale
Poco preoccupato
Per niente preoccupato
Protezione dei trasferimenti di file
Monitoraggio dell'utilizzo della rete
Sistemi di applicazione delle patch
Monitoraggio/Controllo dell'utilizzo del sistema
Controllo delle applicazioni
Consapevolezza dei criteri e formazione per gli utenti
0%
20%
40%
60%
80%
100%
GLI AUTORI DI CODICI
DANNOSI OGGI
PREFERISCONO
CONCENTRARE
I PROPRI ATTACCHI
LA CRESCENTE DIFFUSIONE DEL TROJAN
PHISHING: IL FURTO DI IDENTITÀ ALTRUI
I Trojan vengono utilizzati per raccogliere informazioni riservate (nome utente, password,
PIN, ecc.) a scopo di frodi informatiche. Possono essere utilizzati negli attacchi DDoS
(Distributed Denial of Service) alle organizzazioni. Tali attacchi possono essere usati per
estorcere denaro alle organizzazioni: un attacco DDoS "dimostrativo" offre alla vittima
un'anteprima di ciò che succederà se non paga.
L'uso di codici dannosi non è l'unico metodo utilizzato dai cybercriminali per raccogliere
dati personali utilizzabili per guadagnare illegalmente. Il phishing spinge gli utenti a
rivelare i propri dati personali (nome utente, password, numero PIN o qualsiasi altra
informazione di accesso) che vengono successivamente utilizzati per ottenere denaro
sotto false identità.
Si è verificata anche una crescita costante nel numero di Trojan "ransomware", utilizzati
per estorcere denaro ai singoli utenti. Questi programmi crittografano i dati della vittima
e visualizzano un messaggio (sotto forma di file "leggimi" o popup) che richiede alla
vittima di trasferire denaro all'autore del programma tramite uno dei tanti servizi di
pagamento elettronico.
Ad esempio, i phisher creano un duplicato identico quasi al 100% del sito Web
dell'istituto finanziario scelto. Possono inviare un'e-mail di spam che imita alla
perfezione la corrispondenza del vero istituto finanziario.
In genere, i computer compromessi vengono combinati nelle reti. Le attività di queste
reti "bot" o "botnet" vengono controllate mediante siti Web o account Twitter. Se la
botnet dispone di un unico server di comando e controllo (C2), è possibile eliminarla
una volta identificata la sua posizione. Negli ultimi anni, tuttavia, i cybercriminali hanno
sviluppato botnet più complesse che utilizzano un modello "peer-to-peer" per evitare un
punto di errore singolo. Il cosiddetto "Storm Worm", all'inizio del 2007, è stato il pioniere
di questo metodo ed è stato implementato in molte botnet da allora (incluse Conficker,
Kelihos e Red October).
Fino a qualche anno fa, la maggior parte delle epidemie riguardavano worm che
penetravano nel sistema di posta elettronica per distribuirsi proattivamente,
raccogliendo ulteriori contatti dai computer infettati man mano che si diffondevano.
Oggi, un numero crescente di programmi nocivi viene deliberatamente inviato come
spam ai computer vittima. Ciò consente agli autori di controllare la distribuzione del
proprio codice a una popolazione mirata di PC, anziché consentirne la diffusione
casuale.
In genere, i phisher utilizzano loghi legittimi, un buon stile aziendale e fanno perfino
riferimento a nominativi reali del senior management dell'istituto finanziario. Inoltre,
falsificano l'intestazione dell'e-mail per far sembrare che sia stata inviata dalla banca
legittima.
Le e-mail fittizie distribuite dai phisher hanno una cosa in comune: sono l'esca utilizzata
per tentare di spingere l'utente a fare clic su un collegamento contenuto nel messaggio.
Se si abbocca all'esca, il collegamento indirizza direttamente l'utente a un sito
contraffatto che contiene un modulo da compilare. Qui egli fornirà involontariamente
tutte le informazioni che servono al cybercriminale per accedere ai suoi account e rubare
il suo denaro.
ROOTKIT E OFFUSCAMENTO DEL CODICE
I rootkit vengono utilizzati per mascherare la presenza di codici dannosi. Il termine
rootkit deriva dall'ambiente Unix, dove veniva utilizzato per descrivere strumenti usati
per mantenere l'accesso "root", restando invisibili all'amministratore di sistema. Nel
contesto dei malware Windows, si tratta di una tecnica di mascheramento utilizzata
dagli autori di malware per nascondere le modifiche effettuate sul computer della
vittima.
In genere, lo sviluppatore di malware riesce ad accedere a un sistema forzando la
password o sfruttando la vulnerabilità di un'applicazione e quindi utilizzandola per
ottenere altre informazioni di sistema, finché non riesce ad accedere al computer come
amministratore. I rootkit vengono spesso utilizzati per nascondere la presenza di un
Trojan, celando le modifiche del registro, i processi del Trojan e altre attività del sistema.
Il rootkit è stato ulteriormente sviluppato, creando il cosiddetto "bootkit". Il primo rilevato
sul campo nel 2008 è stato Sinowal (noto anche come Mebroot). Il suo scopo è uguale a
tutti i rootkit: mascherare la presenza del malware nel sistema. Tuttavia, il bootkit si
autoinstalla sul Master Boot Record (MBR) per caricarsi prima (l'MBR è il primo settore
fisico sul disco rigido e il codice scritto su tale settore viene caricato immediatamente
dopo le istruzioni nel BIOS). Da allora, il flusso di bootkit è stato costante, incluse le
versioni a 64 bit.
IL TERMINE "ROOTKIT" PROVIENE
DALL'AMBIENTE UNIX, DOVE VENIVA UTILIZZATO
PER DESCRIVERE STRUMENTI UTILIZZATI PER
MANTENERE L'ACCESSO "ROOT", RESTANDO
INVISIBILI ALL'AMMINISTRATORE DI SISTEMA.
Suggerimento dal team GReAT: sviluppate una
strategia di sicurezza
La strategia di sicurezza deve essere creata su misura
per l'azienda, non basata su best practice generiche e
stime casuali. Una valutazione completa dei rischi
consente di determinare i rischi effettivi dell'azienda.
È necessario un meccanismo di misurazione
dell'efficacia degli strumenti di sicurezza in uso e una
procedura di aggiornamento della strategia per
affrontare le nuove minacce.
CAPITOLO 2
SIETE A RISCHIO?
UNA NUOVA EPOCA DI
ATTACCHI MIRATI
ATTACCHI MIRATI
ARMI CIBERNETICHE
Il panorama delle minacce continua a essere dominato da attacchi casuali e speculativi,
progettati per sottrarre informazioni personali a chiunque sia tanto sfortunato da cadere
vittima dell'attacco. Tuttavia, è chiaro che il numero di attacchi mirati sta crescendo e
che tale tipo di attacchi è diventato ormai una caratteristica assodata nel panorama
delle minacce.
Stuxnet ha introdotto l'uso di malware altamente sofisticati per attacchi mirati a impianti
di produzione chiave. Inoltre, la comparsa di altri attacchi sponsorizzati a livello di stati
nazionali, Duqu, Flame e Gauss, ha reso chiaro che questo tipo di attacco non fosse un
incidente isolato.
Lo scopo è quello di impiantarsi in un'azienda mirata, rubare i dati aziendali o
danneggiare la reputazione di un'azienda. Inoltre, viviamo in un'epoca in cui i codici
dannosi possono essere utilizzati come cyber-arma: anche se un'organizzazione non
viene colpita direttamente, essa può comunque subire "danni collaterali" se non si
protegge in modo adeguato.
Siamo entrati in un'epoca di "cyberguerra fredda", in cui le nazioni hanno la possibilità di
combattere tra loro senza i limiti reali della guerra. In futuro, possiamo aspettarci che
sempre più paesi sviluppino armi cibernetiche, progettate per rubare informazioni o
sabotare i sistemi, anche perché il requisito base per sviluppare tali armi è molto
inferiore rispetto a quello richiesto per le armi vere e proprie.
Leggendo i titoli dei giornali, è facile giungere alla conclusione che gli attacchi mirati
siano esclusivamente un problema delle grandi organizzazioni, in particolare quelle che
gestiscono sistemi di "infrastrutture critiche" all'interno di un paese. Tuttavia, qualsiasi
organizzazione può diventarne vittima. Tutte le organizzazioni conservano dati che
potrebbero essere utili ai cybercriminali e possono anche essere utilizzati come
elementi di raccordo per raggiungere altre aziende.
È anche possibile che assisteremo ad attacchi "emulativi" da stati non nazionali, con il
crescente rischio di "danni collaterali" che vanno ben oltre la vittima mirata dell'attacco.
I bersagli di questi cyber attacchi potrebbero includere impianti di fornitura energetica o
di controllo dei trasporti, sistemi finanziari e di telecomunicazione e altre "infrastrutture
critiche".
Suggerimento dal team GReAT: eseguite regolarmente il
backup dei dati
Numero di vittime
Anche se la gestione e la conservazione dei dati
vengono affidate esternamente, in caso di violazione,
non è possibile esternalizzare anche la responsabilità.
È necessario valutare i potenziali rischi allo stesso
modo in cui si farebbe se i dati venissero conservati
internamente. Il backup dei dati può aiutare a evitare
che un inconveniente si trasformi in un disastro.
300.000
100.000
10.000
1.000
50
20
Stuxnet
Gauss
Flame
Numero di incidenti (statistiche di Kaspersky Lab)
Numero approssimativo di incidenti
Duqu
miniFlame
CAPITOLO 3
MALWARE: ADESSO È DIVENTATO
UNA MINACCIA ANCHE PER GLI
UTENTI MOBILI
L'ESPANSIONE DEL MALWARE MOBILE
LO SVILUPPO DEL MALWARE MOBILE
Oggi i cybercriminali si stanno concentrando sempre più sui dispositivi mobili.
Le prime minacce sono apparse nel 2004. Tuttavia, il malware mobile non ha
rappresentato una minaccia significativa per alcuni anni. Il punto di svolta si è avuto nel
2011, quando è stato rilevato lo stesso numero di minacce individuate nell'intero
periodo dal 2004 al 2010.
Tale crescita esplosiva continua ancora ad aumentare.
Numero di campioni specifici
Le prime minacce mobili hanno colpito Symbian e, in minor grado, WinCE. Tuttavia, ben
presto gli autori di malware hanno iniziato a sviluppare minacce utilizzando Java Mobile
Edition (J2ME), spinti dall'esigenza di creare malware multipiattaforma in un momento
in cui il mercato degli smartphone era frammentato.
Alla fine del 2009, circa il 35 percento delle minacce erano basate su Java. L'anno
seguente, le minacce basate su Java hanno raggiunto circa il 57 percento, eclissando
Symbian come principale bersaglio degli autori di malware.
Nel 2012, quasi il 94% delle minacce era rivolto ad Android
120000
100000
Nel 2011 si è verificato un elevato aumento del numero di minacce rivolte ad Android (64%).
Nel 2012, quasi il 94 percento delle minacce erano rivolte ad Android.
80000
La principale ragione è che Android fornisce un ambiente aperto per gli autori di
applicazioni e ciò ha portato a un'ampia e diversificata scelta di applicazioni. I limiti per il
download delle applicazioni sono molto ridotti e ciò espone gli utenti al rischio di scaricare
applicazioni dannose.
60000
40000
20000
0
Ago
2011
Ott
2011
Dic
2011
Feb
2012
Apr
2012
Giu
2012
Ago
2012
Ott
2012
Dic
2012
Feb
2013
Apr
2013
Giu
2013
Viceversa, iOS è un file system chiuso, ristretto, che consente il download e l'utilizzo di
applicazioni da un'unica fonte, l'App Store. Ciò comporta un rischio inferiore per la
sicurezza: per distribuire il codice, gli aspiranti autori di malware devono trovare un modo
per "introdurre" il codice nell'App Store.
Quindi è probabile che, almeno per il momento, l'attenzione dei cybercriminali resterà
concentrata principalmente su Android.
MOBILE BANKING: IL PROSSIMO OBIETTIVO DEL CYBERCRIMINE?
L'uso degli smartphone per l'online banking non è ancora consolidato, quindi ci vorrà
tempo perché i cybercriminali si concentrino pienamente su questo. Tuttavia, l'uso dei
dispositivi mobili come parte del servizio di autenticazione a due fattori per le transazioni
bancarie eseguite ai computer desktop o portatili è consolidato.
La banca invia una password monouso per una transazione sullo smartphone di un
cliente tramite SMS. Quindi, non deve sorprendere che siano state riscontrate minacce
specificamente progettate per acquisire i numeri di autenticazione delle transazioni su
dispositivi mobili, i cosiddetti mTAN (mobile Transaction Authentication Numbers).
Questi attacchi sono noti come "man-in-the-mobile" e a tale scopo sono state sviluppate
tre principali minacce, ZeuS-in-the-Mobile (o "ZitMo"), "SpyEye-in-the-Mobile" (o SpitMo)
e Carberb-in-the-Mobile (o CitMo).
I cybercriminali sono alla continua ricerca di nuovi modi per guadagnare, che includono
anche gli smartphone. La botnet SpamSold, ad esempio, apparsa alla fine del 2012,
invia messaggi SMS di spam da dispositivi infettati.
Fino ad oggi, la maggior parte dei malware è stata progettata per ottenere l'accesso root
al dispositivo. In futuro, è probabile che assisteremo all'uso delle vulnerabilità mirato al
sistema operativo e, in base a questo, lo sviluppo di "download indesiderati".
Suggerimento dal team GReAT: implementate un
criterio di sicurezza basato sull'identità
Assicurarsi che le proprie soluzioni di sicurezza siano
flessibili e riflettano le modifiche delle modalità di
lavoro. In questo modo, ogni dipendente sarà protetto
sia sul posto di lavoro che all'esterno, su qualsiasi
dispositivo utilizzato.
CAPITOLO 4
MODALITÀ DI DIFFUSIONE
DEL MALWARE
I cybercriminali utilizzano diverse tecniche per infettare i dispositivi delle
proprie vittime. Tali tecniche sono descritte in dettaglio di seguito.
DOWNLOAD INDESIDERATI
Attualmente, questo è il principale metodo per diffondere il malware. I cybercriminali
cercano siti Web non protetti e nascondono il proprio codice in una delle pagine Web:
quando un utente visualizza tale pagina, il malware può venire trasferito
automaticamente e invisibilmente sul proprio computer, insieme ai restanti contenuti
richiesti. Questa procedura è conosciuta come "download indesiderato", in quanto non
richiede interazioni con la vittima, oltre al semplice accesso alla pagina Web
compromessa.
I cybercriminali inseriscono uno script nocivo nella pagina Web, che installa il malware
sul computer della vittima o, più solitamente, assume la forma di un reindirizzamento
IFRAME a un sito controllato dai cybercriminali. Il computer vittima viene infettato se, su
di esso, è presente un'applicazione non protetta e vulnerabile.
SOCIAL NETWORK
I cybercriminali, come i borseggiatori nel mondo reale, "sfruttano" la folla. Alcuni social
network hanno una base di utenti delle stesse dimensioni di una grande paese, offrendo
un gruppo già pronto di potenziali vittime. I cybercriminali utilizzano i social network in
modi diversi.
Ȋ Innanzitutto, utilizzano account contraffatti per distribuire messaggi che contengono
collegamenti a codici nocivi.
Ȋ In secondo luogo, sviluppano applicazioni fittizie che raccolgono i dati personali della
vittima (che possono successivamente essere venduti ad altri cybercriminali) o
installano malware (ad esempio, programmi antivirus fittizi)
Ȋ In terzo luogo, creano account fittizi che raccolgono "amici", raccolgono informazioni
personali e le vendono ai pubblicitari
I cybercriminali sfruttano il fatto che gli utenti dei social network sono più che predisposti
a condividere informazioni e a fidarsi delle persone che conoscono.
I CYBERCRIMINALI INSERISCONO UNO SCRIPT
NOCIVO NELLA PAGINA WEB, CHE INSTALLA IL
MALWARE SUL COMPUTER DELLA VITTIMA O, PIÙ
SOLITAMENTE, ASSUME LA FORMA DI UN
REINDIRIZZAMENTO IFRAME A UN SITO
CONTROLLATO DAI CYBERCRIMINALI.
EMAIL E MESSAGGISTICA ISTANTANEA
SUPPORTI RIMOVIBILI
Circa il tre percento delle e-mail contengono malware, sotto forma di allegati o
collegamenti. Le e-mail vengono anche utilizzate negli attacchi mirati come metodo per
introdursi inizialmente nelle organizzazioni oggetto di tali attacchi. In questo caso,
l'e-mail viene inviata a una persona specifica nell'organizzazione, sperando che esegua
l'allegato o faccia clic sul collegamento e avvii il processo che consente agli autori
dell'attacco di accedere al sistema. Questo approccio è noto con il nome di "spearphishing".
I dispositivi fisici di archiviazione sono il modo ideale per diffondere il malware. Le chiavi
USB, ad esempio, sono state utilizzate per espandere la penetrazione di malware
all'interno di un'organizzazione, in seguito all'infezione iniziale.
Per massimizzare le proprie probabilità di successo, i cybercriminali solitamente inviano
le proprie e-mail al personale a contatto con il pubblico (spesso non tecnico), ad
esempio responsabili delle vendite e del marketing. Le e-mail si rivolgono alla persona
chiamandola per nome, l'indirizzo del mittente viene contraffatto in modo tale da
sembrare proveniente da un collega fidato interno all'organizzazione e il contenuto
dell'e-mail viene adeguato agli interessi dell'organizzazione in modo da sembrare
legittimo.
Spesso il malware utilizza le vulnerabilità legate alle modalità di gestione delle chiavi
USB per eseguire automaticamente il codice all'inserimento del dispositivo nel
computer.
Alcune campagne di attacchi mirati variano i contenuti, a seconda della specifica natura
dell'azienda alla quale si rivolgono. I cybercriminali fanno anche uso della messaggistica
istantanea per diffondere i collegamenti ai malware.
PER MASSIMIZZARE LE PROPRIE PROBABILITÀ
DI SUCCESSO, I CYBERCRIMINALI SOLITAMENTE
INVIANO LE PROPRIE E-MAIL AL PERSONALE A
CONTATTO CON IL PUBBLICO (SPESSO NON
TECNICO), AD ESEMPIO RESPONSABILI DELLE
VENDITE E DEL MARKETING.
Sono anche state utilizzate per far passare il Malware da un computer non affidabile
connesso a Internet a una rete affidabile (questo metodo è stato utilizzato da Stuxnet, ad
esempio).
EXPLOIT E VULNERABILITÀ
Uno dei principali metodi utilizzati dai cybercriminali per installare malware nei computer
vittima è quello di sfruttare le vulnerabilità non corrette nelle applicazioni. Questo metodo si
basa sull'esistenza di vulnerabilità e sulla mancata correzione delle applicazioni da parte
dei singoli utenti o delle aziende.
Tali vulnerabilità, o bug, possono trovarsi nel sistema operativo. In genere, i cybercriminali si
concentrano su applicazioni utilizzate su larga scala che hanno maggiori probabilità di
restare vulnerabili per periodi più lunghi, offrendo loro un margine di opportunità sufficiente
per conseguire i propri obiettivi.
EXPLOIT "ZERODAY"
I cybercriminali non contano unicamente sul fatto che gli utenti non correggono sempre le
proprie applicazioni. Talvolta, essi sono anche in grado di identificare le vulnerabilità prima
dello stesso fornitore di applicazioni.
Queste vulnerabilità sono note come vulnerabilità del "giorno zero" e offrono ai
cybercriminali l'opportunità di diffondere i malware su qualsiasi computer in cui si trova
l'applicazione vulnerabile, indipendentemente dal fatto che sia stata installata o meno
l'ultima correzione.
Le applicazioni più soggette ad attacchi
Java (Oracle)
2%
Adobe Acrobat Reader
11%
Microsoft e IE
3%
Adobe Flash
4%
Android Root
56%
25%
Altro
CERTIFICATI DIGITALI
Siamo tutti predisposti a fidarci dei siti Web con un certificato di sicurezza rilasciato da
un'Autorità di certificazione attendibile o di un'applicazione con un certificato digitale
valido.
Suggerimento dal team GReAT: implementate un antimalware completo e integrato
Sfortunatamente, i cybercriminali non solo sono in grado di contraffare i certificati per i
malware, utilizzando i cosiddetti certificati "auto-firmati", ma sono anche riusciti a violare
i sistemi di diverse Autorità di certificazione e ad utilizzare i certificati rubati per firmare il
proprio codice.
Accertarsi di eseguire sempre il software di sicurezza
più recente, di applicare gli aggiornamenti quando
sono disponibili e di rimuovere i software non più
necessari.
Ciò conferisce ai cybercriminali lo stato di insider fidati e massimizza le loro probabilità di
successo: ovviamente è più facile che i singoli utenti o le organizzazioni si fidino di un
codice firmato.
CAPITOLO 5
IL FATTORE UMANO
NELLA SICUREZZA
IL FATTORE UMANO
Le persone rappresentano sempre il punto di maggiore debolezza nella catena della
sicurezza. I motivi sono svariati:
Ȋ Molti utenti sono inconsapevoli degli stratagemmi utilizzati dai cybercriminali
Ȋ Essi non conoscono i segnali da riconoscere
Ȋ Inoltre, i continui tentativi di truffa non sono mai uguali, il che rende difficile per gli
utenti distinguere tra cosa sia sicuro e cosa non lo sia.
A volte, gli utenti tendono a sforzarsi il minimo possibile, pensando di semplificarsi la vita
e ignorando le reali implicazioni per la sicurezza. Questo vale per le password, ad
esempio. Molti utenti utilizzano la stessa password per tutto, spesso una parola facile
da ricordare o, addirittura usano la parola "password"!
Questo aumenta le probabilità di indovinare la password da parte di un cybercriminale.
Una volta che un account viene compromesso, esso facilita l'accesso ad altri account.
Anche se viene avvertita del potenziale pericolo, la maggior parte della gente non vede
un'alternativa fattibile, vista la difficoltà di ricordare tante password diverse.
SOCIAL ENGINEERING
Il social engineering è la manipolazione della psicologia umana che mira a far fare agli
altri ciò che si vuole. Nel contesto della sicurezza IT, significa spingere un utente a fare
qualcosa che minaccia la sua sicurezza o la sicurezza dell'organizzazione per la quale
lavora.
Le e-mail di phishing rappresentano un buon esempio di social engineering. Esse si
presentano di solito sotto forma di e-mail di spam inviate a un elevato numero di utenti.
Queste e-mail sembrano e-mail legittimamente inviate da un'organizzazione affidabile.
Ne imitano il logo, il tipo di formato e lo stile dell'organizzazione legittima, nella speranza
di indurre una buona parte delle persone che ricevono l'e-mail a pensare che si tratti di
una comunicazione lecita. Quando la vittima fa clic sul collegamento, viene reindirizzata
a un sito Web fittizio in cui gli viene chiesto di fornire i propri dati personali, quali nomi
utente, password, PIN e qualsiasi altra informazione utilizzabile dai cybercriminali.
L'uso diffuso dei social network ha inoltre semplificato la vita dei cybercriminali, che
sono in grado di raccogliere i dati pubblicati dagli utenti online e di utilizzarli per
aumentare la credibilità di un'e-mail di phishing.
Suggerimento dal team GReAT: aumentate la
consapevolezza
I cybercriminali utilizzano sempre più i dati pubblici per
lanciare attacchi mirati contro le aziende. È opportuno
mettere al corrente i colleghi dei rischi associati alla
condivisione delle informazioni personali e aziendali online.
Per ulteriori suggerimenti su come diffondere il messaggio
tra i colleghi, dare un'occhiata ai 10 suggerimenti più
interessanti alla fine del presente manuale.
CAPITOLO 6
TECNOLOGIE
ANTIMALWARE
TECNOLOGIE ANTIMALWARE USATE AI GIORNI NOSTRI
Ogni giorno si registrano centinaia di migliaia di nuovi tipi di malware. La crescita
esponenziale verificatasi negli ultimi anni ha reso più importante che mai fermare le
minacce in modo proattivo. Di seguito, vengono descritte le principali tecnologie
anti-malware usate ai giorni nostri.
Firme
In genere, una sequenza caratteristica di byte utilizzata per identificare un determinato
malware. Attualmente, tuttavia, le soluzioni antimalware fanno ampio uso di firme
generiche per rilevare un vasto numero di malware che appartengono alla stessa
famiglia.
Analisi euristica
Viene utilizzata per rilevare nuove minacce sconosciute. Include l'uso di una firma che
identifica istruzioni nocive conosciute, anziché un malware specifico. Si riferisce anche
all'uso di una sandbox (un ambiente virtuale sicuro creato nella memoria) per
esaminare il comportamento del codice una volta eseguito sul computer reale.
Analisi del comportamento
Consiste nel monitoraggio del sistema in tempo reale per esaminare la modalità con cui
un codice interagisce con il computer. Le analisi più sofisticate del sistema non si
limitano a un controllo isolato del codice ma eseguono più sessioni di monitoraggio delle
sue attività, nonché un esame delle sue modalità di interazione con altri processi del
computer.
Whitelisting
Storicamente, le soluzioni antimalware si sono basate sull'identificazione di un codice
notoriamente nocivo, ad esempio i programmi di "blacklisting". Il whitelisting adotta un
approccio diverso, ossia lo blocca se non è presente nella lista dei programmi
accettabili.
Per ulteriori informazioni sulla whitelist, visitate la pagina Web all'indirizzo: http://
whitelist.kaspersky.com/
Per ulteriori informazioni, scaricate il documento all'indirizzo: http://media.kaspersky.
com/en/business-security/application-security-control-tools%20best-practices.pdf
Scansione delle vulnerabilità
Poiché i cybercriminali fanno largo uso delle vulnerabilità nelle applicazioni, è opportuno
essere in grado di identificare le applicazioni vulnerabili ad attacchi in un sistema, consentendo
alle aziende o ai singoli utenti di adottare misure di correzione. Alcune soluzioni includono
anche l'analisi in tempo reale del computer per bloccare le vulnerabilità del "giorno zero".
Servizi basati sulla reputazione
Oggigiorno, molte soluzioni utilizzano ampiamente l'infrastruttura basata su cloud, che
consente la protezione quasi in tempo reale da una nuova minaccia rilevata. In parole
semplici, i metadati di qualsiasi programma eseguiti su un computer protetto vengono
caricati sui computer basati su cloud del fornitore, in cui viene eseguita una valutazione
generale della reputazione, ad esempio, se sono ben conosciuti, mal conosciuti, se la
quantità è conosciuta, quante volte sono stati visualizzati, dove sono stati visualizzati,
ecc. Il sistema opera come un programma di sorveglianza di quartiere globale,
monitorando cosa viene eseguito sui computer a livello mondiale e fornendo protezione
a tutti i computer protetti se viene rilevato qualcosa di nocivo.
I malware evoluti richiedono una soluzione evoluta: l'affermarsi delle piattaforme integrate
I malware continuano a crescere in volume e sofisticazione. Quindi, oggi le aziende
devono lottare contro un numero sempre crescente di vettori di attacco.
In particolare, controllare costantemente l'utilizzo del Web e il crescente numero di
dipendenti (e dati) mobili e aggiornare un array sempre più complesso di applicazioni
comporta per il team IT, che è mediamente privo delle risorse sufficienti, il dover
accettare di scendere a compromessi per quanto riguarda la sicurezza.
Con l'aumentare della complessità dell'ambiente, la soluzione potrebbe essere quella
di aggiungere nuove tecnologie per gestire e proteggere le svariate aree di rischio ma ciò
aumenta il carico di lavoro, i costi e persino i rischi del team IT.
Il nuovo panorama delle minacce ha portato Kaspersky Lab allo sviluppo della prima
piattaforma di sicurezza unica realmente integrata. Questa piattaforma è il modo
migliore per riunire tutte le aree tecnologiche, che vengono visualizzate, gestite e
protette da un'unica console di gestione.
Per ulteriori informazioni sulle piattaforme integrate, scaricate il documento all'indirizzo:
http://media.kaspersky.com/en/business-security/10-Kaspersky-Integrated-SecuritySolution-Benefits.pdf
IL TEAM GReAT
Suggerimento dal team GReAT: utilizzate una
tecnologia proattiva
Per bloccare nuove minacce sconosciute in tempo
reale, è opportuno implementare soluzioni
antimalware che combinano diverse tecnologie,
anziché affidarsi unicamente alla protezione basata
sulle firme.
Le opinioni degli esperti riportate in questo report sono fornite dal Team Ricerca
Globale e Analisi di Kaspersky Lab (GReAT).
Dal 2008, il team GReAT è leader nel settore intelligence, ricerca e innovazione
antiminacce, sia in Kaspersky che esternamente. Il team GReAT è in prima linea da
oltre dieci anni, durante i quali ha rilevato ed eliminato alcune delle maggiori minacce
malware mondiali, tra cui Stuxnet, Duqu, Flame e NetTraveler. Nel 2013, ha vinto il
premio di "Team della sicurezza informatica dell'anno" in occasione dei Premi SC.
In questo report sono stati forniti numerosi suggerimenti dal team GReAT, concepiti
allo scopo di ottenere il massimo dal software di sicurezza.
PERCHÉ KASPERSKY?
Operando in quasi 200 Paesi e territori in tutto il mondo, forniamo protezione a oltre
300 milioni di utenti e oltre 200.000 clienti aziendali, dalle aziende medio-piccole
fino alle grandi organizzazioni governative e commerciali.
Nel 2012 i prodotti Kaspersky Lab hanno partecipato a 79 test e recensioni
indipendenti. I nostri prodotti hanno vinto 27 primi premi e per 63 volte sono rientrati
nei primi tre posti.
Le nostre soluzioni per la sicurezza avanzate e integrate forniscono alle aziende
un'impareggiabile capacità di controllo dell'uso di applicazioni, Web e dispositivi: voi
fissate le regole e le nostre soluzioni vi aiutano a gestirle.
Kaspersky Endpoint Security for Business è stato progettato in modo specifico per
contrastare e bloccare le avanzate e persistenti minacce odierne. Sviluppato in
collaborazione con Kaspersky Security Center, fornisce ai team della sicurezza la
visibilità e il controllo amministrativi di cui hanno bisogno, qualsiasi siano le minacce
che si presentano.
Per ulteriori informazioni, visitate il sito Web all'indirizzo:
www.kaspersky.com/business
KASPERSKY LAB GARANTISCE LA MIGLIORE PROTEZIONE DEL SETTORE*:
100%
80%
Punteggio dei PRIMI 3 posti
Kaspersky Lab è uno dei fornitori di sicurezza IT di livello mondiale con il più veloce
tasso di crescita ed è tra le prime quattro aziende al mondo che si occupano di
sicurezza.
Nel 2012 i prodotti endpoint Kaspersky Lab hanno
partecipato a 79 test e recensioni indipendenti. I
nostri prodotti hanno vinto il 1° posto 27 volte e
per 63 volte (l'80%) ci siamo classificati nelle
PRIME 3 posizioni.
Kaspersky Lab
Primi posti – 27
Partecipazione a 79
test/recensioni
Bitdefender
60%
PRIMI 3 = 80%
Symantec
40%
Sophos
G-Data
F-Secure
BullGuard
PC Tools
20%
0
Webroot
Microsoft
Avast
Avira
Eset
Trend Micro
McAfee
Panda
AVG
GFI
20
N. di test/recensioni indipendenti
40
60
80
*
Note
Ȋ4FDPOEPJMSJTVMUBUPEJSJFQJMPHPEFMUFTU
indipendente effettuato nel 2012 per i
prodotti aziendali, per privati e mobili
Ȋ*MSJFQJMPHPJODMVEFJUFTUDPOEPUUJEBJ
seguenti laboratori di test e riviste
indipendenti:
Ȋ-BCPSBUPSJEJUFTU"75FTU
AV-Comparatives, VB100, PC Security
Labs, Matousec, Anti-Malware.ru,
Dennis Technology Labs
Ȋ3JWJTUF$)*10OMJOF1$"EWJTPS
PC Magazine, TopTenREVIEWS, CNET,
PCWorld, ComputerBild, PC-Welt
Ȋ-BEJNFOTJPOFEFMDFSDIJPJOEJDBJMOVNFSPEJ
primi posti
5. IL FATTORE UMANO
I SUGGERIMENTI PIÙ INTERESSANTI PER
CREARE UNA CONSAPEVOLEZZA DELLA
SICUREZZA NELLA VOSTRA AZIENDA
******
Poiché creare una consapevolezza dell'importanza della sicurezza IT all'interno
dell'azienda può essere difficile, abbiamo riunito dieci suggerimenti per facilitare la
comunicazione dei problemi relativi alla sicurezza a livello aziendale.
1
RIVOLGETEVI AI VOSTRI
INTERLOCUTORI IN MODO
CORRETTO
2
Evitate di rivolgervi ai vostri
interlocutori come "gli utenti": è
un'espressione impersonale che può
dare loro l'impressione di essere poco
coinvolti in ciò che state dicendo.
Usate invece l'espressione "il
dipendente", "il collega" o "la persona".
5
USATE L'IMMAGINAZIONE
Sono tantissimi i modi in cui rendere
le informazioni più coinvolgenti. Più i
contenuti sono creativi e
interessanti, più aumenteranno le
possibilità che vengano letti. Provate
ad utilizzare fumetti, poster e quiz.
USATE IL TONO DI VOCE
APPROPRIATO
Un tono cordiale e amichevole vi
aiuterà a comunicare con il vostro
pubblico in modo più efficace,
assicurandovi di riuscire a far
comprendere ai vostri colleghi il
ruolo di ciascuno nella protezione
dell'azienda.
6
RIESAMINATE I RISULTATI
RAGGIUNTI
9
INCORAGGIATE
L'INSTAURAZIONE DI UN
DIALOGO APERTO
Le vostre informazioni sono state
assimilate? Mettete alla prova i
vostri colleghi e verificate cosa si
ricordano e cosa hanno
dimenticato. Un quiz sulle principali
5 problematiche di sicurezza IT
potrebbe rappresentare una buona
misura iniziale da adottare.
Assicuratevi che i dipendenti
comprendano le conseguenze di una
violazione della sicurezza e l'importanza
di tenervi informati. Alcuni potrebbero
avere paura di subire provvedimenti
disciplinari per aver fatto clic su
un'e-mail di phishing e, di conseguenza,
evitare di comunicarlo a chi di dovere.
3
RICHIEDETE IL SUPPORTO
DEL REPARTO HR E
DELL'UFFICIO LEGALE
4
TENETE INFORMATI I
COLLEGHI
8
EVITATE IL LINGUAGGIO
SPECIALISTICO
Dove necessario, il personale in
questione può applicare i criteri
effettivi e fornire supporto in caso di
violazioni IT.
7
ENTRATE NEL PERSONALE
Affrontando gli interessi personali
dei vostri colleghi, li aiuterete a
comprendere meglio l'importanza
e il contesto della sicurezza IT. Ad
esempio, potreste discutere di come
le violazioni della sicurezza possano
influire sui loro dispositivi mobili.
10
CONSULTATE IL TEAM DEL
MARKETING
Gli addetti al marketing sono gli
esperti in termini di comunicazioni
interne all'azienda, pertanto,
richiedete il loro aiuto su come
coinvolgere al meglio i vostri colleghi.
Prendete in considerazione gli orari e
la frequenza dei vostri corsi e briefing
sulla sicurezza IT. Assicuratevi che
siano regolari e facilmente
memorizzabili.
La maggior parte delle persone non
dispongono delle vostre competenze
tecniche, quindi assicuratevi di
spiegare tutto in un modo che risulti
di facile comprensione.
© 2013 Kaspersky Lab ZAO. Tutti i diritti riservati. Marchi registrati e marchi di servizio appartengono ai rispettivi proprietari.
Mac e Mac OS sono marchi registrati di Apple Inc. Cisco è un marchio registrato o un marchio di Cisco Systems, Inc. e/o delle
relative affiliate negli Stati Uniti e in altri Paesi. IBM, Lotus, Notes e Domino sono marchi di International Business Machines
Corporation, registrati presso molte giurisdizioni del mondo. Linux è il marchio registrato di Linus Torvalds negli Stati Uniti e
in altri Paesi. Microsoft, Windows, Windows Server e Forefront sono marchi registrati di Microsoft Corporation negli Stati Uniti
e in altri Paesi. Android™ è un marchio di Google, Inc. Il marchio BlackBerry è di proprietà di Research In Motion Limited, è
registrato negli Stati Uniti e potrebbe essere registrato o in attesa di registrazione in altri Paesi.