Report di Previsione sulle Minacce 2016 di McAfee Labs

Transcript

Rapporto
McAfee Labs
Previsioni sulle minacce
nel 2016
McAfee Labs ci offre
la previsione sulla
sicurezza informatica a
cinque anni e ipotizza
le principali minacce
dell'anno venturo.
Informazioni su McAfee Labs
Introduzione
McAfee Labs è una delle principali fonti mondiali per
la ricerca sulle minacce, informazioni sulle minacce
e leadership strategica sulla sicurezza informatica. Grazie ai
dati raccolti da milioni di sensori su tutti i principali vettori
di minacce – file, web, messaggi e rete – McAfee Labs offre
informazioni sulle minacce in tempo reale, analisi critica
e valutazioni di esperti per migliorare la protezione e ridurre
i rischi.
Benvenuti nel report di previsioni sulle minacce 2016
di McAfee Labs.
McAfee è ora parte di Intel Security.
www.mcafee.com/it/mcafee-labs.aspx
Segui McAfee Labs
Quest'anno abbiamo sviluppato due visioni distinte
del futuro.
Nel Report McAfee Labs sulle minacce: agosto 2015,
volgevamo lo sguardo agli ultimi cinque anni, vale a dire da
quando Intel annunciò l'acquisizione di McAfee. Abbiamo
confrontato ciò che pensavamo sarebbe accaduto nel
panorama delle minacce informatiche con quello che è in
effetti successo.
Nel primo capitolo di questo report di previsione ci
rivolgiamo di nuovo verso il futuro, ai prossimi cinque
anni. Abbiamo intervistato 21 esperti che hanno condiviso
le loro personali opinioni sul possibile panorama delle
minacce e sulla probabile reazione del settore della
sicurezza. Abbiamo chiesto loro di guardare oltre
l'orizzonte per ipotizzare come cambieranno i tipi di
minaccia, come muteranno i comportamenti di vittime
e aggressori e come reagirà l'industria da adesso al 2020.
McAfee Labs: le previsioni sulle minacce per il 2016 | 2
Nel secondo capitolo approfondiamo la tematica e facciamo
delle previsioni specifiche sull'attività delle minacce che ci
attendiamo nel 2016. Le previsioni per il prossimo anno
coprono uno spettro di minacce che va dal ransomware agli
attacchi alle automobili, dalle minacce alle infrastrutture
critiche all'immagazzinamento e vendita dei dati rubati.
E inoltre:
■■
■■
■■
■■
■■
Speriamo che queste visioni del futuro offrano delle
conoscenze preziose per sviluppare sia i piani a breve
termine, sia le strategie ad ampio raggio.
Felici vacanze a te e ai tuoi cari.
Vincent Weafer, Senior Vice President, McAfee Labs
Trattiamo una sottile ma egualmente dannosa
forma di minaccia – gli attacchi all'integrità –
che assumerà maggior rilievo nel 2016.
Spieghiamo perché una maggiore sicurezza
nella grande impresa comporta un maggior
numero di attacchi contro i dipendenti che
lavorano da casa.
Descriviamo i cambiamenti nei sistemi di
pagamento e le loro implicazioni.
Mostriamo perché i dispositivi indossabili,
integrati con lo smartphone, sono un vettore
di attacco allettante.
Evidenziamo le modifiche in positivo nella
condivisione delle informazioni sulle minacce
all'interno del settore privato e fra settore
privato e pubblico.
Condividi questo report
Sommario
McAfee Labs: le previsioni sulle
minacce per il 2016
La realizzazione di queste
proiezioni a cinque anni
su come probabilmente
si evolveranno il mercato
e i protagonisti della sicurezza
informatica è stato possibile
grazie alla collaborazione dei
seguenti esperti:
Brad Antoniewicz
Christiaan Beek
Torry Campbell
Gary Davis
Carric Dooley
Steven Grobman
Simon Hunt
Rees Johnson
Brett Kelsey
Tyson Macaulay
Raja Patel
Tom Quillin
Matthew Rosenquist
Raj Samani
Craig Schmugar
Michael Sentonas
Rick Simon
Bruce Snell
Jim Walter
Vincent Weafer
Candace Worley
Ricerca e redazione delle
previsioni sulle minacce 2016:
Christiaan Beek
Carlos Castillo
Cedric Cochin
Alex Hinchliffe
Jeannette Jarvis
Haifei Li
Qiang Liu
Debasish Mandal
Matthew Rosenquist
Raj Samani
Ryan Sherstobitoff
Rick Simon
Bruce Snell
Dan Sommer
Bing Sun
Jim Walter
Chong Xu
Stanley Zhu
Intel Security: uno sguardo sui prossimi cinque anni
6
McAfee Labs: le previsioni sulle minacce per il 2016
22
L'hardware
23
Il ransomware
24
Le vulnerabilità
25
I sistemi di pagamento
27
Gli attacchi tramite i sistemi dei dipendenti
28
I servizi nel cloud
29
I dispositivi indossabili
30
Le automobili
31
I magazzini dei dati rubati
33
L'integrità
34
Lo spionaggio informatico
35
L'attivismo informatico
36
Le infrastrutture critiche
37
La condivisione delle intelligence sulle minacce
38
Intel Security: uno sguardo
sui prossimi cinque anni
Intel Security: uno sguardo sui prossimi
cinque anni
La realizzazione di questo
sguardo su come probabilmente si
evolveranno il mercato e gli attori
della sicurezza informatica è stato
possibile grazie alla collaborazione
di ventuno esperti di Intel Security.
Nell'ordine:
Brad Antoniewicz
Christiaan Beek
Torry Campbell
Gary Davis
Carric Dooley
Steven Grobman
Simon Hunt
Rees Johnson
Brett Kelsey
Tyson Macaulay
Raja Patel
Tom Quillin
Matthew Rosenquist
Raj Samani
Craig Schmugar
Michael Sentonas
Rick Simon
Bruce Snell
Jim Walter
Vincent Weafer
Candace Worley
L'informatica è sempre più pervasiva e potenzia quasi tutti gli aspetti della
vita personale e lavorativa, creando sempre più opportunità per l'innovazione,
ma anche sempre più nuove minacce. Le tecnologie che coinvolgono la vista,
l'udito e il tatto consentono alle persone di vivere il mondo in maniera differente,
interagendo con esso e con gli altri in nuove, peculiari modalità. Gli oggetti di ogni
giorno diventano sempre più intelligenti e connessi, e in tal modo stimolano la
prossima ondata dell'nformatica. Le imprese stanno approfondendo le connessioni
in tempo reale con fornitori, partner, enti pubblici e clienti, raccogliendo
e condividendo selettivamente enormi quantità di dati. Il valore delle informazioni
conservate e in transito sta crescendo rapidamente e, così facendo, alimenta nuovi
mercati, creando l'esigenza di connettere i dispositivi in modo sicuro, inviando dati
affidabili nel cloud ed estraendo valore dalle analisi.
Come qualsiasi cosa preziosa, anche le informazioni attirano l'attenzione di
potenziali avversari, che cercano sempre modi nuovi per rubarle, sfruttarle e trarne
vantaggio. Sebbene il primo pensiero corra generalmente al crimine organizzato
e ad altri malintenzionati, gli avversari includono potenzialmente gli attivisti
informatici, gli stati-nazioni e altri soggetti che non agiscono necessariamente
a scopo di lucro. Se allunghiamo lo sguardo verso la personalizzazione e la
consumerizzazione degli attacchi informatici, vediamo che gli avversari possono
includere anche un concorrente, un oppositore politico, un coniuge, un vicino
o altro antagonista personale, senza contare la crescente attività delle schegge
impazzite che desiderano solamente spargere caos e distruzione.
E dato che l'informatica diviene un prolungamento dell'individuo che rende
il nostro ambiente più "smart", consapevole del contesto e meglio connesso,
comincerà a cambiare tutto. Le password verranno prima o poi sostituite da un
sistema più sofisticato di gestione e autenticazione delle credenziali, mentre la
fiducia diverrà una parte vitale delle nostre attività online ed elettroniche. Valore,
trasparenza e consenso diventeranno concetti importanti nel nostro vocabolario
digitale. E il valore dei dati personali aumenterà non solo per noi, ma anche per
i nostri avversari.
Cosa vedemmo allora, cosa vediamo ora
Nel Report McAfee Labs sulle minacce: agosto 2015, abbiamo volto lo sguardo
all'acquisizione di McAfee da parte di Intel nel 2010 ed esaminato le nostre
aspettative dell'epoca, confrontandole con ciò che è successo effettivamente nel
panorama delle minacce negli ultimi cinque anni. A partire da quella retrospettiva,
21 esperti di Intel Security hanno collaborato alla redazione di questo report
previsionale, relativo a ciò che ci aspettiamo di vedere nell'industria della sicurezza
informatica nei prossimi cinque anni. Quali funzioni di sicurezza verranno aggiunte
all'hardware per rinforzarne la protezione e contrastare più efficacemente le
minacce sempre più sofisticate? In che modo verranno sfruttati gli strumenti di
sicurezza per proteggere privacy e sicurezza nella tua rete personale e oltre?
La tempesta perfetta che avevamo previsto era forse il fronte di qualcos'altro
in arrivo, molto più grande, più innovativo, ma potenzialmente più distruttivo?
Quali mutazioni osserveremo nel panorama della minacce informatiche, in seguito
ai cambiamenti nella tecnologia e nell'economia delle informazioni?
La superficie di attacco informatico
Cinque anni fa pensavamo che il maggior numero di dati, dispositivi e cloud
stesse creando una tempesta perfetta, costituita da minacce e vulnerabilità.
Molte previsioni si sono avverate, ma erano solo l'avvisaglia di una tempesta più
grande, data dall'aumento delle quantità.
Gli ambienti di lavoro dinamici, la forza lavoro altamente mobile e le aspettative
dei dipendenti in rapido cambiamento hanno messo in discussione il concetto di
perimetro di rete. I dipendenti non rimangono più nei confini di una rete affidabile,
né sono limitati da uno specifico dispositivo; ciò li rende più produttivi, ma ne
complica la protezione. Con il tempo, si verifica ciò che chiamiamo inversione del
perimetro o "outside-in" (accesso dall'esterno). Le applicazioni e i dispositivi che
prima venivano indirizzati principalmente alla rete e al centro dati dell'azienda,
vengono ora orientati verso Internet e il cloud. Il centro dati mantiene capacità di
hosting ed elaborazione limitate, solo per le proprietà intellettuali più importanti.
Il rilascio di Microsoft Office 365 e la sua conseguente adozione costituiscono forse
il punto critico, superato il quale la maggioranza di noi è passata dall'archiviazione
incentrata sul PC a quella incentrata sul cloud. I produttori di soluzioni di sicurezza
dovranno sviluppare migliori sistemi di protezione per la crescente varietà di
dispositivi endpoint, per l'archiviazione nel cloud e per gli ambienti di elaborazione,
oltre che per i canali di comunicazione che collegherà tutto questo.
Dovunque andiamo e qualunque
cosa facciamo, lasciamo una scia
di "emissioni digitali".
Per quanto riguarda i consumatori, l'esplosione dei dispositivi e la proliferazione di
entusiasmanti servizi "gratuiti" – per telefoni, tablet, dispositivi indossabili, smart TV
o domotica – sta alimentando la crescita esponenziale dei dati. Dovunque andiamo
e qualunque cosa facciamo, lasciamo una scia di "emissioni digitali". Allo stesso
tempo, le bizzarre aspettative di privacy durante l'eccessiva condivisione di
informazioni, che sia intenzionale o inavvertita, stimolerà il dibattito in merito al
controllo e alla regolamentazione della riservatezza. Dato che tali considerazioni
variano notevolmente fra paesi e culture diverse, non riteniamo che si raggiungerà
un consenso globale sulla privacy. Questo renderà più difficile l'offerta, da parte
delle multinazionali, di prodotti e servizi oltre confine. A causa di queste tendenze,
si avranno anche dei problemi di conformità nel caso dei dipendenti che usano gli
stessi strumenti per accedere alle risorse personali come a quelle aziendali.
La crescente superficie di attacco informatico
3,3
mld
4 mld
3 mld
Più smartphone
connessi
Più utenti
3 miliardi nel 2015
4 miliardi nel 2019
8,8 ZB
5,9 mld
3,3 miliardi nel 2015
44 ZB
16,3
mld
Più dati
24,4
mld
Più dispositivi
connessi tramite IP
8,8 zettabyte nel 2015
44 zettabyte nel 2020
72,4
EB
168 EB
Più traffico di rete
72,4 exabyte al mese di traffico IP nel 2015
168 exabyte al mese di traffico IP nel 2019
Fonte: McAfee Labs, 2015
Il volume e la varietà dei dispositivi continuerà a crescere: attualmente si prevede
che nel 2020 i dispositivi connessi saranno 200 miliardi e continueranno
ad aumentare. Se combiniamo questo massiccio aumento dei dispositivi da
proteggere, con la ben documentata carenza di esperti in sicurezza, è facile
comprendere perché il settore deve semplificare e automatizzare le difese
e le relative configurazioni, oltre a migliorare l'efficienza con l'apprendimento
automatico e la collaborazione in rete. Anche con questi miglioramenti,
le impostazioni di sicurezza rimarranno ben oltre la portata dell'individuo medio,
alimentando la crescita dei servizi di sicurezza che forniscono formazione,
guida e assistenza per impostazioni e aggiornamenti, a consumatori e piccole
imprese. Coloro che installano le reti in abitazioni o piccole imprese dovranno
garantirne la sicurezza, dato che in questi casi la protezione non viene gestita da
alcun amministratore.
La protezione a partire dal chip
Con l'ulteriore rafforzamento di applicazioni e sistemi operativi, che superano
le limitazioni del perimetro, gli autori degli attacchi continueranno a cercare
più in basso nello stack le vulnerabilità da sfruttare. Abbiamo infatti osservato
attacchi al firmware del disco rigido e alle unità di elaborazione grafica. Recenti
dimostrazioni di exploit che sfruttano il BIOS o altre vulnerabilità del firmware,
indicano che più in basso si va, più controllo si ottiene. Anziché restare confinati
a una singola applicazione o computer virtuale, gli attacchi riusciti al firmware
possono accedere all'intera macchina fisica, senza far scattare alcun allarme.
Tutti i computer virtuali, tutta la memoria e tutti i driver rimangono persistenti
anche dopo un riavvio o una reinstallazione.
Tali attacchi sono inoltre efficaci su un'ampia gamma di dispositivi, a prescindere
dal sistema operativo. Pertanto sussiste una corsa al fondo dello stack, perché
chi vi arriva per primo ottiene un vantaggio strategico, sia per la difesa sia
per l'attacco.
"Con nuovi o diversi criminali
e stati-nazioni che iniziano
a esercitare le proprie minacce
informatiche, potremmo
assistere a più attacchi basati
sull'hardware, con l'intento di
disseminare il caos o di negare
il servizio di un'organizzazione".
Steven Grobman, Chief
Technology Officer, Intel Security
Attualmente vediamo solo una minima parte del malware prendere di mira
le vulnerabilità di hardware o firmware, ma nei prossimi cinque anni le cose
cambieranno. Ci aspettiamo di osservare un maggior numero di gruppi sfruttare
nuove tecniche, condividendo le proprie conoscenze nel tentativo di progettare
attacchi efficaci. Gran parte di ciò si diffonderà, dalle agenzie di difesa e spionaggio
degli Stati più avanzati, alle grandi organizzazioni criminali e all'uso generale.
Le difese di hardware e firmware, come l'avvio sicuro, gli ambienti di esecuzione
affidabili, la protezione antimanomissione, la crittografia accelerata, la protezione
attiva della memoria e l'identità immutabile dei dispositivi, renderanno più
difficile l'infiltrazione di tali attacchi, facilitandone il rilevamento e la risoluzione.
Allo stesso tempo dobbiamo riconoscere il fatto che non elimineremo mai tutti
i rischi, che niente è per sempre al sicuro. E anche se potessimo, sarebbe troppo
costoso. Pertanto abbiamo bisogno di un meccanismo per mantenere dispositivi,
gadget e sensori perfettamente funzionanti. Una parte essenziale delle difese
di hardware e firmware è costituita dagli aggiornamenti wireless o altri mezzi
non fisici per l'aggiornamento del codice. Anche se l'introduzione di qualsiasi
tipo di connessione esterna aumenta la superficie di attacco, i vantaggi dati dal
poter aggiornare rapidamente il codice per eliminare una vulnerabilità appena
scoperta, compensa i rischi posti dal lasciare migliaia o milioni di dispositivi
vulnerabili finché non possono essere modificati fisicamente.
Legati all'aggiornamento remoto e automatizzato sono i controlli delle identità
e degli accessi, che supereranno di molti milioni i convenzionali sistemi del passato,
diminuendo però in dimensioni e complessità per supportare i dispositivi molto
piccoli e limitati.
Secondo la famosa legge di
Moore, cofondatore di Intel,
le operazioni matematiche
accelereranno al punto in cui
i costi della crittografia dei
dati basata su hardware si
avvicineranno a zero.
Per la nota legge di Moore, cofondatore di Intel, le operazioni matematiche
accelerano fino al punto in cui il costo della crittografia dei dati basata su
hardware si avvicina a zero, aumentando enormemente le nostre prospettive per
la protezione dei dati a riposo, in uso e in movimento. La crittografia protegge
dati, comunicazioni e aggiornamenti del codice da manomissioni e spoofing.
La crittografia dell'hardware incoraggia gli sviluppatori a usarla di più, alleggerendo
e velocizzando il processo da 5 a 20 volte, a seconda del tipo di cifratura. Dato che
ogni anno continuiamo a scoprire vulnerabilità nei comuni metodi di crittografia,
dobbiamo sperimentare e abbracciare dei modelli di crittografia più robusti
o migliori, purché continuino a essere efficienti e trasparenti all'utente.
Il legame sempre più stretto fra hardware e software di sicurezza sarà visibile
anche nella capacità di eseguire nell'hardware certi tipi di elaborazione dei
pacchetti TCP/IP, consentendo maggiori operazioni di sicurezza su piattaforme di
elaborazione più piccole. Il costo per unità di elaborazione di sicurezza scenderà,
anche se le tecnologie in sé miglioreranno.
Gli attacchi difficili da rilevare
La sempre maggiore capacità degli attacchi di evitare i tradizionali sistemi di
sicurezza e di passare inosservati è stata una delle previsioni azzeccate cinque anni
fa, ma solo adesso assistiamo agli inizi di tale fenomeno. Il malware è tuttora molto
diffuso e in espansione e l'anno scorso ha segnato l'inizio di uno spostamento
verso nuove minacce che sono molto più difficili da rilevare, comprendenti gli
attacchi senza file, gli exploit remoti di shell e protocolli di controllo, le infiltrazioni
cifrate e il furto delle credenziali.
Dato che i sistemi di sicurezza di endpoint, perimetri e gateway sono più efficaci
nell'ispezione e riconoscimento degli eseguibili ostili, gli autori degli attacchi si
spostano su altri tipi di file. Ora stanno sperimentando le infezioni che non si
avvalgono dei file. Sfruttando le vulnerabilità di BIOS, driver e altro firmware,
eludono le difese iniettando i comandi direttamente in memoria oppure
manipolando le funzioni di quest'ultima per installare un'infezione ed estrarre i dati.
Questi attacchi non sono di facile esecuzione e non sono intercambiabili come
alcuni dei malware più popolari, pertanto il numero degli attacchi noti è attualmente
abbastanza piccolo. Comunque, come altre tecniche, nel corso del tempo
diventeranno più semplici e più diffusi con la conseguenza di essere più accessibili
e di alimentare la propria crescita. L'industria della sicurezza sta sviluppando una
tecnologia attiva per la protezione e la scansione della memoria, che rileva le parti
di memoria non collegate a uno specifico file. Tuttavia assisteremo a un aumento di
questo tipo di attacchi finché tali difese non saranno di impiego comune.
Gli attacchi difficili da rilevare
2015
2016
2017
2018
2019
2020
Al di sotto del sistema
operativo: MBR, BIOS,
firmware
Minacce senza file
Exploit di shell remota
e protocolli di controllo
remoto
Infiltrazioni crittografate
Malware che evade
le sandbox
Un altro tipo di attacchi senza file dei quali prevediamo l'aumento nei prossimi
cinque anni è la violazione in remoto delle shell e dei protocolli di controllo, come
VNC, RDP, WMI e PowerShell. Gli aggressori assumono direttamente il controllo di
tali sistemi e possono così installare il codice nocivo senza far scattare gli allarmi
degli endpoint. In altri casi i pirati informatici tentano di rubare le credenziali di
un utente, in modo da usare tali protocolli legittimamente, attività che è ancora
più difficile da individuare. Anzi, riteniamo che l'acquisizione delle credenziali
diventerà un obiettivo primario, dato che sono spesso un bersaglio più facile dei
dati. Sovente danno inoltre accesso a una serie di risorse preziose, dai dispositivi
stessi alle applicazioni dei proprietari, fino ai servizi nel cloud. Una volta che
l'aggressore dispone delle credenziali, la maggior parte delle difese considera le
ulteriori azioni come legittime, consentendo all'intruso di muoversi liberamente
nell'ambiente.
L'analisi comportamentale è in grado di rilevare alcuni di questi attacchi.
Purtroppo però, l'industria della sicurezza è ancora indietro in questo campo
e per gran parte dei prossimi cinque anni non saranno pronte delle solide
tecnologie di analisi comportamentale. Nel frattempo, l'autenticazione a due
fattori e la biometrica si diffonderanno fino a soppiantare le password, mentre
saranno altre le tecnologie determinanti della legittimità.
Assisteremo inoltre a: attacchi più pazienti, "dormienti", che attendono dei
mesi prima di attivarsi pur di eludere gli ambienti della sandbox; a infezioni
che raccolgono i dati silenziosamente, senza interferire affatto con l'utente;
e a infiltrazioni occultate nei protocolli comunemente cifrati, come l'HTTPS.
Un'altra tecnica furtiva che continueremo a vedere usa una tecnica di distrazione,
un po' come fanno i prestigiatori: un attacco malware o botnet attira su di sé
l'attenzione e le risorse del reparto sicurezza, mentre il vero attacco si infiltra
altrove, muovendosi inosservato e indisturbato.
La virtualizzazione
Come ogni altra tecnologia, la virtualizzazione presenta punti di forza e punti
deboli. Anche se isola e protegge i server virtuali e le applicazioni, può anche
rendere più difficili da rilevare i movimenti laterali. Prima della virtualizzazione
potevamo potenzialmente individuare i movimenti laterali tramite il traffico
di rete anomalo. Nello switching e nell'instradamento basati su software, tale
traffico è interamente contenuto in una macchina fisica. La visione complessiva
dell'intera macchina, sulla quale ci affidavamo una volta, è ora complicata da
tutte le barriere e i computer virtuali posti fra le funzioni del sistema operativo.
C'è inoltre il problema di chi è responsabile della sicurezza ai vari livelli, quando
l'hardware e le funzioni di base sono forniti da un'azienda o amministrazione,
i servizi nel cloud e di virtualizzazione da un'altra e i servizi applicativi da un'altra
ancora. E in che modo si può accuratamente tracciare e attribuire un attacco, con
tutto l'occultamento possibile tramite i cloud e la virtualizzazione?
Nelle sue molte forme,
la virtualizzazione presenta
significative sfide tecniche
e operative per la sicurezza.
La virtualizzazione è inoltre interessata da un altro fenomeno: si sta spostando
dal centro dati alla rete. Si tratta di una tecnologia in rapida evoluzione, chiamata
virtualizzazione della funzione di rete (network function virtualization, NFV), che
nei prossimi cinque anni investirà le reti di telecomunicazioni come una tempesta.
Anche se le reti virtualizzate esistono già da anni nei cloud centri dati, costituisce
una novità all'interno delle reti che collegano utenti ed endpoint ai cloud come
Internet. La NFV usa delle piattaforme di elaborazione standard per le attività
specializzate della rete che richiedevano appliance specializzate: router, switch,
mezzi informatici specifici per le telecomunicazioni, firewall, IPS, DNS, DHCP ecc.
Per vari motivi, per quanto riguarda la sicurezza, la NFV è ancora un grosso punto
interrogativo. La NFV rende il networking molto più flessibile ed efficiente, ma
anche più complesso. Si basa frequentemente sulle tecnologie open source, i cui
difetti vengono generalmente comunicati senza problemi; non c'è alcun periodo
di tolleranza specifico di un produttore, fra la scoperta e la comunicazione.
La NFV crea delle efficienze consentendo la virtualizzazione di più elementi di
rete in una sola piattaforma. In caso di un attacco riuscito o di un altro problema,
si crea così un singolo punto di errore.
Inoltre si hanno i "contenitori" e la "containerizzazione": una nuova forma di
virtualizzazione che, a quanto pare, creerà dei nuovi computer virtuali migliori,
più veloci e più leggeri. I contenitori sostituiscono le immagini nel centro dati e nel
cloud, essenzialmente condividendo non solo le risorse hardware (come consente
un hypervisor), ma anche le risorse del sistema operativo, come le librerie.
La containerizzazione è una tecnologia già ampiamente impiegata dai principali
fornitori di servizi nel cloud. Nei prossimi cinque anni potrebbe sbarcare anche in
un centro dati nelle tue vicinanze. Come la NFV, i contenitori possono creare nuove
forme di complessità e di rischi. Si basano principalmente sul software open source
e generano nuove superfici di attacco tramite la condivisione di più risorse fra tutti
i contenitori.
Infine, nei prossimi cinque anni le reti definite dal software (software-defined
network, SDN) diventeranno la regola nel networking, non solo nei centri dati
e negli ambienti cloud. Le SDN verranno usate in combinazione con la NFV
per creare degli ottimi nuovi servizi a valore aggiunto e disponibili su richiesta,
in forme altamente scalabili e totalmente automatizzate. Eppure, come la
NFV, la SDN paga un prezzo in termini di sicurezza perché aggiunge ulteriore
complessità, usa il software open source, amplia le superfici di attacco e crea dei
singoli punti di errore.
Nuovi tipi di dispositivo
L'unico sbaglio nelle nostre precedenti previsioni sulla crescita del volume e dei
tipi di dispositivi è stato l'eccesso di prudenza. Ciò che abbiamo sperimentato
negli ultimi cinque anni è solo una piccola parte di ciò che ci riservano i prossimi
cinque. La facilità e il costo dello sviluppo degli oggetti connessi sta scendendo
rapidamente, conducendo a un'esplosione di nuovi prodotti, modelli di business
e di utilizzo. I prototipi diventano velocemente prodotti, mentre i gadget di precoce
adozione maturano ed espandono la base di installazioni nelle applicazioni di
consumo, industriali e aziendali. Alcuni di questi avanzati dispositivi dell'Internet of
Things (IoT) hanno una base di installazioni così ampia da rendere gli attacchi una
garanzia, mentre altri tipi di dispositivo seguono a ruota.
La maggioranza di queste aziende e i loro gadget sono spinti dal time to market,
dalla fruibilità e da snelle strutture dei costi, perché hanno tempo e risorse
limitati per investire nella sicurezza informatica dei dispositivi. Tali dispositivi
espongono agli attacchi non solo se stessi, ma anche i sistemi a cui si connettono
e le informazioni personali che gestiscono. Inoltre, molti di essi sono progettati
per restare in funzione per molti anni, esponendo se stessi e i sistemi a quelle
minacce che sarebbero altrimenti eliminate dagli upgrade o dai brevi cicli
di aggiornamento.
Nuovi tipi di dispositivi
Tablet
Dispositivi indossabili
2019 269 mln
2018 780 mln
248 mln
200 mln
2015
2015
Dispositivi IoT
2020 200 mld
Dimensione del mercato
globale del cloud pubblico
2020 159 mld $
15 mld
97 mld $
2015
2015
In casa, gli smartphone e i tablet sono diventati il fulcro dell'ecosistema IoT.
Telefoni e tablet sono i punti di raccolta delle informazioni per la maggior
parte dei dispositivi indossabili. Vengono usati per configurare e comandare le
smart TV; azionare luci, serrature ed elettrodomestici; collegarsi all'automobile;
coordinare molti strumenti medicali digitali. Il tutto è connesso a un backend nel
cloud. Questo fulcro è anche un eccellente serbatoio di informazioni che può
attirare i malintenzionati. Sappiamo che le vulnerabilità dei telefoni non sono
state ancora prese di mira, ma solo perché gli autori degli attacchi non hanno
ancora delle motivazioni finanziarie. Con l'aumento del loro uso come punti di
raccolta, ci aspettiamo che nei prossimi cinque anni smartphone e tablet saranno
colpiti in modo più aggressivo, per i dati che conservano e che fanno transitare.
Parimenti, con la competizione delle aziende per il predominio nella casa
connessa, riteniamo che gli hub domestici e i rispettivi servizi nel cloud saranno
interessati dal paziente malware raccoglitore di informazioni di basso profilo.
Molti di questi dispositivi sono sempre attivi, sempre in ascolto e sempre in
comunicazione, il che desta preoccupazioni per la trasparenza e la privacy.
Dato che i padroni di casa sono impreparati o male equipaggiati per rilevare
e debellare la maggior parte delle minacce alla sicurezza, un attacco riuscito può
raccogliere i dati personali in maniera continuativa, abilitare le azioni di negazione
di servizio e trasformare in zombi i dispositivi della casa connessa a Internet.
Nel corso dei prossimi cinque anni, le reti domestiche connesse potrebbero
diventare il modo più semplice per infiltrarsi nella vita delle persone o nelle
risorse dei loro datori di lavoro. Per tale motivo ci sarà un'elevata richiesta di
tecnici installatori esperti in sicurezza informatica, di configurazioni predefinite
più efficaci per le reti domestiche e di nuovi servizi di sicurezza dai fornitori della
banda larga e delle applicazioni a integrazione dei dispositivi.
Nei prossimi cinque anni faranno la loro comparsa anche gateway domestici
più intelligenti e sicuri, come non sono ora, perché movimentano i pacchetti da
e verso Internet con poca o nessuna supervisione e li smistano senza alcuna
policy all'interno della casa. I gateway dovranno migliorare per supportare
l'IoT, con le sue interconnessioni cyberfisiche e le applicazioni critiche per la
sicurezza. A un dispositivo (o utente) compromesso della casa non deve essere
consentito di attaccare un altro dispositivo IoT domestico senza qualche forma di
rilevamento o, ancora meglio, di protezione. I gateway diventeranno l'ultima linea
di difesa, ma consentiranno anche molti nuovi e preziosi servizi per la sicurezza,
nonostante i timori dei consumatori e i dubbi del legislatore.
Questa nuova gamma di dispositivi implica ben più di un semplice passaggio
a telefoni e tablet. Annuncia anche l'arrivo di un mondo nel quale gli utenti in
movimento potranno impiegare qualsiasi dispositivo dotato di tastiera e schermo
per accedere alle informazioni nel cloud. L'obiettivo degli aggressori sono sempre
stati i dati che ora possono essere a disposizione in quantità molto maggiori
da dispositivi di accesso meno controllati e gateway meno protetti. Se teniamo
i nostri file nel cloud e vi accediamo da un telefono, tablet, chiosco, automobile
o orologio (ognuno dei quali esegue un sistema operativo e applicazioni
differenti), abbiamo sostanzialmente ampliato la superficie di attacco. Dato che
questi dispositivi di accesso saranno inevitabilmente meno sicuri, i fornitori di
cloud computing saranno indotti a migliorare significativamente la sicurezza
delle connessioni e dei dati stessi. Riteniamo che i migliori fornitori sapranno
raccogliere questa sfida nei prossimi cinque anni, grazie alle tecnologie dei
principali produttori di soluzioni di sicurezza.
In parallelo, nuovi tipi di dispositivi e sensori professionali si inseriscono in
impianti industriali, sistemi di controllo delle infrastrutture critiche e procedure
aziendali fondamentali, creando nuove superfici di attacco. In aggiunta alle
minacce dirette, abbiamo visto quanto questi nuovi tipi di dispositivo possono
intrecciare sistemi industriali e aziendali, una tendenza che potrà solo velocizzarsi
con la loro sempre maggiore interconnessione. Alcuni di questi dispositivi
saranno situati nei punti critici delle reti affidabili, rendendole attraenti per
ulteriori attacchi, nel caso in cui possano essere compromesse. Dobbiamo inoltre
essere attenti a non prestare solo attenzione ai grandi numeri. Benché un attacco
riuscito ai dispositivi IoT con centinaia di milioni di installazioni è probabile che
scateni il caos, un solo dispositivo in un punto chiave del sistema di controllo di
un'infrastruttura critica potrebbe essere molto più devastante.
L'evoluzione delle minacce informatiche
Finché esisteranno risorse digitali preziose ci saranno dei criminali, pertanto
nei prossimi cinque anni il cimine informatico continuerà a prosperare. Come
quelle di una qualsiasi azienda, la maggior parte delle operazioni del crimine
informatico segue i soldi, cercando il modo più facile per sottrarre qualcosa di
valore. Il crescente valore dei dati personali giocherà un ruolo importante, dato che
sono già più preziosi dei dati delle carte di pagamento e lo saranno sempre di più.
Il maggiore uso delle criptovalute come Bitcoin renderà le valute virtuali, che sono
già il metodo di pagamento preferito dai delinquenti, un bersaglio attraente per
i ladri.
Gli attacchi informatici offerti in pacchetto saranno sempre più accessibili agli
individui meno esperti, consentendo o facilitando gli attacchi con obiettivi
più personali, come reputazione, integrità, molestie, vandalismo o il puro
e semplice caos.
La crescita del cloud computing creerà nuove vulnerabilità e minacce.
Le tradizionali infrastrutture di reti e sistemi hanno offerto il potenziale per la
definizione chiara di un perimetro da proteggere, mentre i cloud e il loro ventaglio
di confini organizzativi e punti di controllo rende tale attività più difficile. Gli autori
degli attacchi prenderanno sempre più di mira il cloud per trarre vantaggio da tali
confini mal definiti. Colpiranno anche il cloud pubblico perché offre la possibilità di
muoversi lateralmente e di violare le altre reti virtuali al suo interno.
Il cloud computing offre inoltre eccezionali risorse ai criminali sotto forma
di capacità di elaborazione e archiviazione, oltre alla possibilità di comparire
e scomparire con un clic del mouse. Per le forze dell'ordine sarà difficile chiudere
un intero fornitore di servizi cloud a causa del comportamento criminoso dei suoi
utenti, pertanto per poterli neutralizzare occorrerà perseguirne le risorse, come
i portafogli di Bitcoin.
Nella nostra retrospettiva quinquennale abbiamo notato l'evoluzione verso un
maggior numero di attacchi perpetrati dagli Stati, che continueranno a rinforzare
le proprie capacità informatiche di attacco e difesa. Svilupperanno le loro capacità
di raccolta di informazioni e di manipolazione furtiva dei mercati, continuando
così ad ampliare la definizione e le regole della guerra informatica.
Le armi informatiche degli Stati fungeranno da riequilibratore, spostando gli
equilibri di potere in molte relazioni internazionali, proprio come fecero le
armi nucleari a partire dagli anni 50. I piccoli Paesi saranno in grado di mettere
insieme o ingaggiare un ottimo gruppo informatico per affrontare un Paese
più grande. Anzi, le capacità di guerra informatica sono già entrate a far parte
dell'armamentario politico internazionale, in termini sia di attacco sia di difesa.
Evoluzione delle minacce informatiche Sondaggio sulle infrastrutture critiche
48%
70%
Oltre il 70% ritiene che le
minacce alla sicurezza
informatica contro la propria
aziende stiano aumentando
Il 48% ritiene probabile che un
attacco informatico metta in
ginocchio un'infrastruttura critica
con potenziale perdita di vite umane
Fonte: http://www.mcafee.com/it/resources/reports/rp-aspen-holding-line-cyberthreats.pdf
Gli attacchi informatici possono colpire non solo database e infrastrutture digitali,
ma anche armamenti e infrastrutture fisiche. Uno Stato aggressore potrebbe
tentare di togliere l'elettricità o di chiudere l'erogazione di acqua piuttosto che
l'accesso a Internet, oppure potrebbero assumere il controllo di droni, armi
e sistemi di puntamento di un altro Paese. Anche lo spionaggio digitale fa parte
della guerra informatica. Gli agenti del controspionaggio digitale prendono
il controllo dei sistemi di sorveglianza, seguono i dipendenti governativi
e sottraggono documenti per conseguire vantaggi strategici. L'abbiamo già visto
con la portata della violazione all'Ufficio Statunitense di Gestione del Personale
e durante i prossimi cinque anni osserveremo questi comportamenti sempre di più.
Gli standard di sicurezza dell'IoT
Per quanto riguarda i nuovi tipi di dispositivo, nel capitolo precedente abbiamo
trattato gli emergenti dispositivi dell'IoT. Tuttavia non abbiamo parlato dei nuovi
standard previsti per l'IoT, in particolare le norme legate alla sicurezza. La creazione
di robuste norme di sicurezza per l'IoT è vitale, dato il gran numero di dispositivi
IoT che raccolgono dati molto personali oppure critici per le aziende. Nelle
mani sbagliate, tali dati potrebbero distruggere un'azienda o essere fatali per
una persona.
Per quanto riguarda gli standard di qualsiasi tipo, l'IoT è una sorta di caleidoscopio.
Esistono letteralmente centinaia di standard che possono sfiorare potenzialmente
l'IoT e alcuni, importanti, che lo riguardano direttamente. L'IoT è interessato dalle
norme (emanate da molti organismi) in materia di sicurezza di rete, gestione delle
identità, interoperabilità, comunicazioni wireless, privacy e molte altre.
Eppure, in questo turbine di norme sovrapposte e concorrenti esistono delle
lacune, soprattutto legate alla sicurezza. Per esempio, il modo di progettare
e gestire in modo sicuro le reti basate su NFV o SDN non è affrontato da nessuno
degli enti più importanti, come ISO, EIC e ITU. Parimenti, i nuovi e differenti requisiti
legati all'IoT per le identità e il controllo degli accessi, oppure la chiara applicazione
delle normative sulla privacy ai big data dell'IoT, richiedono ancora molto lavoro.
La buona notizia è che gli sforzi attuali dovrebbero produrre delle indicazioni
notevolmente migliori per la sicurezza IoT, a livello di normative internazionali.
I mercati dovrebbero giovarne, oltre a fornire rassicurazioni dopo alcuni disastri
di alto profilo collegati agli albori dell'IoT.
Dati personali, sicurezza e privacy
Il crescente valore dei dati personali
attirerà i ladri informatici, creando
mercati sofisticati per i dati rubati.
Condurrà però anche a maggiore
legislazione in materia di sicurezza
e privacy.
I dati personali, il loro valore e la domanda di privacy cambieranno drasticamente
la sicurezza e il crimine informatico, dai bersagli agli attacchi e alle difese.
Nei prossimi cinque anni il volume e i tipi di informazioni personali raccolte
e conservate aumenteranno. Si passerà da nome, indirizzo, numero telefonico,
indirizzo email e alcuni acquisti di un individuo, alle località visitate di frequente,
ai comportamenti "normali", a ciò che mangiamo, guardiamo e ascoltiamo,
ai nostri peso, pressione arteriosa, ricette mediche, modo di dormire, attività
quotidiane e fisiche. Dei sensori invieranno tali informazioni a tutta una serie
di organizzazioni, che ci restituiranno pubblicità, consigli e offerte convenienti.
La combinazione di tali informazioni rappresenta le "emissioni" digitali che
diventeranno un sottoprodotto costante e inevitabile della vita moderna.
Le emissioni digitali da noi prodotte oggi, consapevolmente o meno, avranno
un enorme valore economico in futuro, consentendoci di venderle in cambio
di contanti, sconti, prodotti o servizi sempre più personalizzati. Dato il sempre
maggior valore delle informazioni, vorremo proteggerle e controllarle. Qualcuno
continuerà a prenderci i dati "legittimamente", ma seppellendo le condizioni in
un contratto di servizio per un'app o un servizio altrimenti innocui. Qualcun altro
tenterà di prelevarli dal cloud, tramite i nostri dispositivi, o nel momento in cui
attraversano le molte reti per le quali passiamo ogni giorno. Altri, ovviamente,
vorranno rubarli.
Il crescente valore dei dati personali sta creando un nuovo tipo di delinquenza
che combina, immagazzina e vende le informazioni rubate per scopi specifici.
Sfruttando le tecniche analitiche usate nel mondo dei big data, tali criminali
cercheranno nessi e correlazioni in tutto il loro bottino di informazioni rubate,
decompileranno le identità personali e venderanno tali informazioni al
miglior offerente.
Questo metodo consentirà ai ladri di eludere le tecniche di verifica delle
identità più usate comunemente – codici fiscali, date di nascita, ultime
quattro cifre delle carte di credito oppure le risposte alle tipiche domande di
sicurezza – ed essenzialmente venderanno credenziali legittime rendendo più
difficile l'identificazione dei comportamenti sospetti da parte dei sistemi di
difesa. I criminali informatici possono anche essere in grado di usare le analisi
comportamentali per capire quali acquisti si possono fare con le carte di
pagamento rubate senza far scattare l'allarme.
Mappa 2014 per la privacy dei dati
Maggiormente soggetto
a restrizioni
Soggetto a restrizioni
Soggetto ad alcune restrizioni
Di fatto non soggetto a restrizioni
Soggetto a restrizioni minime
Nessuna direttiva o informazione
Fonti: Dipartimento del commercio degli Stati Uniti e direttive locali; Forrester Research, Inc.
La privacy digitale e le linee guida e normative di sicurezza non sono nuove.
Per lungo tempo ci sono state discussioni e attività in molti settori e Paesi
su ciò che è accettabile, sugli appropriati requisiti di conformità e sulle pene
per gli illeciti. Con una sempre maggiore quantità di dati personali acquisiti
e conservati, i tentativi di codificare politiche e sanzioni continuerà. I consumatori
domanderanno non solo più privacy, ma anche modi migliori per dare il consenso
alla tracciatura, più trasparenza su ciò che viene conservato, oltre al diritto di
visionare, modificare o perfino cancellare le proprie informazioni. Le aziende si
muoveranno tempestivamente verso l'autoregolamentazione, magari offrendo
prodotti con configurazioni predefinite che siano più idonee alla privacy dei
consumatori che alla raccolta delle informazioni: spostandosi verso modelli di
consenso piuttosto che di rinuncia da parte del consumatore. Si tratta di una
linea sottile su cui camminare e le industrie che non si adattano abbastanza si
ritroveranno in un groviglio legislativo.
Anche l'eccessiva regolamentazione è un pericolo, dalle innumerevoli
conseguenze indesiderate, che può potenzialmente vanificare l'innovazione
e costituire una significativa minaccia per le industrie. Per far evolvere le
normative relative ad auto e telefoni è servito più di un secolo. Durante i prossimi
cinque anni vedremo eventualmente l'impatto della regola della neutralità della
rete, recentemente emessa dalla Federal Communications Commission (FCC)
degli Stati Uniti, che impone delle regolamentazioni a Internet. Per quanto
riguarda la regolamentazione dell'IoT, nei prossimi cinque anni dovremo
aspettarci una serie di iniziative e fallimenti.
Ci sarà una significativa pressione per condividere i dati personali con i governi,
forzando le multinazionali a districarsi fra regolamenti in conflitto e responsabilità
legali durante la comunicazione dei dati oltre confine. Come già osserviamo oggi,
le organizzazioni potrebbero domandare protezione dalle responsabilità oppure
rifiutarsi di cooperare con i regolamenti di divulgazione in alcuni Paesi contrari
ai loro valori oppure alle regole del Paese della casa madre, il che innescherà
conflitti interessanti.
Il contrattacco dell'industria della sicurezza
Le analisi comportamentali
miglioreranno la capacità di
rilevare gli attacchi avanzati.
Una migliore collaborazione e la
condivisione delle intelligence
sulle minacce porteranno alla
più rapida identificazione delle
tecniche e tattiche degli autori
degli attacchi.
L'agenda dell'industria della
sicurezza
■■
■■
■■
■■
Analisi comportamentali: per
rilevare le attività irregolari.
Intelligence condivise sulle
minacce: per una protezione
migliore e tempestiva.
Sicurezza integrata nel cloud:
per migliorare la visibilità
e il controllo.
Rilevamento e correzione
automatizzati: per proteggere
più dispositivi con meno
professionisti della sicurezza.
Le analisi comportamentali sono la prossima arma pesante nell'arsenale della
difesa informatica. Identificando i comportamenti normali e monitorando
continuamente le attività, questi strumenti imparano i movimenti regolari e le
attività degli individui legittimi, inviando degli allarmi o prendendo delle iniziative
quando rilevano qualcosa di irregolare. Solitamente questa applicazione viene
usata da una persona per lavoro? Questa attività viene eseguita durante il normale
orario di lavoro, in sedi tipiche e usando dei dispositivi verificati? Le tecnologie di
analisi comportamentale sono agli inizi ed è ancora difficile estrarre informazioni
significative da massicce quantità di dati. Tuttavia matureranno rapidamente
nei prossimi cinque anni, dato che il problema verrà affrontato dalle capacità di
apprendimento delle macchine, dai big data e dalle funzioni analitiche.
Al fine di fornire una protezione più veloce e migliore, aziende, governi
e produttori di soluzioni di sicurezza saranno sotto pressione per condividere
i dati di intelligence. Oggi assistiamo già agli inizi di questa tendenza, con alcuni
partecipanti dell'ecosistema giunti alla conclusione che i vantaggi della
condivisione superano gli svantaggi. Questi scambi probabilmente cresceranno
a monte e a valle della catena di fornitura e in vari settori, con le organizzazioni
che decideranno di chi fidarsi e come utilizzare le informazioni sulle minacce nelle
proprie attività. I prodotti e servizi di intelligence sulle minacce continueranno
a proliferare, ma i produttori di soluzioni di sicurezza dovranno scegliere fra
il valore di marketing e di fatturato degli abbonamenti ai feed di informazioni
e l'evidente necessità di condividerle per collaborare meglio. Le agenzie
governative saranno alle prese con conflitti e cooperazione fra le giurisdizioni, oltre
che con le aziende preoccupate delle responsabilità derivanti dalla comunicazione
delle informazioni sulle minacce con le forze dell'ordine.
Il volume generato di intelligence sulle minacce richiederà l'avanzamento delle
capacità di apprendimento e analisi dei computer, per la conversione efficiente
in azioni appropriate e avvisi tempestivi agli operatori. Gli scambi di informazioni
avranno bisogno di sistemi di punteggio per affidabilità e qualità, capacità di
verifica e metodi sofisticati per corroborare e convalidare rapidamente i risultati,
in modo da ridurre i falsi positivi e prevenire la manipolazione del sistema.
Un altro imperativo chiave dei prossimi cinque anni sarà anche l'aumento di
efficienza ed efficacia. Entro il 2020 il numero di dispositivi da proteggere supererà
i 200 miliardi. Contemporaneamente il numero di professionisti della sicurezza,
con il livello di capacità necessario, sta aumentando, anche se l'offerta di tali
persone e capacità è ben al di sotto della domanda del mercato. La necessità
porterà a un'automazione delle funzioni di sicurezza più profonda e più ricca.
Le imprese richiederanno inoltre dei livelli prevedibili di investimenti in sicurezza
e di gestione dei rischi, stimolando il continuo sviluppo della sicurezza come
servizio, di prodotti assicurativi specifici e di piani di copertura dai rischi di
violazioni catastrofiche. In tutto ciò le informazioni sulle minacce svolgeranno
il proprio ruolo, fornendo i dati necessari per la realizzazione di modelli attuariali
nel settore assicurativo. Tali modelli potranno essere il frutto di interessanti
collaborazioni fra settore assicurativo e produttori di soluzioni di sicurezza,
fornitori di servizi nel cloud o consorzi di intelligence sulle minacce.
Conclusioni
Cinque anni fa ritenevamo che tre fattori sarebbero stati responsabili delle
problematiche della sicurezza informatica: la superficie di attacco in espansione,
l'industrializzazione della pirateria e la complessità e frammentazione del mercato
della sicurezza informatica. Guardando avanti, pensiamo che i fattori principali
saranno la continua espansione della superficie di attacco, la sempre maggiore
sofisticazione degli aggressori, l'elevato costo delle violazioni, la mancanza di
integrazione fra le tecnologie di sicurezza e la carenza di talenti per contrastare
le minacce.
Dispositivi indossabili, gadget, sensori e altri oggetti collegati a Internet stanno
creando nuove connessioni ed esponendo nuove vulnerabilità. Ogni nuovo
prodotto che si connette a Internet deve fronteggiare le minacce odierne e tutta
la loro forza, pertanto abbiamo una lunga strada da percorrere, se vogliamo
tenere il passo con la velocità e complessità degli attacchi. L'incorporazione della
protezione nei livelli hardware e software è essenziale per i nuovi prodotti, se si
vuole che gli utenti si fidino. Il lato positivo è che sul mercato stanno giungendo
nuovi strumenti di sicurezza, mentre aumentano le imprese di ogni dimensione
che sono consapevoli dell'importanza di una buona sicurezza informatica.
L'economia dei dati personali rappresenta una manna per i consumatori,
che saranno in grado di trarre sempre maggior valore dalle proprie attività
e informazioni. Tuttavia, data la forza di attrazione di tale valore per i ladri,
dovremo affrontare minacce tremende alla riservatezza. I dati sono interessati
anche dalle regolamentazioni, per cui saranno messe in discussione anche
l'innovazione e le libertà civili. Le organizzazioni di tutti i tipi svolgeranno
campagne di lobby per affermare il proprio punto di vista e limitare le proprie
responsabilità in caso di violazioni. Le operazioni di sicurezza si sposteranno
ulteriormente dalle spese in conto capitale a un modello continuo e prevedibile
di spese operative e di esternalizzazione, unite ai costi di assicurazione e alla
gestione dei rischi.
Infine, continueranno a crescere le capacità di guerra informatica degli Stati,
sia in termini di portata che di sofisticazione. Gli attacchi informatici freddi e caldi
influenzeranno le relazioni politiche e le strutture di potere nel mondo. I relativi
strumenti cadranno nelle mani del crimine organizzato e di altri gruppi spinti da
motivazioni ostili, economiche o di diffusione del caos.
Ci sono però dei segni di speranza. L'industria della sicurezza e molte agenzie
governative collaborano reciprocamente in modo più semplice, migliorando
i nostri tassi di successo nell'individuazione e blocco delle minacce informatiche.
La ricerca negli ambiti di vulnerabilità e sicurezza continua a svilupparsi,
identificando più precocemente gli exploit. Le grandi aziende tecnologiche, Intel
compresa, possiedono team interni di ricerca e sviluppo molto competenti in
sicurezza, il che continuerà ad aumentare l'efficacia di rilevamento, protezione
e risoluzione degli attacchi.
McAfee Labs:
le previsioni sulle
minacce per il 2016
L'hardware
Le automobili
Il ransomware
I magazzini dei dati
rubati
Le vulnerabilità
I sistemi di
pagamento
Gli attacchi tramite
i sistemi dei
dipendenti
I servizi nel cloud
I dispositivi
indossabili
L'integrità
Lo spionaggio
informatico
La condivisione delle
intelligence sulle
minacce
L'hardware
Per le finalità di questa previsione,
il termine "hardware" comprende
gli attacchi a firmware, BIOS
e UEFI (sotto il sistema operativo)
che influiscono sui componenti
hardware, quando non li sfruttano
direttamente.
Nel 2015 abbiamo assistito a una profonda trasformazione nell'ambito
dell'hardware e degli attacchi incentrati su di esso. Sono stati pubblicati molti nuovi
articoli accademici e proof-of-concept relativi agli attacchi hardware. Dal canto loro,
il settore della sicurezza e le organizzazioni hanno scoperto numerosi attacchi in
circolazione basati sull'hardware.
Nel caso degli attacchi dell'Equation Group scoperti all'inizio di quest'anno,
gli artefatti di malware rinvenuti erano già vecchi di alcuni anni. Questo è un
ulteriore esempio di come i ricercatori scoprano dei malware altamente sofisticati
a livello bassissimo che (contemporaneamente) sono già "vecchi" per gli standard
degli autori e perpetratori degli attacchi. Avevamo già visto in precedenza l'uso di
malware vecchio in minacce come Flame, Duqu e altre simili.
Il malware dell'Equation Group è stato capace di riprogrammare il firmware delle
unità disco rigido e a stato solido, rimanendo persistente nonostante gli sforzi
a livello più alto (reinstallazioni del sistema operativo, formattazione dell'unità)
per rimuoverlo. Questo attacco è un esempio lampante di come si sfrutti l'intima
conoscenza del firmware e del codice di riferimento di specifici produttore,
usandola per mantenere aggressivamente la persistenza del malware. Nel 2016
non solo questa tendenza continuerà, ma è anche molto probabile che i ricercatori
delle minacce scopriranno attacchi continui di questa natura, mano a mano che si
scava nelle minacce correnti.
UEFI (Unified Extensible Firmware
Interface) è un'interfaccia firmware
per PC basata su degli standard,
progettata per sostituire il
BIOS. È stata creata dalle oltre
140 aziende tecnologiche che
fanno parte dell'UEFI Forum.
Gli attacchi hardware sono amplificati dall'emergere degli strumenti commerciali
di attacco. Nel 2015 abbiamo scoperto il primo rootkit UEFI commerciale,
comprendente il codice sorgente. Il gruppo Hacking Team, autore del rootkit,
offre una piattaforma chiamata Remote Control System, che include tale modulo
rootkit. Porzioni di questo strumento sono state già adattate per gli attacchi
osservati in circolazione. La messa a disposizione del codice sorgente ha infatti
facilitato notevolmente agli autori degli attacchi la personalizzazione e modifica
del rootkit per i propri scopi. Nel 2016 è probabile che compaiano copie di tale
codice e strumenti simili.
Grazie agli sforzi di gruppi come NSA Playset possiamo vedere esempi
(e ricerche) analoghi. Va ribadito che questi strumenti non sono nuovi, ma gli
autori degli attacchi possono adattarli e continueranno a farlo per perseguire
i propri scopi illeciti. La capacità di persistere al di sotto del sistema operativo,
nel quale esercita la propria azione la gran parte dei tipici controlli di sicurezza,
è molto attraente per gli attori delle minacce di qualsiasi livello, dai comuni ladri
informatici agli stati-nazione
In abbinamento al cloud o ai fornitori di servizi nel cloud, gli attacchi basati sul
firmware di sistema pongono un rischio serio. Nel 2015, il team ATR di Intel ha
dimostrato come si possa ottenere l'accesso ai computer virtuali adiacenti tramite
vettori multipli, compresi i rootkit del firmware o semplici errori di configurazione.
Le minacce simili all'attacco S3 Boot Script possono essere adattate per gli
attacchi in circolazione. In molti casi si tratta solo di sfruttare semplici errori di
configurazione nell'UEFI o nel BIOS.
Andando avanti dobbiamo essere iper-consapevoli dei componenti situati al di
sotto del sistema operativo e del modo in cui possono essere sfruttati per un
attacco. I mezzi di controllo disponibili per gli attacchi al di sotto del sistema
operativo comprendono strumenti come CHIPSEC e tecnologie come Intel Kernel
Guard Technology (iKGT) e Intel BIOS Guard.
Jim Walter
Il ransomware
Nel 2016 il ransomware resterà una minaccia importante e in rapida crescita.
Con nuove varianti in arrivo e grazie al successo del modello commerciale di
"ransomware come servizio", prevediamo che la sua crescita iniziata nel terzo
trimestre del 2014 continuerà anche nel 2016.
Nel 2015 abbiamo visto il ransomware come servizio ospitato dalla rete Tor, con
l'utilizzo delle valute virtuali per i pagamenti. Nel 2016 ci aspettiamo un'ulteriore
sviluppo, dato che i criminali informatici inesperti avranno accesso a tale servizio
restando relativamente anonimi.
Anche se sono poche le famiglie di ransomware – fra cui CryptoWall 3, CTB-Locker
e CryptoLocker – che dominano il panorama, prevediamo l'emergere di varianti
di queste e altre famiglie, con nuove funzionalità di occultamento. Per esempio,
le nuove varianti possono cominciare a crittografare i dati in maniera silente.
I file cifrati vengono sottoposti a backup finché l'aggressore non toglie la chiave,
con la conseguenza di avere dei file crittografati sia nel sistema che nel backup.
Altre varianti potrebbero usare i componenti del kernel per agganciarsi al file
system e cifrare i file istantaneamente, quando l'utente vi accede.
Nuovi esempi di famiglie di ransomware
25.000
20.000
15.000
10.000
5.000
0
4° T
2013
1° T
CTB-Locker
2° T
2014
3° T
CryptoWall
4° T
1° T
Teerac
2° T
2015
3° T
CryptoLocker
I gruppi dietro la maggior parte delle attuali campagne di ransomware sono alla
ricerca di rapidi guadagni, perciò usano le campagne di spam e i kit di exploit, come
Angler, per colpire i Paesi ricchi, nei quali la gente può permettersi di pagare un
riscatto. Mentre ci aspettiamo che tale tendenza prosegua nel 2016, prevediamo
altresì un nuovo bersagliamento di alcuni settori come la finanza e gli enti pubblici
locali, che pagheranno velocemente i riscatti pur di far ripartire le proprie essenziali
attività. Anzi, già abbiamo visto dei criminali piuttosto efficienti nell'attaccare questi
settori. Di solito vengono presi di mira solo i file di Microsoft Office, i file Adobe PDF
e i file grafici, ma nel 2016 ci aspettiamo che si aggiungeranno altre estensioni
comuni negli ambienti aziendali. Gli attacchi a Microsoft Windows continueranno
nel 2016, ma ci aspettiamo che il ransomware cominci a colpire anche Mac OS X,
grazie alla sua crescente diffusione.
Nel rapporto 2015 abbiamo fatto delle previsioni sul fatto che il ransomware
avrebbe preso di mira il cloud e i dispositivi mobili, ma di fatto abbiamo visto
ancora pochi tentativi in queste aree. Nonostante il fatto che nei telefoni cellulari
vengano memorizzati file personali, è abbastanza facile ripristinare i file cifrati
o danneggiati tramite il servizio cloud del fornitore dell'applicazione o un
backup locale.
Christiaan Beek
Le vulnerabilità
Le vulnerabilità delle applicazioni sono un problema continuo per gli sviluppatori
di software e i loro clienti. Adobe Flash è forse il prodotto attaccato più di
frequente: le vulnerabilità di Flash, fra cui CVE-2015-0311 e CVE-2015-0313,
hanno costituito quasi un terzo di tutti gli attacchi zero-day scoperti dalle aziende
della sicurezza nel biennio 2014-2015. Nonostante la notorietà di Flash, Adobe
è comunque in grado di ripararne velocemente le falle. Prevediamo inoltre che la
popolarità di questo vettore di attacchi (soprattutto quelli istigati dai kit di exploit)
calerà nel prossimo anno, grazie alle funzioni di mitigazione introdotte di recente
da una patch di Flash Player.
Tali funzioni neutralizzano il metodo di sfruttamento "vector spray" aumentando la
sicurezza di Flash e rendendone più difficile la violazione. Ma nessuna prevenzione
o mitigazione è perfetta. Dato che la qualità del codice e la complessità di Flash
non sono cambiate, le vulnerabilità ancora presenti sono molte. Nel prossimo
anno ci aspettiamo di vedere alcuni proof of concept che riusciranno a bypassare
la mitigazione.
Alcuni sviluppatori hanno pensato all'HTML5 per sostituire Flash, mentre Google
Chrome presto lo penalizzerà. Ma qualsiasi transizione sarà lenta. Internet
è pieno di vecchi contenuti Flash, almeno per i desktop (anche se non per
i dispositivi mobili), e non riteniamo che la situazione cambi presto.
Attacchi Zero-Day per applicazione vulnerabile, 2014–2015
Adobe Flash
Adobe Reader
12%
2%
6%
34%
Microsoft Internet
Explorer
Microsoft Office
Componente/Kernel
del sistema operativo
Windows
16%
6%
6%
18%
Oracle Java
Sistema operativo
non Windows
Altri
Le vulnerabilità di Internet Explorer sono meno comuni oggi rispetto ad alcuni
anni fa, anche se occasionalmente vediamo in circolazione degli exploit come
CVE-2015-2425 e CVE-2014-1815. Tale declino è principalmente dovuto alle
recenti mitigazioni che hanno aumentato il costo delle violazioni. Nel 2016 non
prevediamo un grosso cambiamento al riguardo. D'altro canto, anche se Microsoft
continua ad aggiungere nuove difese a IE (modalità protetta potenziata, Virtual
Table Guard, Control Flow Guard, heap isolato, protezione della memoria ecc.),
gli autori degli attacchi trovano spesso il modo di eluderle. I trucchi per bypassare
queste funzioni vengono costantemente rivelati. Di conseguenza, è solo una
questione di tempo prima di vedere gli attacchi zero-day bypassare le ultime
protezioni di Internet Explorer.
E per quanto riguarda Edge, il nuovo browser di Microsoft incluso in Windows 10?
Con la sua ampliata superficie di attacco (perché supporta i nuovi standard
del web) e le migliori funzioni di prevenzione (come il Garbage Collector della
memoria), prevediamo un interessante confronto in questa arena. Edge sarà
vulnerabile come lo era IE? Pensiamo che delle vulnerabilità verranno scovate
anche in Edge, ma che saranno più difficili da sfruttare.
Gli exploit di Java, PDF e Office hanno avuto un notevole declino. Nei due
anni passati abbiamo osservato in circolazione un solo zero day per Java
(CVE‑2015‑2590). Questa scarsità è attribuibile principalmente ai miglioramenti
della sicurezza nelle ultime versioni di Java Runtime Environment.
Il numero di attacchi zero-day basati su Office negli ultimi anni non è stato ingente;
tuttavia, questo genere di attacchi costituisce un serio pericolo per gli ambienti
informatici delle imprese. Alla conferenza Black Hat USA 2015 abbiamo presentato
la nostra ricerca sulla sicurezza del collegamento ed incorporamento di oggetti
(Object Linking and Embedding, OLE), un'importante funzione dei documenti di
Office. Abbiamo riscontrato che l'OLE ha una superficie di attacco molto estesa,
pertanto ci aspettiamo che continuerà ad essere preso di mira. Gli attuali metodi
di rilevamento e protezione per gli attacchi alle vulnerabilità basate su Office non
sono ancora abbastanza efficaci (per esempio, i documenti Office crittografati
possono essere usati per eludere il rilevamento). Di conseguenza, nel prossimo
anno prevediamo l'aumento degli attacchi basati su Office.
In particolare, ci aspettiamo di vedere gli exploit delle nuove vulnerabilità scoperte
nelle aree oltre Windows. Sempre di più, i bersagli delle minacce avanzate e degli
attacchi zero-day saranno i sistemi integrati, l'Internet degli Oggetti e il software
delle infrastrutture. I bersagli comprenderanno le varianti di Unix, le piattaforme
smartphone più diffuse, i sistemi specifici dell'IoT (come Tizen e Project Brillo),
oltre ai componenti e alle librerie fondamentali (Glibc, OpenSSL ecc.). Nello
specifico, le librerie e i componenti di più ampio utilizzo, soprattutto i framework
open source, non sono così sicuri come dovrebbero essere. Se guardiamo agli
attacchi zero-day critici degli ultimi due anni, notiamo che molti di essi sono
legati alle vulnerabilità del software open source, come CVE-2015‑0235 (GHOST)
e i problemi di OpenSSL (CVE-2015-1793, CVE‑2014‑3566 e CVE‑2014‑0160).
Prevediamo che nel 2016 questi bersagli diversi da Windows saranno
molto colpiti.
Bing Sun e Haifei Li
I sistemi di pagamento
Una volta fare la spesa era semplicissimo: per comprare qualcosa bastava avere
dei contanti in tasca. Oggi invece il numero di metodi di pagamento alternativi
è vertiginoso: Bitcoins, ApplePay, carte di credito e debito, fino ai servizi di
pagamento online. Nel rapporto del 2013 Digital Laundry: An analysis of online
currencies, and their uses in cybercrime (Riciclaggio digitale: un'analisi delle
valute online e del loro uso nel cybercrime), abbiamo trattato le principali valute
elettroniche e virtuali di quel periodo. Secondo Wikipedia oggi esistono più di
740 criptovalute! Wikipedia inoltre conta oltre 60 servizi di pagamento online.
Sulle transazioni eseguite con le carte di credito e di debito poniamo particolare
attenzione, per quanto riguarda la sicurezza, perché la maggior parte delle
transazioni digitali usa tali forme di pagamento. Tuttavia, con la crescita dei
metodi di pagamento alternativi, il numero di superfici di attacco si è moltiplicato,
offrendo ai ladri informatici molti più bersagli fra cui scegliere.
Nei metodi di attacco associati alle carte di credito e di debito vediamo poca
innovazione. La maggior parte dei furti delle carte avviene nello stesso modo da
10 anni, puntando ai meccanismi di pagamento o ai database contenenti i dati.
Una volta ottenuti, i dati delle carte vengono rivenduti il più in fretta possibile per
intascare il profitto.
Ora però le regole del gioco stanno cambiando. Data la pletora dei metodi
di pagamento, la maggior parte dei quali richiede nomi utente e password,
le credenziali sono diventate molto preziose. Per sottrarle, i criminali informatici
stanno puntando direttamente ai consumatori, che sono sia la fonte delle
credenziali che l'anello debole della catena di pagamento.
Per il 2016 prevediamo che, per i sistemi di pagamento, i criminali informatici si
concentreranno sempre più sugli attacchi finalizzati al furto e alla vendita delle
credenziali. Riteniamo che faranno uso di meccanismi tradizionali e collaudati,
come gli attacchi di phishing e i keystroke logger (che registrano le battute sulla
tastiera), ma emergeranno anche nuovi metodi. Prevediamo inoltre che il numero
di furti dei sistemi di pagamento continuerà la sua crescita irresistibile.
Raj Samani
Gli attacchi tramite i sistemi dei dipendenti
La frequenza degli attacchi di alto profilo continua ad aumentare. Quest'anno
abbiamo visto gravi attacchi a grandi aziende, agenzie governative e persino a siti
di incontri online (Ashley Madison). E non parliamo più di semplici home page
sfigurate. Solo quest'anno sono stati rubati i dati personali di milioni di persone,
comprendenti carte di credito, codici fiscali e indirizzi. Purtroppo, temiamo che
questa tendenza continuerà.
Le violazioni degli ultimi anni hanno reso la sicurezza un argomento
comunemente discusso nelle riunioni dei consigli di amministrazione e di certo
non è un tema che si possa accantonare facilmente. Ora vediamo un aumento
della spesa in sicurezza. Purtroppo, anche se gran parte di questo denaro
non viene forse speso nella maniera più efficiente, per la maggior parte delle
aziende l'investimento complessivo in sicurezza crescerà. Le aziende più accorte
punteranno non solo sulla tecnologia, ma anche su formazione, sensibilizzazione
e sul personale.
Cosa implica per gli autori degli attacchi? Se un'organizzazione ha adottato
la tecnologia più recente, con persone intelligenti che creano policy efficaci
e restano vigili, i malintenzionati hanno poche opzioni. Cionondimeno:
■■
■■
■■
Saranno più aggressivi. Nessuna protezione è sicura al 100%. Se degli
intrusi vogliono davvero i tuoi dati, li otterranno. Occorrono solo
tempo e impegno, che però aumentano quasi esponenzialmente
quando persone intelligenti e buona tecnologia sono in essere.
Perseguiteranno qualcun altro. Le organizzazioni che hanno speso
i soldi in modo inefficiente (magari acquistando l'ultima tecnologia,
ma senza contare il personale aggiuntivo necessario), continueranno
a essere bersagli (relativamente) facili per i pirati informatici.
Attaccheranno i dipendenti quando sono a casa o in viaggio. Se gli
autori degli attacchi desiderano veramente i tuoi dati, ma si ritrovano
bloccati a ogni tentativo sferrato contro il centro dati aziendale,
il successivo bersaglio logico sono i sistemi domestici dei dipendenti.
L'infiltrazione in un'azienda tramite i dipendenti che si trovano fuori della rete
protetta non è una novità. Uno dei primi esempi molto visibili (Operazione
Aurora) ebbe luogo nel 2009. Da allora si sono verificate molte altre violazioni
delle reti aziendali, in seguito alla violazione di un portatile connesso da un bar
o un albergo o di un sistema personale nell'abitazione di un dipendente.
Le ricerche indicano che il numero di attacchi continua a crescere. Il prossimo
anno dovremo aspettarci almeno uno, se non più, attacchi gravi che partono da
un sistema di proprietà di un dipendente o da un sistema aziendale situato in un
luogo non protetto, come un albergo o un bar. Dato che la recente vulnerabilità
Stagefright ha messo in luce alcune aree di potenziale sfruttamento, dobbiamo
aspettarci che anche i dispositivi Android fungeranno da gateway di accesso negli
ambienti protetti per il malware o le minacce avanzate persistenti.
Questa minaccia dovrebbe spingere le organizzazioni IT a riflettere attentamente
su cosa significa essere protetti. Non basta preoccuparsi della sicurezza solo
nella rete della propria azienda. Le organizzazioni accorte la espandono fino
a includere le abitazioni dei propri dipendenti.
Attualmente la maggior parte delle aziende dota i dipendenti di un software
VPN per farli collegare in modo sicuro alla rete. Questo è un ottimo modo per
assicurare la sicurezza delle comunicazioni fra il sistema di lavoro del dipendente
all'ufficio. Tuttavia, la maggior parte delle persone accede a Internet da svariati
dispositivi. Anche se un portatile aziendale è sicuro, chi può sapere che tipo di
protezione utilizza un dipendente nel proprio sistema domestico? Per proteggere
le proprie infrastrutture la maggior parte delle organizzazioni impiega firewall,
gateway web e di posta, IPS e altre tecnologie, tuttavia molti utenti domestici
possiedono a malapena un antimalware, mentre generalmente non hanno né
un firewall né un gateway. Queste omissioni nelle abitazioni dei dipendenti
spalancano la porta agli attacchi diretti ai loro datori di lavoro.
Nel prossimo anno o giù di lì, vedremo le organizzazioni fornire ai dipendenti
tecnologie di sicurezza più avanzate, da installare nei sistemi personali.
Ciò agevolerà la protezione contro le minacce che si infiltrano tramite le reti
sociali e lo spear phishing.
Bruce Snell
I servizi nel cloud
I servizi nel cloud per le aziende sono diventati ubiqui. Le imprese hanno
abbracciato la collaborazione nel cloud per la comodità della teleconferenza,
l'archiviazione dati dal costo conveniente e per la possibilità di connettersi con
chiunque, in qualunque momento. L'adozione dei servizi e dell'archiviazione nel
cloud è pervasiva, nel nostro sempre più connesso ambiente lavorativo globale.
La quantità di dati aziendali riservati, condivisi su questi servizi e piattaforme
è allarmante: strategie, portafogli prodotti, prossime innovazioni, dati finanziari,
acquisizioni e dismissioni, dati dei dipendenti e molto altro.
Dato che i servizi nel cloud come questi, contengono spesso dei segreti
commerciali o vengono usati per comunicarli, attirano criminali informatici,
concorrenti e Stati che desiderano sottrarre tali informazioni. I clienti di tali
servizi sono nelle mani dei sistemi di controllo del provider, della cui condizione
di sicurezza sanno ben poco.
Di recente gli hacker sono penetrati nei sistemi informatici di un'importante
agenzia di stampa, sottraendo informazioni riservate che hanno usato per
scambiare azioni in modo illegale e guadagnare illecitamente milioni di dollari.
Il furto e l'esposizione dei dati sensibili dei clienti del sito di incontri online Ashley
Madison, caso trattato fra gli altri da Fortune e Krebs on Security, ha causato un
notevole imbarazzo e preoccupazione a tutte le parti coinvolte. Questa violazione
ha bypassato i punti deboli della protezione del sito.
Nel corso dell'anno abbiamo visto numerosi esempi di violazioni dei dati, che
hanno esposto i dati dei dipendenti, comprese email e salari, oltre a casi in cui
dei contenuti inediti sono stati rubati e resi pubblici. Nessuno può considerarsi
immune dagli attacchi, perfino il controverso Hacking Team ne è stato oggetto
all'inizio dell'estate.
Con o senza il consenso del reparto informatico, la maggior parte delle aziende si
avvale di servizi di collaborazione nel cloud gratuiti o a basso costo. Tuttavia, dato
che i dettagli della sicurezza spesso non vengono divulgati, il rischio di violazione
ed esposizione dei dati è ignoto. Che utilizzino la videoconferenza o la casella
vocale, piuttosto che gli strumenti di gestione progetti, i siti di archiviazione dati
o le applicazioni nel cloud, i dipendenti possono mettere a rischio le aziende
accedendo e memorizzando i dati aziendali su dei siti terzi che non offrono
adeguate garanzie sulla gestione della sicurezza. Un attacco all'infrastruttura
backend allo scopo di sottrarre informazioni o ascoltare conversazioni private,
comprese le riunioni in teleconferenza, è un'opportunità che può essere colta.
Un fornitore di servizi nel cloud deve vigilare costantemente sulle minacce
emergenti e adattare i propri controlli di sicurezza alle tecniche in evoluzione
degli hacker. La protezione dei servizi nel cloud richiede un approccio esaustivo
ai controlli di sicurezza, per comprendere le potenziali opportunità di utilizzo
dell'ingegneria sociale al fine di accedere ai dati. La protezione richiede inoltre
l'implementazione di una robusta crittografia, in modo che solo gli utenti
autorizzati accedano ai dati.
Come mostrato da questi esempi, prevediamo che criminali informatici,
concorrenti scorretti, "giustizieri" solitari e Stati nazionali attaccheranno sempre
di più le piattaforme di servizi nel cloud per violare le aziende, sottrarne i preziosi
dati riservati e usare quest'ultimi a scopo strategico, di vantaggio competitivo
o di lucro.
Jeannette Jarvis
I dispositivi indossabili
Negli ultimi due anni abbiamo osservato un'enorme crescita dell'Internet of Things
(IoT). All'inizio di tale fenomeno, l'impegno consisteva soprattutto nel rendere
"intelligenti" i dispositivi e prodotti esistenti, tramite l'integrazione di funzioni
di elaborazione e di connettività wireless. Categorie quali le smart TV e la casa
connessa sono da subito sembrate molto promettenti. Di recente abbiamo visto
il rapido aumento del numero di dispositivi indossabili, come tracciatori di attività,
smart watch e altri (mentre scrivo, indosso due di questi dispositivi).
Anche se oggi molta attenzione è rivolta all'Apple Watch, gli indossabili
continueranno a diffondersi, grazie alla robustezza del settore, guidato da nomi
ben noti come Fitbit e Pebble. Sia tali aziende consolidate sia quelle emergenti
contribuiranno ai 780 milioni di dispositivi indossabili stimati entro il 2019 da ABI
Research, il che significa che verranno indossati da uno ogni 10 abitanti della Terra.
Se consideriamo un minor numero nei Paesi in via di sviluppo, tale statistica è forse
più vicina a una persona ogni quattro o cinque nei Paesi sviluppati.
Dal punto di vista di un hacker, le aree densamente popolate saranno ambienti
ricchi di bersagli da attaccare. La violazione di un dispositivo indossabile non
comporta necessariamente un guadagno immediato per un hacker (anche se la
raccolta di dati GPS potrebbe favorire lo spear phishing), ciononostante il vero
valore è racchiuso nella connessione dell'indossabile a uno smartphone.
La maggior parte ddei dispositivi indossabili raccoglie una gran quantità di semplici
dati, che invia a un'applicazione in uno smartphone o tablet per l'elaborazione.
Molti di questi dispositivi usano la tecnologia Bluetooth LE (low energy, bassa
energia), che è stata interessata da numerose e ben documentate falle nella
sicurezza e che probabilmente ne produrrà di altre con ogni nuova versione (Mike
Ryan ha svolto delle ottime ricerche in proposito). L'anello debole è il Bluetooth.
Superfici di attacco "indossabili"
■
Kernel del sistema operativo
■
Software di rete/WiFi
■
Interfaccia utente
■
Memoria
■
File e sistema di storage locali
■
Software controllo accessi/sicurezza
■
Computer virtuale cloud e app di controllo
■
App web
■
Memoria
■
File e sistema di storage locali
■
Software controllo accessi/sicurezza
Il codice scritto male apre una porta sul retro del tuo smartphone. Inizialmente,
dubitiamo che uno smartphone venga completamente compromesso da un
attacco compiuto tramite un dispositivo indossabile, ma entro 12-18 mesi ci
aspettiamo che le app di controllo degli indossabili vengano compromesse in un
modo tale da fornire dati preziosi per gli attacchi di spear phishing.
Uno scenario potenziale è quello dei dati GPS raccolti da un'app per la corsa,
collegata a un tracciatore dell'attività fisica. L'autore dello spear phishing potrebbe
usare tali dati per fabbricare un'email tale da indurti ad aprirla. Se dopo la corsa ti
fermi in un bar, grazie ai dati GPS un aggressore potrebbe inviarti un'email dicendo
"Credo che stamattina sei passato al bar" e poi includere il collegamento a un file
immagine infetto.
Gli indossabili sono ottimi per motivare le persone a interagire di più con il
mondo circostante, anziché guardare solo al telefono o al computer portatile,
tuttavia più persone li usano e più aumenta il rischio per la sicurezza informatica
posto dagli stessi dispositivi.
Bruce Snell
Le automobili
Gli attacchi ai sistemi delle automobili aumenteranno velocemente nel 2016
a causa del rapido aumento dell'hardware connesso, che viene incorporato
nelle auto senza i basilari principi di sicurezza. Ogni autovettura necessita di una
difesa approfondita, con livelli di protezione che riducano il rischio e l'impatto
di un attacco informatico. Le auto senza conducente e le autostrade intelligenti,
se scarsamente protette, esporranno ulteriormente gli automobilisti e i loro
passeggeri nel 2017 e oltre, con la possibile perdita di vite umane.
Secondo il "Rapporto sulle auto connesse" di Business Insider, entro il 2020 le
strade saranno percorse da 220 milioni di auto connesse. Il portale di analisi
Statista, citando un rapporto McKinsey, prevede che entro il 2016 sarà connesso
a Internet il 12% delle auto. Inoltre i consumatori desiderano: poter navigare
su Internet da un monitor nell'auto (57%), l'identificazione automatica di
segnaletica, ingorghi e incidenti (52%), un sistema che permetta al passeggero di
fermare l'auto (51%), allarmi anticollisione anteriori e posteriori (45%), la visione
notturna (42%), un dispositivo di avviso anti-stanchezza (41%) e l'accesso
ai media sociali dall'auto (40%). Tutte queste funzionalità richiedono che il
software e l'hardware dell'automobile si connettano ai sistemi esterni in maniera
sicura per evitare azioni indesiderate o non autorizzate che potrebbero mettere
a rischio i passeggeri.
Superfici di attacco di un'automobile
Centralina di
controllo airbag
Smartphone
App collegamento
remoto
OBD ||
USB
Ricevitore
DSRC -Based (V2X)
Bluetooth
Chiave remota
Accesso passivo
senza chiave
Centralina
Centralina
di controllo
Sistema di
di controllo
sistema
sistema ADAS monitoraggio
accesso
della
Centralina di
al veicolo
Centralina di
pressione
Centralina controllo motore controllo sistema
degli
di controllo e trasmissione
illuminazione
pneumatici
sterzo
(interno ed esterno)
e freni
Quindici delle superfici di attacco più esposte e più violabili, comprese svariate centraline
elettroniche, in un'auto di nuova generazione.
Secondo il report di Intel Security Automotive Security Best Practices (Le migliori
pratiche di sicurezza nel settore automobilistico) l'unificazione e interconnessione
dei sistemi veicolari richiede di progettare la sicurezza in modo che includa
funzioni quali "avvio protetto, ambienti di esecuzione affidabili, protezione antimanomissione, isolamento dei sistemi critici per l'incolumità, autenticazione dei
messaggi, crittografia della rete, privacy dei dati, monitoraggio comportamentale,
rilevamento delle anomalie e informazioni condivise sulle minacce". Attualmente
molte auto connesse mancano di alcune o della maggior parte di tali funzioni di
sicurezza. Ad agosto alcuni ricercatori hanno dimostrato che è possibile infiltrarsi
in diversi tipi di auto connesse, compresa una Jeep Cherokee, inviando dei
comandi tramite il sistema di intrattenimento della Jeep alle funzioni del quadro
di controllo, al volante, ai freni e alla trasmissione, il tutto usando un computer
portatile remoto.
Anche nei sistemi progettati per essere sicuri, c'è sempre la possibilità che un bug
o una vulnerabilità vengano scoperti, pertanto dev'esserci un modo per aggiornare
il software facilmente e in remoto al fine di risolvere il problema. A quanto sembra
gli aggiornamenti non sono possibili in determinati modelli di Cherokee, oltre che
nelle vetture Dodge e Chrysler, dato che la casa madre ha emesso un richiamo di
sicurezza per 1,4 milioni di veicoli negli Stati Uniti, dopo la divulgazione pubblica
di una ricerca. L'unica casa automobilistica capace di aggiornare il software in
remoto è Tesla, che ha inviato una patch dopo la divulgazione di una vulnerabilità
al Def Con 23.
Finora, le vulnerabilità correnti sono state responsabilmente comunicate ai
costruttori. Prevediamo che nel 2016 i ricercatori della sicurezza scopriranno
altre vulnerabilità dei sistemi automobilistici. È inoltre abbastanza possibile che
verranno scoperte vulnerabilità del giorno zero, sfruttate da criminali informatici
in circolazione che potrebbero minacciare la vita della gente, compromettere la
sicurezza stradale e bloccare i trasporti.
Alcune minacce potrebbero già essersi annidate nelle automobili. Si tratta di
minacce non legate all'incolumità, ma che invadono la privacy del proprietario
del veicolo monitorandone la posizione o ascoltando le sue conversazioni
tramite il microfono in auto o addirittura riprendendolo con le videocamere
interne. Riteniamo che il 2016 vedrà l'inizio di campagne di attacco che
potrebbero venir scoperte solo qualche mese dopo l'infezione originaria.
Carlos Castillo, Cedric Cochin e Alex Hinchliffe
I magazzini dei dati rubati
Dato che i componenti della sicurezza come firewall, gateway e prodotti per gli
endpoint funzionano bene contro i comuni attacchi negli ambienti aziendali,
gli avversari stanno cercando nuovi modi per bypassare queste tecnologie.
Un modo è tramite l'acquisizione e l'utilizzo di credenziali valide. I criminali
informatici possono ottenerle tramite le vulnerabilità oppure acquistarle sul
mercato nero.
Usando credenziali valide, gli avversari si muovono al di fuori del radar della
sicurezza perché appaiono come utenti legittimi. Spesso l'unico indizio è il loro
comportamento. È il normale comportamento dell'utente o si tratta di una
qualche deviazione? Mentre l'industria della sicurezza lavora duramente per
sviluppare capacità di rilevamento comportamentale usando i big data uniti
alle avanzate tecnologie analitiche, gli avversari stanno abusando dell'attuale
assenza del rilevamento, adattando le proprie metodologie di attacco per restare
occulti. Tale comportamento degli avversari continuerà per tutto il 2016 e oltre,
finché non sarà disponibile una tecnologia di rilevamento comportamentale che
rilevi le attività anomale.
Nel 2015 ad aziende e governi è stata rubata un'enorme quantità di dati. Alcuni
dei dati sottratti sono di valore limitato, ma altri sono probabilmente tenuti in
luoghi segreti, in attesa di essere usati in futuri attacchi. Inoltre, associando fra loro
vari insiemi di dati rubati, questi possono diventare ancora più preziosi per i pirati
informatici. Cosa succederebbe se i dati di un operatore sanitario, dei donatori di
sangue, di Madison Ashley e dell'Ufficio Statunitense di Gestione del Personale
venissero combinati e memorizzati in un archivio dati nel cloud? Tali informazioni
potrebbero condurre a ricatti, alla generazione di nuove credenziali o al furto
di identità.
Questo accumulo di dati rubati è andato avanti per qualche anno. Pensiamo
che nel 2016 si svilupperà un florido mercato nero di credenziali e informazioni
rubate che consentono l'identificazione personale. Emergeranno degli archivi
clandestini specializzati nell'offerta di dati personali rubati, credenziali
compromesse e dettagli di infrastrutture di svariate origini. I criminali informatici
che sono clienti fidati della rete illecita saranno in grado di selezionare insiemi
specifici di dati da acquistare per l'uso in successivi attacchi.
Christiaan Beek
L'integrità
Una costante della sicurezza informatica è il cambiamento. Il settore si
evolve in continuazione, seguendo le mutazioni della tecnologia, le capacità
degli aggressori, il valore dei potenziali bersagli e la rilevanza degli impatti
risultanti. Nel 2016 vedremo un'ulteriore espansione delle tattiche. Uno dei
più significativi e nuovi vettori di attacco saranno le violazioni dell'integrità di
sistemi e dati.
Gli attacchi alla riservatezza e alla disponibilità sono clamorosi, brutali e ovvi.
Violano i dispositivi, ne espongono i dati e causano imbarazzo, inconvenienti
e alcune perdite. Gli attacchi all'integrità sono furtivi, selettivi e potenzialmente
molto più devastanti. Anziché causare danni o scappare con vaste quantità di
dati sensibili, si concentrano invece sull'attenta modifica di particolari elementi
di transazioni, comunicazioni o dati, per trarne un significativo vantaggio.
In passato abbiamo osservato ciò con alcuni attacchi di elite, sponsorizzati dagli
Stati. Stuxnet e i malware di supporto Duqu, Flame e Gauss sono stati sviluppati
per colpire furtivamente specifici dispositivi e apportare piccole modifiche
alle configurazioni che comportavano un notevole impatto in un programma
nucleare nazionale. Il loro intento non era né di distruggere un computer né
di raccogliere dati in massa, ma piuttosto quello di modificare selettivamente
i sistemi di lavoro per raggiungere gli obiettivi dell'aggressore.
All'inizio del 2015 abbiamo osservato dei criminali informatici usare queste
tattiche per attaccare le banche. Carbanak era notevolmente diverso dai
precedenti malware per il banking, che si concentravano sulla sottrazione
di dati dei conti e di accesso. Carbanak ha compromesso in silenzio circa
100 banche, consentendo agli autori dell'attacco di capire come erano gestite
le operazioni interne. Il malware eseguiva una ricognizione per gli aggressori,
che a loro volta iniziavano a modificare le transazioni selezionate. Alla fine
dell'attacco solo un piccolo numero di conti era stato colpito, ma con il furto
di una cifra compresa fra i 300 milioni e il miliardo di dollari.
Vediamo che la ricerca negli attacchi all'integrità sta guadagnando terreno
e le recenti violazioni di veicoli ne sono un ottimo esempio. I ricercatori non
cercano solo di spegnere la vettura o raccoglierne i dati, ma si concentrano
sulla modifica selettiva di comunicazioni e comandi, in modo che possano
prendere il controllo o comunque influire su ciò che fa il veicolo. Ciò ha delle
conseguenze potenzialmente impressionanti.
Nel 2016 assisteremo a un attacco all'integrità nel settore finanziario, durante
il quale verranno sottratti milioni di dollari da parte di ladri informatici che
modificheranno certi dati nel flusso di transazioni, con il risultato di un
significativo reindirizzamento dei pagamenti verso conti coperti dall'anonimato.
Il rilevamento di questi e altri casi simili sarà molto difficile. Gli attacchi
all'integrità possono apparire come problemi operativi, errori di contabilità,
verifiche non riuscite, atti di un dipendente rancoroso o semplicemente errori
di distrazione. A complicare il quadro, gli strumenti, i meccanismi e i processi
attualmente disponibili e in uso sono prevalentemente ciechi a questo tipo di
attacchi, per cui l'attribuzione sarà difficile. Verranno inoltre colpiti: fatturazioni
e vendite degli esercizi commerciali; dati anagrafici pubblici come nascite
e morti; codici fiscali; conti correnti e transazioni dei Bancomat. Altri settori
seguiranno, fra i quali: cartelle cliniche, fatturazioni, gestione delle prescrizioni,
controllo dei trasporti e gestione di automobili, treni e aeroplani.
Forse uno dei vettori prevalenti per gli attacchi all'integrità è l'ascesa del
ransomware, che modifica solo pochi file. Il ransomware, una forma permanente
di attacco denial-of-service, lascia il sistema in funzione con tutti i dati presenti,
eccetto alcuni file che non sono più utilizzabili a causa dell'integrità compromessa.
Gli autori dell'attacco chiedono poi un riscatto per ripristinare l'integrità originale.
Anche questo vettore di attacco crescerà in modo significativo nel 2016.
Matthew Rosenquist
Lo spionaggio informatico
L'anno scorso McAfee Labs previde che nel 2015 gli attacchi di spionaggio
informatico sarebbero diventati più frequenti e più occulti. Mentre scriviamo,
non sappiamo ancora si supereranno i 548 casi segnalati nel 2014 dal Report
investigativo Verizon sulla violazione di dati. Sappiamo però che gli attacchi di
spionaggio sono diventati più furtivi e che hanno un impatto maggiore rispetto
alle violazioni precedenti.
In un esempio significativo, descritto nel post Stealthy Cyberespionage
Campaign Attacks With Social Engineering (Gli attacchi di spionaggio informatico
occulto con il social engineering) del nostro blog, l'attore della minaccia ha
usato una sofisticata campagna di spear phishing per violare alcuni obiettivi dei
settori difesa, aerospaziale e legale, minimizzando la sua presenza grazie alla
sola esecuzione di JavaScript. Poi ha creato dei profili dei sistemi violati e li ha
trasferiti ai server di controllo.
In un altro esempio, uno Stato è riuscito a penetrare i sistemi del settore energetico
di un altro Paese, inserendovi (fra le altre cose) dei cancellatori del record di avvio
per disattivare o distruggere i sistemi e le reti dell'avversario. Anche in questo caso
il vettore iniziale dell'attacco sembra essere stato lo spear phishing.
E, ovviamente, la violazione e il furto di circa 20 milioni di accertamenti sui
precedenti penali, subito dall'Ufficio Statunitense di Gestione del Personale,
è un'illustrazione molto chiara del sempre maggiore impatto delle attività di
spionaggio informatico.
Nel 2016 assisteremo ad altri casi simili. Gli attori delle minacce useranno alcune
delle seguenti specifiche tecniche:
■■
■■
■■
Nelle prossime campagne di spionaggio informatico, certi servizi
legittimi come l'hosting di file nel cloud (Dropbox, Box e Stream
Nation), verranno usati come server di controllo. Gli attori delle
minacce si avvarranno di servizi leciti per passare inosservati
e vanificare gli sforzi dei ricercatori per dirottarne le risorse. Questi
servizi di archiviazione nel cloud consentiranno al malware di inviare
e ricevere comandi senza destare sospetti, oltre che di eludere le
difese del gateway per il fatto di sembrare associati al traffico valido,
allungando così la durata della campagna.
Nelle campagne di spionaggio informatico avrà ancora maggior peso
l'utilizzo della rete Tor per rendere anonime le connessioni ai server di
controllo. Quest'ultimi verranno ospitati nella rete Tor, permettendo al
malware di connettersi senza neanche la necessità di un browser Tor
installato nel computer della vittima.
In passato gli attori delle minacce hanno sfruttato varie vulnerabilità
nei documenti Microsoft. Nel 2016, oltre ai .ppt, .doc e .xls
cominceremo a vedere l'uso di altri formati.
Ryan Sherstobitoff
Il concetto di attivismo informatico non è nuovo. Sulla spinta di una ben definita
motivazione politica o sociale, un gruppo di attivisti molto preparati attacca
un'entità nota e ne usa la piattaforma per farsi sentire. Da oltre 20 anni gli
attivisti informatici riescono a fare notizia, costruendo un vero e proprio "brand".
Anonymous è forse il gruppo più noto, ma ce ne sono molti altri.
Fonte: "Anonymous at Scientology in Los Angeles" (Anonymous da Scientology a Los Angeles) di Vincent Diamante.
Pubblicato inizialmente su Flickr come Anonymous at Scientology in Los Angeles.
Concesso in licenza secondo CC BY-SA 2.0 via Commons—https://commons.wikimedia.org/wiki/File:Anonymous_at_
Scientology_in_Los_Angeles.jpg#/media/File:Anonymous_at_Scientology_in_Los_Angeles.jpg
Ciò che è lentamente cambiato negli ultimi anni è la facilità con la quale degli
attori non attivisti possono associare le proprie azioni a quelle dei gruppi noti,
tramite delle operazioni copia. Questa tendenza sembra offuscare l'ideologia alla
base delle vere operazioni di attivismo. La violazione di Ashley Madison, durante
la quale un gruppo sconosciuto ha divulgato i dati degli utenti con la motivazione
che i dettagli degli acquisti non erano stati rimossi come promesso, non sembra
un'azione così nobile, con un obiettivo socio-politico ben definito che è la base di
un vero attacco attivista.
In un altro caso, un gruppo auto-dichiaratosi come Anonymous, ha sferrato
l'anno scorso una serie di attacchi informatici alla polizia, ai tribunali e ad altre
istituzioni canadesi. Anonymous ha negato ogni coinvolgimento, affermando di
non approvare certe azioni compiute dagli aggressori. Per quegli attacchi non
è mai stata fornita alcuna spiegazione credibile.
È possibile che quella e altre azioni siano l'opera di attori caotici, che desiderano
semplicemente portare distruzione. Se fosse vero, staremmo entrando in un
mondo di vandalismo su scala industriale. È anche possibile però che la vera
motivazione sia il classico crimine informatico aziendale, che semplicemente usa
l'attivismo informatico come maschera. Oppure potrebbe trattarsi di operazioni
"sotto falsa bandiera", come dichiarato da Anonymous nel caso dell'attacco
in Canada. Quali che siano le motivazioni di questi attacchi, la realtà è che le
organizzazioni vittima subiranno perdite finanziarie importanti.
Nel 2016 prevediamo che l'attivismo informatico vero e proprio continuerà, ma
che forse sarà di portata più limitata rispetto al passato. Molti attivisti impegnati
nel promuovere delle cause sono stati arrestati, processati e incarcerati. Ciò che
probabilmente aumenterà, comunque, sono gli attacchi apparentemente ispirati
dall'attivismo informatico ma in realtà con motivazioni molto diverse e difficili
da scoprire. La realtà è che il moderno attivismo informatico non è altro che un
copia e incolla e, come abbiamo visto, i nostri tentativi di dissipare la nebbia che
lo avvolge saranno difficili come mai prima d'ora.
Raj Samani
Se dobbiamo credere ai comunicati stampa di certi produttori di soluzioni di
sicurezza, il futuro è diventato notevolmente più incerto, a causa degli attacchi
mirati alle nostre infrastrutture critiche. Molti di questi clamorosi rapporti
sono usciti dopo l'attacco del 2010 compiuto da Stuxnet, che ha provocato dei
significativi danni fisici. Sono però passati alcuni anni prima che il successo di un
secondo attacco a un'infrastruttura essenziale facesse di nuovo notizia. Con solo
due casi riconosciuti pubblicamente dal 2009 in qua, la nostra previsione 2016
per gli attacchi alle infrastrutture critiche è che saranno pochi eventi ma di
grande impatto.
Ciò detto, stiamo assistendo alla sempre maggiore connessione del mondo,
dai giacimenti petroliferi digitali agli impianti di trattamento delle acque, con le
relative attività che vengono ospitate nel cloud pubblico. La natura "isolata" di tali
tecnologie operative semplicemente non esiste più, come spiegato da una ricerca
che ha gettato luce sui dispositivi connessi a Internet delle infrastrutture critiche.
Il fatto che alcuni di essi usino, per la protezione, delle semplici credenziali di
accesso predefinite, dovrebbe farci preoccupare. Sena contare poi la tendenza
emergente dei criminali che rivendono l'accesso diretto ai sistemi delle
infrastrutture. La dura realtà è che il numero di vulnerabilità nelle infrastrutture
critiche sta aumentando.
È forse questa escalation delle vulnerabilità che ha indotto il 48% degli intervistati,
esponenti delle organizzazioni che gestiscono le infrastrutture, a ritenere probabile
o estremamente probabile che nei prossimi tre anni un attacco informatico possa
disattivare un'infrastruttura essenziale e causare la perdita di vite umane. Tale cupa
previsione è preoccupante e, anche senza sopravvalutare la minaccia, dobbiamo
riconoscere che l'ampliamento della superficie di attacco comporta una maggiore
esposizione a tali attacchi.
L'interruzione di un servizio essenziale può anche non essere l'unico obiettivo.
L'attacco Dragonfly del 2014 alle compagnie energetiche mostra che
l'interruzione della disponibilità non era l'intento a breve termine dei criminali.
In quel caso, il loro obiettivo è sembrato essere lo spionaggio e la persistenza
dell'accesso.
Gli attacchi alle infrastrutture critiche sono meno attraenti per i ladri informatici,
ma attirano di più gli Stati. Il panorama dei criminali informatici è interamente
concentrato sul fare soldi. A parte gli esempi di ricatto degli operatori o la vendita
delle credenziali di accesso per le infrastrutture critiche, l'investimento compiuto
dai criminali frutta di più quando prendono di mira altri settori. Il risultato è che
il volume di attacchi alle infrastrutture critiche è e resterà molto minore di quello
verso altri obiettivi. Fra gli aggressori esistono molti più ladri informatici che
Stati nazionali.
Nel 2016 e oltre, il crescente numero di vulnerabilità nelle infrastrutture critiche
sarà una questione preoccupante. Gli attacchi a questi bersagli, quando riescono,
hanno un enorme impatto negativo sulla società. Tuttavia molti malintenzionati
fanno così tanti soldi altrove, che tali attacchi proverranno più probabilmente
dagli Stati nazionali, molto selettivi e strategici nelle loro azioni.
Raj Samani
La condivisione delle informazioni
sulle minacce
Durante il Vertice della Casa Bianca su Sicurezza Informatica e Protezione del
Consumatore, svoltosi a febbraio presso l'Università di Stanford, il presidente
Obama ha annunciato un nuovo impegno del Governo per la condivisione delle
informazioni sulle minacce fra le agenzie governative, in modo che possano
rilevare e agire più rapidamente contro di esse. Obama ha firmato un decreto
per promuovere ancora di più la condivisione delle informazioni sulle minacce
informatiche fra il settore pubblico e quello privato.
La sua iniziativa ha costituito un indicatore precoce del fatto che la condivisione
delle informazioni è fondamentale per la sicurezza nazionale. Anche se si tratta
di un passo nella giusta direzione, serve molto di più se si vuole proteggere
la sicurezza nazionale e la proprietà intellettuale delle imprese, tutelando
contemporaneamente la privacy dei cittadini. Le informazioni sulle minacce
informatiche sono costituite da informazioni selezionate, riguardanti un attacco
o un avversario, che possono essere distribuite allo scopo di potenziare le difese.
Comprendono tipicamente il contesto, gli indicatori di compromissione (IoC)
e le iniziative da prendere. L'intelligence condivisa sulle minacce consente ad
aziende e governi di combinare le prove interne con le informazioni esterne per
individuare meglio gli attacchi e reagire di conseguenza.
Intel Security è uno dei quattro membri fondatori della Cyber Threat Alliance,
nata con lo scopo di automatizzare e rendere efficiente questa condivisione
nell'ambito di una comunità fidata di attori del settore. I membri della Cyber
Threat Alliance condividono gli IoC e altre informazioni che si concentrano sugli
aspetti complessi e sottili degli attacchi informatici attivi, fornendo una visibilità
tempestiva sull'attività e le tecniche utilizzate.
La condivisione dell'intelligence e la collaborazione sono fondamentali per
combattere rapidamente gli atteggiamenti aggressivi degli avversari, sia che
prendano di mira un'infrastruttura essenziale, la proprietà intellettuale di
un'azienda oppure i dati personali di un individuo. Sfruttando l'esperienza
dei suoi membri, la Cyber Threat Alliance ci aiuterà a rispondere in modo più
intelligente ai complessi attacchi multidimensionali.
Nel 2016 la Cyber Threat Alliance adotterà lo standard STIX/TAXII per la
condivisione delle informazioni sulle minacce, il che accorcerà i tempi di risposta
e correzione di tutti i membri dell'alleanza. La Cyber Threat Alliance è una di
molte cooperazioni analoghe nel settore, che si trovano in varie fasi di maturità
ma che perseguono gli stessi obiettivi. Nel 2016 si cominceranno ad avere i primi
risultati, così clienti e governi potranno capire meglio se queste collaborazioni
possono migliorare la protezione.
Non è altrettanto chiaro se nel 2016 prenderà il via la condivisione sistematica
delle informazioni sulle minacce fra industria e governo. Forse vedremo delle
iniziative legislative per ridurre le potenziali responsabilità legali delle imprese
e quindi abilitarle maggiormente alla condivisione. Ma se tali leggi verranno
applicate, vedremo indubbiamente dei ricorsi in merito.
Il Dipartimento per la Sicurezza Interna ha di recente concesso un incentivo
all'Università del Texas di San Antonio per lavorare con le organizzazioni
di condivisione delle informazioni sulle minacce e con gli operatori delle
infrastrutture critiche, le agenzie federali e i settori pubblico e privato,
per sviluppare delle indicazioni finalizzate alla rapidità della condivisione.
Di conseguenza, nel 2016 assisteremo a un'accelerazione nello sviluppo delle
pratiche migliori e più adatte alle esigenze dell'industria, per condividere le
informazioni sulle minacce emergenti.
Jeannette Jarvis
Informazioni su McAfee Labs
Segui McAfee Labs
McAfee Labs è una delle principali fonti mondiali per la ricerca sulle minacce,
informazioni sulle minacce e leadership strategica sulla sicurezza informatica.
Grazie ai dati raccolti da milioni di sensori su tutti i principali vettori di minacce
– file, web, messaggi e rete – McAfee Labs offre informazioni sulle minacce in
tempo reale, analisi critica e valutazioni di esperti per migliorare la protezione
e ridurre i rischi.
www.mcafee.com/it/mcafee-labs.aspx
A proposito di Intel Security
McAfee è ora parte di Intel Security. Con la propria strategia Security Connected,
l’approccio innovativo alla sicurezza potenziata dall’hardware e l’ineguagliato
servizio Global Threat Intelligence, Intel Security è impegnata senza sosta nello
sviluppo di soluzioni e servizi di sicurezza proattiva comprovati che proteggono
sistemi, reti e dispositivi portatili per l’utilizzo aziendale e personale a livello
mondiale. Intel Security combina l’esperienza e la competenza di McAfee con
l’innovazione e le prestazioni comprovate di Intel per rendere la sicurezza un
ingrediente essenziale di ogni architettura e di ogni piattaforma di elaborazione.
La missione di Intel Security è di assicurare a chiunque la tranquillità di vivere
e lavorare in modo sicuro e protetto nel mondo digitale.
www.intelsecurity.com
McAfee. Part of Intel Security.
Via Fantoli, 7
20138 Milano
Italia
(+39) 02 554171
www.intelsecurity.com
Le informazioni contenute nel presente documento sono fornite solo a scopo didattico e destinate ai clienti McAfee.
Le informazioni qui contenute sono soggette a modifica senza preavviso e vengono fornite "come sono" senza garanzia
o assicurazione relativamente all'accuratezza o all'applicabilità delle informazioni a situazioni o a circostanze specifiche.
Intel e i loghi Intel e McAfee sono marchi registrati di Intel Corporation o McAfee, Inc. negli Stati Uniti e/o in altri Paesi.
Altri marchi e denominazioni potrebbero essere rivendicati come proprietà di terzi. Copyright © 2015 McAfee, Inc.
62156rpt_threats-predictions_1015

Report di Previsione sulle Minacce 2016 di McAfee Labs

Transcript

Documenti analoghi

progetti didattici - Convitto Nazionale "Regina Margherita"

Attacchi di squalo: problema reale o fenomeno

the importance of layered security_fin_ITA6

Fare e-banking è sicuro: l`importante è imparare a

McAfee AntiVirus 2010

1_Sicurezza Informatica

Equipaggiamento Moto Grand Dink 125 150 250 (00 > 07)

Equipaggiamento Moto Beverly Cruiser 250 500 (07 > 11)

Scarica la Brochure di presentazione

sicurezza informatica essenziale per le piccole e medie imprese