Stando ai dati di aprile rilasciati da Check Point Software Technologies sulla sicurezza l’Italia è stata il 35esimo paese più attaccato al mondo. Secondo la società israeliana l’Italia ha scalato la classifica dei paesi più colpiti dai malware di altre 7 posizioni, raggiungendo quota 35, ed ora è il secondo paese più colpito in Europa, dopo la Romania.
Le principali minacce in atto nel nostro Paese sono state Conficker, warm che punta a Windows; HackerDefender, un rootkit user-mode per Windows, che modifica sistemi Windows e API native e li rende introvabili dai sistemi di sicurezza e Rig EK, un exploit rilevato la prima volta nel 2014 che si diffonde con un reindirizzamento a una pagina di destinazione che contiene elementi JavaScript e che esegue un controllo di plug-in vulnerabili per diffondere l’exploit.
Intervista al presidente di Check Point, Amnon Bar-Lev
E in Italia la società israeliana è venuta a tenere il suo annuale evento europeo, CPX 2017, proprio tre giorni dopo l’attacco ransomware WannaCry. Abbiamo affrontato la questione con il presidente della società, Amnon Bar-Lev, che abbiamo intervistato a Milano.
Cosa dobbiamo imparare da WannaCry? A chi è servito? Per quale scopo?
Non riesco a trovare la vera motivazione dell’attacco, che solo apparentemente è stata economica. Diciamo che il tool che ha distribuito il malware era sì professionale. Ma il malware in sé non era un granché: una cosa già vista perfettamente dominabile. Il significato vero da cogliere è che tutti siamo vulnerabili. Piccoli e grandi, non siamo immuni. Ma la buona notizia che ne ricaviamo è che oggi non abbiamo un problema di tecnologia. Quella che serve per fare sicurezza ce l’abbiamo giá. Bisogna piuttosto organizzarsi per fare quello che si deve fare e si può.
Proteggersi significa aggiornare i sistemi, fare backup dei dati, insegnare alle persone come ci si comporta e distruggere il malware?
Tutto corretto sino a distruggere. Non si tratta di far questo, ma di attrezzarsi per prevenire. Noi siamo una società che combina la tecnologia con le best practice. Questo ci serve: fare le azioni corrette.
Nel caso di un attacco come ci si deve comportare?
Bisogna immediatamente isolare l’infezione e mettere in quarantena i device. Poi li si recupera, non c’è problema. E si deve segmentare la rete, così si riesce a contenere il fenomeno, che è l’obiettivo principale quando è in corso un attacco. Terminato il periodo caldo, bisogna attuare i controlli corretti per capire cosa è accaduto. E per prevenire futuri attacchi.
C’è un legame fra gli attacchi e la pressione economica sul business?
Si, c’è. Difficilmente si convincono i clienti ad aumentare il budget per la sicurezza, ma si puà convincerli a spendere meglio in un’infrastruttura ben concepita, che alla lunga li farà risparmiare. Si tratta di far passare il concetto di ROI della security consolidation.
Mettere in sicurezza il cloud è una missione o un’opportunità?
Entrambe le cose. Teniamo presente che molti in azienda usano il cloud in modo occulto, o quantomeno in autonomia. Ciò significa che il cloud diventa un ambiente condiviso che sta fuori dal controllo aziendale. Un dato di fatto. Per cui, per noi, mettere in sicurezza il cloud è un’opportunità e pure una mission.
Voi, come altri, delegate ai partner il lavoro di implementazione della sicurezza. Quanto accaduto con Wannacry ci dice forse che non hanno lavorato bene?
Il mondo della security è complesso. Molti partner sono focalizzati sullla prima fase della sicurezza, sul porre le basi. Non è comunque il loro lavoro capire cosa fanno gli hacker, come approfittano delle vulnerabilità oggettive, quello è il nostro lavoro. Noi dobbiamo condividere la nostra conoscenza con i partner, ma anche con i clienti. Per i partner, come per tutti è un lavoro complesso. Di loro e di quello che fanno ho rispetto.
Il lavoro del responsabile della sicurezza, che sia un CISO o un IT manager, ha riflessi anche sulla gestione aziendale?
Non facciamo la cyber security più grande di quello che è. Non mi aspetto che chi se ne occupa faccia più di quello che gli è richiesto. Deve mettere in sicurezza i sistemi, fermare le intrusioni, prevenirle, quello è il suo lavoro.
Da quali settori arrivano i vostri principali guadagni?
Il finance, che crea competenze e procedure, anche se, le dico un gran segreto: le banche non è che spendano tutti questi gran soldi. I service provider lo fanno di più. Il settore government non investe come dovrebbe. Ne consegue che abbiamo un problema, comune in tutto il mondo: proteggere le infrastrutture critiche.
Di quali competenze avete bisogno per il futuro?
Di menti lucide, creative. Scrivere codice è un lavoro da carpentiere. Abbiamo bisogno di chi risolve problemi. Deve ovviamente sapere come si fa a scrivere codice. Ma deve sostanzialmente capire come si risolvono i problemi.
Riuscirete a proteggere industry 4.0?
Oggi tutti sono connessi, ma non tutto è connesso. Proteggere Industry 4.0 non sarà un business ad usual, non lo è mai. Sarà comunque un lavoro che faremo.
Il bilancio di WannaCry
A margine del CPX 2017 di Milano l’azienda israeliana ha lanciato la mappa WannaCry Ransomware Infection Map che mostra l’entità della diffusione epidemica del ramsomware.
I ricercatori di Check Point hanno investigato nel dettaglio la campagna, a partire da quando è stata segnalata per la prima volta e sono riusciti a tracciare 34.300 tentativi di attacco in 97 Paesi. La media degli attacchi oggi è pari a un tentativo in ogni tre secondi, in calo rispetto al dato registrato qualche giorno fa quando la media era pari a un tentativo al secondo.
La nazione in cui è stato registrato il maggior numero di attacchi è l’India, seguita da USA e Russia.
