La difesa efficace dal cybercrimine

Gli attacchi esterni rimangono una delle principali cause delle violazioni dei dati, con il 92% dei casi attribuibili a soggetti esterni e il 14% a individui interni. Ecco, allora, come cautelarsi, grazie ai consigli di un esperto.

Lo scorso anno le violazioni di dati e gli attacchi di rete sono stati al centro della scena della sicurezza mondiale.
Questi eventi hanno avuto impatti a livello personale e professionale in aziende di grandi dimensioni così come in piccole imprese e organizzazioni di alto livello - pubbliche e private. Conseguentemente, molti hanno adottato la mentalità del “presumo che potrei subire una violazione”.
Ma con strategie e strumenti di sicurezza corretti, fa notare Pietro Riva, Sales Director Southern Europe di Verizon Terremark, le aziende possono essere preparate per combattere le minacce del crimine informatico in continua evoluzione, considerando questa mentalità come un retaggio del passato.

Cosa dicono i dati
La nuova edizione del Verizon Data Breach Investigations Report include 621 violazioni confermate e più di 47.000 incidenti di sicurezza segnalati.
Nei nove anni di vita dello studio, questi valori hanno totalizzato rispettivamente oltre 2.500 violazioni e 1,2 miliardi di record sottratti.
Per l'edizione 2013 Verizon ha potuto contare sul contributo di 18 organizzazioni di tutto il mondo che hanno fornito dati e analisi.
Il report di quest'anno mette in luce come lo scenario della sicurezza sia stato dominato nel 2012 dal cyber crimine finanziario e dallo spionaggio governativo.
Al primo posto tra le minacce, compare il cyber crimine mosso da ragioni economiche (75%), seguito al secondo posto da campagne di spionaggio governativo (20%).
Queste violazioni includono cyber minacce finalizzate al furto di proprietà intellettuale, quali informazioni governative top secret, segreti commerciali e risorse tecniche, per favorire interessi nazionali ed economici.

Riva spiega che è stato rilevato che la proporzione di incidenti che vede protagonisti gli hacktivisti, ovvero coloro che agiscono per ragioni ideologiche o per puro divertimento, si è mantenuta stabile rispetto allo scorso anno; la quantità di dati sottratti però si è ridotta in quanto molti di essi hanno utilizzato altri metodi, quali attacchi DDoS (Distributed Denial of Service).
Questi attacchi, volti a paralizzare i sistemi o provocarne malfunzionamenti, hanno anche un forte impatto sui costi delle aziende e sulle loro attività.

Capire l'avversario
I risultati del Report del 2013 suggeriscono a Riva che c'è un profondo autocompiacimento tra le aziende sul rischio di attacchi di spionaggio industriale.
La convinzione è che questi attacchi riguardino solamente i governi, le forze militari o le organizzazioni di alto profilo, mentre i nostri dati dimostrano che è sempre più il contrario. Principalmente sono tre i gruppi chiave che commettono cyber attacchi.
Ognuno con differenti motivazioni e tattiche, ma l'obiettivo delle loro azioni è sempre quello di creare disagi, perdite finanziare e danni di reputazione.
Conoscendo le caratteristiche di questi gruppi, le imprese potrebbero essere maggiormente preparate a fronteggiare i possibili attacchi e ridurne così i rischi.
Gli attivisti utilizzano metodi basilari, ma negli ultimi anni hanno siglato alcuni successi degni di nota e ampiamente pubblicizzati. Sono opportunisti, ma hanno i numeri dalla loro parte. Puntano a massimizzare i disagi e l'imbarazzo nelle vittime prescelte.
Motivati dai guadagni, i criminali scelgono i loro bersagli in modo più sofisticato e calcolato. Spesso usano delle tecniche di hacking più complesse di quelle degli attivisti. Una volta conquistato l'accesso al sistema, si impossessano di qualsiasi dato che possa avere valore finanziario.
Spesso sponsorizzate dai governi, le spie usano gli strumenti più sofisticati per mettere in atto attacchi più mirati. Sanno perfettamente cosa vogliono (proprietà intellettuali, dati finanziari e informazioni interne) e sono determinati a ottenerlo.
La maggior parte degli attacchi con motivazioni finanziarie ha avuto origine negli USA o in Europa orientale, in particolare in Romania, Bulgaria e in Russia. I casi di spionaggio sono attribuibili per lo più all'Est Asiatico.
Ma gli attacchi analizzati hanno coinvolto organizzazioni di tutto il mondo. I confini geografici non sono una protezione contro i cyberattacchi.

Il cybercrimine non ha confini
In definitiva, le violazioni di dati su larga scala e di natura diversa insieme agli attacchi di rete sono stati protagonisti per tutto il 2012.
E diversi sono stati i settori colpiti.
Il 37% delle violazioni ha interessato realtà finanziarie e il 24% retailer e ristoranti.
Il 20% delle intrusioni di rete ha interessato industria, trasporti e utility. Stessa percentuale per società di servizi professionali e informativi.
Del numero complessivo di cyber attacchi, il 38% ha coinvolto imprese di grandi dimensioni in 27 Paesi diversi. Gli attacchi esterni rimangono una delle principali cause delle violazioni dei dati, con il 92% dei casi attribuibili a soggetti esterni e il 14% a individui interni.
Questa categoria include crimine organizzato, gruppi di attivisti, ex-dipendenti, hacker indipendenti e persino organizzazioni sponsorizzate da governi stranieri.
Analogamente a quanto emerso nel report dello scorso anno i business partner risultano responsabili dell'1% circa delle violazioni.
Per quanto riguarda le metodologie di attacco, al primo posto troviamo l'hacking, fattore presente nel 52% delle violazioni dei dati.
Il 76% delle intrusioni di rete ha sfruttato credenziali deboli o rubate (user name/password); il 40% ha utilizzato malware (malicious software, script o codici finalizzati alla compromissione dei dati); il 35% ha coinvolto attacchi fisici (come lo skimming ai danni degli sportelli bancomat); e il 29% ha sfruttato tattiche di social engineering (come il phishing).

La proporzione delle violazioni derivanti da attacchi di social engineering, come ad esempio il phishing, è direttamente correlata all'uso esteso di questa tattica nelle campagne di spionaggio organizzato.
Inoltre, la misurazione dell'intervallo che separa l'attacco dalla sua scoperta continua a essere espresso in mesi, se non addirittura in anni, anziché in ore e giorni.
Infine, soggetti terzi continuano a rilevare la maggior parte delle violazioni (69%).

Cosa possono fare le aziende
In realtà, tutto ciò non fa altro che confermare che oggi, sfortunatamente, nessuna organizzazione è immune alla violazione di dati. Gli strumenti di sicurezza per combattere il cyber crimine sono già disponibili per le aziende, si tratta solo di scegliere quelli più adatti e di utilizzarli nel modo più corretto. In altre parole, le aziende dovrebbero comprendere i propri avversari, conoscere le motivazioni e i metodi, e predisporre una difesa aziendale su base continuativa.
Quando si parla di cybercrime, è ancora necessario il tradizionale approccio perimetrale che include ad esempio i controlli di sicurezza classici: tecnici, amministrativi e di processo, come i firewall, le password e la formazione dei dipendenti.
Tutte operazioni necessarie che certamente rimangono la linea di difesa primaria. Tuttavia, è importante guardare anche a un livello più elevato di protezione dei dati.
Con la proliferazione di supporti portatili  sono aumentate le possibilità di smarrimento o furto dei dispositivi, e, con essi, dei dati che contengono.
È importante adottare delle misure che consentano di criptare i dati, sensibilizzare gli utenti finali a proteggerei loro dispositivi e a fare segnalazione immediata nel caso i dispositivi vengano rubati, smarriti, o si verifichi una manomissione sospetta dei dati.

Molte piattaforme di mobile management possono cancellare da remoto i dati dai dispositivi smarriti e rubati. È importante identificare i dati chiave che le organizzazioni posseggono, quelli che, se andassero perduti o venissero rubati o violati, danneggerebbero il futuro dell'azienda. In secondo luogo bisognerebbe identificare dove si trovano i dati (considerando anche i backup e le copie) e stabilire il loro livello di protezione; infine, sarebbe necessario sapere chi ha accesso ai dati critici e controllare le autorizzazioni per aggiungere o rimuovere i dati dal database.
Chi ha accesso a questi dati dovrebbe ricevere indicazioni precise su come riconoscere attacchi sospetti di phishing e individuare segnali di manomissione fisica o virtuale. Tale formazione dovrebbe prevedere inoltre istruzioni per segnalare immediatamente i cyber attacchi a uno staff dedicato, pronto a entrare in azione 24 ore su 24 e 7 giorni su 7 per contrastare i tentativi di furto dei dati.

Riva elenca dunque alcune pratiche e semplici raccomandazioni da seguire:
1. Eliminare i dati superflui; tenere sotto controllo tutto ciò che rimane.
2. Assicurarsi che i controlli essenziali siano effettuati; controllare periodicamente che sia sempre così.
3. Raccogliere, analizzare e condividere i dati sugli incidenti per creare un ricco database che possa rendere efficace il programma di protezione.
4. Raccogliere, analizzare e condividere informazioni sulle minacce, soprattutto gli Indicators of Compromise che possono essere di grande aiuto per la difesa e il rilevamento.
5. Senza la abbassare la guardia sulla prevenzione, concentrarsi su rapide e migliori attività di rilevamento attraverso la combinazione di persone, processi e tecnologia.
6. Misurare regolarmente dati come il “numero di sistemi compromessi” o il “tempo medio di rilevamento” nelle reti, utilizzando i risultati nella definizione delle policy di sicurezza.
7. Valutare il panorama delle minacce per definire le priorità della propria strategia di azione. L'approccio alla sicurezza non deve mai essere “one size fits all ”.
8. Se si è bersagli di un attacco di spionaggio, mai sottovalutare la tenacia dell'avversario. Tantomeno bisogna sottovalutare l'intelligence e gli strumenti che si hanno a disposizione.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here