Sono attacchi web app, Dos e skimming. Ce li illustra Paul Pratley, Investigation Manager di Verizon.
I cyber criminali stanno diventando più scaltri. L’economia globale odierna ha semplificato il commercio sia per le imprese sia per i consumatori, e i sistemi finanziari sono già accessibili in tutto il mondo.
Questa disponibilità apre anche opportunità per i cyber criminali, che stanno diventando sempre più abili nel rubare dati archiviati, in transito e cifrati.
La sfida per tutte le aziende è quindi quella di rimanere in allerta ed essere sempre un passo avanti.
Oggi è disponibile un quadro più chiaro sul mondo del della criminalità informatica. Il Verizon 2014 Data Breach Investigations Report (Dbir) ha identificato le tipologie di attacco specifiche per ogni settore, introducendo un approccio più mirato ed efficace per combattere gli hacker.
Paul Pratley, Investigation Manager di Verizon, spiega come dopo aver analizzato dieci anni di dati nella serie di Dbir «abbiamo compreso che la maggior parte delle aziende non è in grado di tenere testa al cybercrime, e i malintenzionati stanno vincendo. Tuttavia, applicando big data analytics alla gestione del rischio di sicurezza possiamo iniziare ad affrontare il problema e combattere il cybercrime in modo più efficace e strategico».
I ricercatori di Verizon specializzati in sicurezza utilizzando tecniche analitiche avanzate hanno scoperto che il 92% dei 100.000 incidenti di sicurezza avvenuti negli ultimi 10 anni può essere ricondotto a nove tipologie di attacco che variano da settore a settore.
La scoperta più interessante fatta è che in media tre tipologie coprono il 72% degli incidenti in tutti i settori.
Le nove tipologie di minacce identificate sono: errori vari come l’invio di email a destinatari sbagliati;
crimeware (malware che punta al controllo dei sistemi); azioni di personale interno o utilizzo
improprio di privilegi e autorizzazioni; perdite o furti fisici; attacchi a web app; attacchi Denial
of Service; cyber spionaggio; intrusioni nei sistemi POS (Point-of-Sale); skimmer per carte di
pagamento.
La minaccia specifica per il settore finanziario
Le organizzazioni del settore finanziario e assicurativo affrontano sfide uniche in materia di protezione delle informazioni.
Pur non essendo immuni agli attacchi sistematici da parte di hacker che continuamente setacciano Internet in cerca di facili prede, il loro status di “target di alto valore” li porta ad essere al centro dell’attenzione. Per questo, in genere hanno un più alto grado di maturità per quanto riguarda i controlli e i processi di sicurezza.
Nel complesso, avere a che fare con incidenti relativi alla sicurezza, potrebbe sembrare l’ultimo dei problemi, quando l’esistenza stessa delle istituzioni finanziarie è stata messa seriamente in pericolo.
Eppure, un attacco a un istituto finanziario, andato a buon fine, potrebbe provocare un danno irreparabile, quantificabile in maniera tangibile con risorse rubate o sottratte, ma anche, sotto l’aspetto più intangibile ma significativo, dell’immagine e della reputazione del brand.
Pratley dice di aver riscontrato che con solo tre delle nove tipologie di attacco individuate si può spiegare il 75% degli incidenti di sicurezza riscontrati dalle organizzazioni finanziarie, e precisamente:
Attacchi ad applicazioni Web (web app) – rappresentano il 27% degli incidenti analizzati
Ad esempio, gli hacker utilizzano le credenziali rubate o sfruttano le vulnerabilità delle applicazioni web, come i sistemi di gestione dei contenuti (Cms) o le piattaforme di e-commerce;
Attacchi Denial of Service (Dos) – rappresentano il 26% degli incidenti analizzati. Gli attacchi Dos usano eserciti di “botnet” di pc e server potenti per annientare, con traffico non sicuro, sistemi e applicazioni aziendali, causando il blocco delle normali attività;
Skimming – rappresentano il 22% degli incidenti analizzati.Ad esempio, gli hacker manomettono un dispositivo di pagamento con carta per installare uno “skimmer” che acquisisce automaticamente i dati della carta del cliente, di solito sono attacchi indirizzati agli Atm.
In poche parole, migliorare la difesa in queste tre aree potrebbe aiutare le organizzazioni finanziarie a ridurre notevolmente il rischio.
Sembra semplice, e lo è, se si analizza ogni schema di attacco nel dettaglio, in modo che le organizzazioni possano adattare le proprie strategie di sicurezza destinate a queste aree specifiche.
Gli attacchi web app
Le società finanziarie fanno sempre più affidamento su strumenti web-based per fornire i propri servizi. Dal personal e corporate banking, all’assicurazione, ai pagamenti fino al commercio, la maggior parte dei servizi bancari sono ora accessibili tramite il web. Ciò li rende estremamente vulnerabili a questo tipo di attacchi.
A seguito della crisi finanziaria, c’è ancora molta ostilità verso banche e altri istituti finanziari e questo può spiegare come mai, nel nostro dataset del 2014, poco meno di due attacchi su tre a web app erano attribuibili a gruppi di attivisti guidati da un’ideologia.
Questi attacchi mirano più a causare disagi e danni piuttosto che rubare i dati delle carte di pagamento.
Tecnicamente parlando, è difficile difendersi dagli attacchi a web app perché gli hacker hanno a disposizione una grande varietà di tecniche e combinazioni per violare questi sistemi online.
Che cosa possono fare le organizzazioni?
· Usare il sistema di autenticazione multi-fattore. Non dovrebbe essere applicato solo per i clienti, ma per tutti gli accessi amministrativi.
· Considerare il passaggio a un Cms statico. Anziché eseguire un codice per generare un contenuto ad ogni richiesta, pre-generare le pagine per ridurre la possibilità di sfruttamenti.
· Migliorare i criteri di blocco. Bloccare gli account dopo ripetuti tentativi di accesso non riusciti contribuirà a contrastare gli attacchi brute-force.
· Monitorare le connessioni in uscita. Tranne che il server di un’azienda non abbia un buon motivo per mandare milioni di pacchetti ai sistemi di un governo straniero, è bene bloccare la capacità del server di farlo.
Attacchi Dos
La portata degli attacchi Dos è salita del 115% dal 2011, momento in cui gli hacker hanno affinato i loro metodi. In passato, i malware erano utilizzati per cooptare i pc di utenti inconsapevoli nella botnet del criminale. Oggi invece stanno prendendo di mira i server, che sono più potenti e hanno connessioni a banda larga e permettono di lanciare attacchi ben più estesi.
Se gli attacchi Dos sono raramente collegati a tentativi di furto di dati, possono essere, invece, estremamente dannosi per la reputazione e le operazioni di business.
Questi attacchi possono mettere fuori uso e-banking, piattaforme di trading, ma anche sistemi interni potenzialmente esposti a Internet.
Quando questi sistemi restano inutilizzabili per un’ora (figuriamoci per un giorno), l’impatto, i costi derivati dalla perdita di produttività e il tempo speso per la riparazione possono essere enormi.
I nostri dati dimostrano che gli attacchi Dos hanno coinvolto tutti i tipi di imprese, da grandi a piccole realtà, da quelle più importanti a quelle meno note, senza distinzione.
Quindi cosa possono fare le aziende?
· Tenere separati gli asset più importanti. Conservare i sistemi più importanti su circuiti di rete separati così da non renderli vulnerabili in caso di attacco indirizzato ad altri server.
· Testare i servizi anti-Dos. Non limitarsi ad installarli per poi dimenticarsene.
· Disporre di un piano. I principali team devono sapere come reagire in caso di attacco. Le aziende dovrebbero avere anche un piano di backup nel caso in cui il loro servizio anti-Dos primario non funzioni.
Skimming
I gruppi criminali organizzati responsabili di attacchi “skimming”, stanno diventando estremamente sofisticati nelle loro tattiche; qualcuno utilizza la tecnologia di stampa 3D per creare riproduzioni delle fasce Atm difficilmente distinguibili da quelle reali.
Possono essere installate in pochi secondi e trasmettono i dati della carta in modalità wireless.
Di conseguenza, la maggior parte delle violazioni sono rilevate solo dopo che i clienti notano un’attività fraudolenta sui loro conti. Tuttavia, esistono ancora delle azioni che le aziende possono intraprendere per difendersi da questi attacchi.
Che cosa possono fare le organizzazioni?
· Utilizzare terminali anti-manomissione. I dispositivi Atm sono progettati sempre più spesso con questo obiettivo.
· Adottare metodi di controllo anti-manomissione. Un sistema video di monitoraggio automatico può rilevare le anomalie visive.
· Incoraggiare gli utenti a essere vigili. Fare in modo che segnalino immediatamente eventuali anomalie.
· Controllare frequentemente gli Atm.
Avere uno staff dedicato a ispezionarli il più spesso possibile per ridurre i momenti in cui lo skimmer potrebbe agire indisturbato.
Le aziende di ogni settore devono comprendere che nessuno è immune dalle violazioni dei dati. La battaglia contro il cybercrime è ancora in corso, e gli hacker hanno gli occhi puntati sul ricco bottino dei dati che le istituzioni finanziarie detengono.
Se si somma questo fatto con i tempi più lunghi che impiegano le organizzazioni a identificare le compromissioni, spesso settimane o mesi, rispetto ai minuti o le ore che ci vogliono invece per subire una violazione, è chiaro che risulta necessario adottare un intervento più mirato.
Per ridurre il rischio, le aziende devono implementare almeno i principi base di un programma di Information Risk Management e mantenere questo investimento iniziale nel corso del tempo. Dalle reti alla tecnologia di base per la difesa dei dati quali firewall, anti-virus, identity e access management, così come gli aspetti meno tecnici delle policy per la gestione del rischio e della sicurezza e lo sviluppo dei processi.
I servizi di scansione delle vulnerabilità delle applicazioni sono proposti in modalità Software- as- a- Service, consentendo alle aziende di identificare le vulnerabilità delle applicazioni web prima che siano sfruttate.
I servizi Dos Defense Detection & Mitigation analizzano il traffico a livello della rete e la compliance Pci può aiutare le organizzazioni a trasformare la loro tecnologia e i loro processi per proteggere i dati delle carte da attacchi “skimming” e web-based.
In poche parole, bisogna passare all’offensiva e non stare sulla difensiva, dal momento che il cybercrime esiste, ed è un dato certo. Non bisogna credere nemmeno per un istante che sparirà.
