Nuove metodologie di attacco per mettere in ginocchio le aziende

Dalla negazione del servizio alla distruzione del servizio 

Come ogni anno in estate Cisco ci regala una lettura da fare sotto l’ombrellone, il Midyear CyberSecurity Report (MCR), offrendoci gli aggiornamenti relativi a ciò che era stato riportato ad inizio anno nell’Annual Cybersecurity Report. In questa occasione si punta l’attenzione sulle nuove modalità di attacco dei cosiddetti Bad Actors che, secondo gli studi effettuati dagli esperti di sicurezza Cisco, non si accontentano di attaccare i sistemi informativi delle aziende, ma puntano a distruggerli in modo che sia impossibile ripristinare sistemi e dati. Si assiste quindi al passaggio da tecniche di Denial of Service (DoS) a tecniche di Destruction of Service (DeOS).

Per far ciò gli attaccanti stanno adottando tecniche sempre più rapide e sofisticate di mutamento delle tipologie di attacco, addirittura abbandonando i tool moderni come gli exploit kit, a causa della maggiore difficoltà nello sfruttare le vulnerabilità ad esempio di Flash, per tornare al buon vecchio phishing e al social engineering. I sistemi di sicurezza hanno sviluppato ottime performance nel rilevare e bloccare attacchi moderni a discapito di quelli più datati pensando che ormai non vengano più utilizzati e quindi eliminati dai motori e dai database di sicurezza.

La mail è il modo più semplice per arrivare direttamente agli endpoint e tramite operazioni di social engineering e phishing diventa facile ingannare gli utenti mandandogli malware e compromettere intere organizzazioni. Il malware sta evolvendo diventando sempre più raffinato, aggirando le più potenti sandbox grazie al fatto che si permette solo all’intervento umano di attivarlo cliccando su dei collegamenti o facendo in modo che risieda in memoria volatile e al primo riavvio si cancelli non lasciando traccia su disco.
Oggi anche la tecnologia dei proxy si è notevolmente evoluta e vengono utilizzati per fare scansione dei contenuti per aiutare a individuare potenziali minacce presenti in Internet, come ad esempio le estensioni pericolose nei browser, link a siti di spam o annunci fraudolenti e vulnerabilità specifiche degli stessi browser. Utilizzare browser sicuri e disabilitare i plugin non necessari sono due dei modi più importanti per ridurre l’esposizione alle minacce web.

Molti software resi disponibili online e che vengono pubblicizzati per essere tool di utilità, in realtà sono spyware che raccolgono e inviano i dati relativi alle attività dei computer degli utenti, in particolare possono raccogliere informazioni sensibili sugli utenti e sull’azienda, modificare i parametri di registro installando software addizionale che può permettere l’accesso da remoto alla macchina e renderla ancora più vulnerabile ad altre infezioni. È importante che gli utenti leggano gli end-user license agreements nella sezione che riguarda la modalità di raccolta delle informazioni.

I centri di ricerca analizzano costantemente il panorama degli attacchi e sono in grado di darci dei feedback in modo che le aziende possano conoscere le vulnerabilità zero-day. Questo permette di sapere in anticipo quali sono le vulnerabilità dei software e di poter aggiornarli prima che vengano sfruttati dagli attaccanti, agendo non solo in modo proattivo, ma anche predittivo.

L’IoT (Internet of Things), che sta invadendo la nostra vita con milioni di device sparsi per il mondo, non progettati per proteggersi dai cyber attacchi, sta dando l’opportunità di creare DDoS (Distributed Denial of Service) di proporzioni enormi sfruttando le debolezze.

Il recente ransomware WannaCry ha dimostrato come il continuo aumento di sistemi sanitari interconnessi e le deboli procedure di sicurezza implementate possono mettere a repentaglio sia le infrastrutture sanitarie che i pazienti. Il ritorno economico di queste campagne di ransomware è elevato se si pensa che potrebbero essere bloccati strumenti salvavita o addirittura dispositivi impiantabili.

A questo proposito è importante, capire quali e come questi dispositivi sono interconnessi sulla rete, se ci sono dei contratti di manutenzione con i fornitori che prevedono l’aggiornamento software, informare il management dei problemi che ci potrebbero essere e infine implementare dei sistemi di monitoraggio che diano visibilità della rete e automatizzino le azioni di detection e remediation delle minacce.

Un ruolo importante, per evitare che la conoscenza delle vulnerabilità non rimanga nascosta, lo svolgono i governi che dovrebbero rendere disponibili ai produttori i dati relativi alle falle dei software e gli sviluppatori che dovrebbero pubblicare informazioni del fatto che esistano patch o workaround.

Da quando il cloud è utilizzato a livello Enterprise ed è diventato mission critical per molte organizzazioni non ha ancora avuto la giusta considerazione in termini di security in quanto i rischi della Open Authorization (OAuth) e della gestione degli account creano dei grossi buchi di sicurezza facilmente sfruttabili dagli attaccanti. Inoltre l’utilizzo in azienda di applicazioni cloud introdotte dai dipendenti ha incrementato il livello di rischio a cui si è esposti. Le aziende devono capire il loro ruolo che consiste nel rendere sicuro l’utilizzo del cloud, mentre compete al provider garantire la sicurezza fisica, legale, operazionale e quella infrastrutturale della tecnologia che vende.

Molte aziende sottovalutano il rischio e il numero di punti ciechi nella loro rete, sugli endpoint e nell’infrastruttura cloud. Le infrastrutture non gestite possono essere facilmente compromesse e utilizzate per effettuare i cosiddetti movimenti laterali per riuscire a colpire obiettivi specifici. È importante quindi che venga effettuato un inventario regolare e automatizzato relativo ai dispositivi e sistemi in rete perché i frequenti cambiamenti sarebbero difficili da rilevare dal personale IT.

Nel passato il personale che gestiva le macchine non era lo stesso che gestiva i sistemi IT, ma adesso che queste due infrastrutture devono comunicare tra loro è importante che vengano condivisi i dati per l’analisi permettendo di aumentare la sicurezza e la qualità del prodotto e gestire le minacce di cybersecurity.

Un altro fattore che influenza il grado di resilienza delle aziende all’impatto degli attacchi è la dimensione dell’azienda stessa in quanto una SMB è meno resiliente rispetto ad una grande azienda e dovrebbe assicurarsi di avere dei processi e dei tool che minimizzino le conseguenze delle violazioni ai propri sistemi, rivolgendosi anche esternamente a chi può fornire dei servizi di sicurezza.

In conclusione, la sicurezza deve essere un processo proattivo che coinvolga tutti gli attori presenti in azienda e non solo i responsabili IT, partendo dal management che deve essere consapevole dei rischi economici e non. Il costante aggiornamento dell’infrastruttura informatica, la semplificazione della gestione della sicurezza e l’analisi dei dati dei sistemi di monitoraggio e raccolta dati permette di rendere affidabili tutte le procedure implementate. Un approccio ad una sicurezza multiproduttore e frammentata impedisce di gestire correttamente le minacce, mentre consolidando il numero dei vendor utilizzati e avendo un approccio aperto, integrato e semplificato della security è possibile ridurre l’esposizione alle minacce stesse.