Scopri di più sulle minacce nuove ed emergenti...
E, per complicare ulteriormente la situazione, bisogna pensare a come garantire la sicurezza ovunque in modo da proteggere questa infrastruttura complessa.
Nel 2017, le aziende hanno semplicemente molte più cose da proteggere rispetto a cinque anni fa. E l'ultima cosa che voglino è essere colte di sorpresa da...
Nel 2016, il 27% delle applicazioni cloud di terze parti connesse, introdotte dai dipendenti nelle aziende nel 2016, ha costituito un elevato rischio per la sicurezza.
Il fenomeno dipende certamente dal fatto che i dipendenti vogliono migliorare i propri livelli di produttività personale e rimanere connessi mentre sono al lavoro... senza necessariamente pensare alle implicazioni in termini di sicurezza dei dati quando accedono a queste applicazioni.
Questa pratica, nota come "IT fantasma", può esplicarsi in una miriade di modalità, dall'installazione di un servizio di messaggistica istantanea in un dispositivo aziendale, al download di un software di condivisione file personale e al suo utilizzo per il trasferimento di dati sensibili. Questo tipo di operazione è come miele per gli hacker.
Il 14 maggio, nel Regno Unito si è diffusa la notizia di un "significativo attacco informatico" che, inizialmente, sembrava un attacco mirato al servizio sanitario nazionale. Quest'ultimo sembrava essere stato colpito da una campagna di ransomware progettata per sfruttare tutti i punti deboli della tecnologia e bloccare l'intero sistema; l’obiettivo degli hacker era quello di ottenere un pagamento a titolo di riscatto.
Tuttavia, quando il fenomeno cominciò a manifestarsi anche in altri paesi, divenne presto chiaro che si trattava di una minaccia globale che si stava diffondendo rapidamente. Nessun settore era immune e, certo, non era il "solito" caso di ransomware...
Talos, il nostro team di intelligence sulle minacce, ha indagato a fondo sull'accaduto ed ecco ciò che ha scoperto:
WannaCry è stato installato sfruttando una vulnerabilità del protocollo SMB di Microsoft, non le e-mail di phishing o di malvertising che sono il mezzo attraverso il quale il ransomware viene normalmente distribuito.
SMB è una tecnologia basata sulla rete utilizzata per condividere file tra computer. Uno dei motivi per cui questo ransomware si è diffuso così velocemente è che può diffondersi trasversalmente all'interno di una stessa rete, installandosi automaticamente negli altri sistemi collegati senza alcun coinvolgimento degli utenti finali.
Il malware è stato particolarmente efficace in ambienti con computer dotati di Windows XP, poiché poteva sfruttare la porta TCP 445 (Server Message Block/SMB), compromettere gli host, crittografare i file memorizzati al loro interno e, poi, chiedere il pagamento di un riscatto sotto forma di bitcoin.
Il 14 marzo Microsoft ha rilasciato un aggiornamento di protezione per correggere questa vulnerabilità. Sebbene questa operazione abbia salvaguardato i computer Windows più recenti dotati di Windows Update, in generale molti computer sono rimasti privi di protezione.
Questa situazione riguarda in particolare i computer dotati di Windows XP, non più supportati da Microsoft, così come i milioni di computer a livello globale che eseguono software pirata, che (ovviamente) non vengono aggiornati automaticamente.
Una parte davvero fondamentale dei nostri risultati ha confermato che il malware era stato progettato come un servizio modulare. Secondo quanto abbiamo accertato, i file eseguibili associati al ransomware sono stati scritti da una persona diversa rispetto a chi ha sviluppato il modulo di servizio. Potenzialmente, questo significa che la struttura di questo malware può essere utilizzata per distribuire ed eseguire payload dannosi differenti.
Talos esorta le aziende ad adottare le seguenti migliori prassi raccomandate come standard del settore per prevenire attacchi e campagne come questa e altre simili:
Anche se sono ancora principalmente motivati dal guadagno economico, lo scopo di alcuni criminali informatici ora di è alzare il tiro, non limitandosi all’attacco, per distruggere in modo da impedire alle aziende di ripristinare i propri sistemi e dati (sfruttando i backup eseguiti).
Come rivelato nel Report semestrale sulla cybersecurity 2017 di Cisco, i nostri ricercatori indicano che la portata di questa nuova era di attacchi "distruttivi" li rende un'attività molto sinistra, lasciando presagire un tipo di attacco nuovo e devastante che rischia di emergere nel prossimo futuro: la distruzione del servizio (Destruction of Service, DeOS).
Perché? Un motivo importante è che i criminali informatici hanno visto l'enorme opportunità di potersi introdurre nei dispositivi IoT (che non necessariamente sono stati costruiti avendo la sicurezza come priorità) e creare attacchi su larga scala utilizzando botnet IoT.
Nel report viene sostanziato che la maggior parte delle aziende non è pienamente consapevole di quali dispositivi IoT possano connettersi alla loro rete, ad esempio contatori, videocamere o termostati intelligenti. Molti di questi dispositivi sono molto carenti in fatto di funzionalità per la sicurezza e, in generale, vengono aggiornati raramente o eseguono applicazioni obsolete.
Inoltre, non è sempre chiaro chi, all'interno dell'azienda, sia tenuto a occuparsi delle violazioni a livello di IoT. In genere, una volta completato un progetto IoT, i gruppi di lavoro passano al successivo.
Pertanto, oggi più che mai, è importante che le aziende assegnino priorità assoluta alla cybersecurity.
In questo contesto la parola chiave è "visibilità": si tratta di imparare a vedere ciò che attualmente non è visibile, il che significa dedicare tempo e risorse per individuare sempre esattamente che cosa c'è nell'ambiente IT... e che tutto sia implementato correttamente e in modo sicuro e tenuto sempre aggiornato.
Non è un compito facile per le aziende, soprattutto considerando il grado di frammentazione con cui il settore della sicurezza deve fare i conti.
Per questo motivo, nel settore serve un approccio che collochi il cliente al primo posto. Le aziende devono essere in grado di implementare soluzioni di sicurezza più adatte a loro e sfruttare al meglio gli investimenti esistenti.
Disporre di soluzioni che possano comunicare le une con le altre e lavorare insieme per proteggere gli utenti e le aziende stesse è l'unico modo in cui si può vincere la sfida contro i criminali informatici, che sono determinati a interferire con il mondo IoT.
Come ha osservato uno dei nostri esperti di intelligence sulle minacce, Martin Lee, abbiamo una piccola finestra di opportunità per agire in questo contesto: