L’ultimo Global Threat Landscape Report di Fortinet, attiva nelle soluzioni di cyber-security ad alte prestazioni, svela i metodi e le strategie utilizzati dai cyber-criminali e mostra il loro potenziale impatto futuro sulla digital economy. Alla domanda su quale sia la minaccia più incombente è difficile dare risposta, dato che, da un lato, le minacce tradizionali sono sempre fonte di preoccupazione mentre dall’altro nascono di continuo nuovi attacchi automatizzati su larga scala.
Di seguito i risultati principali:
Trend di fondo e lo scenario delle minacce
- È importante considerare i trend legati all’infrastruttura e come questi si rapportano allo scenario delle minacce. Exploit, malware e botnet non avvengono a caso, e individuare o prevenire minacce sta diventando sempre più complesso, vista la continua evoluzione dell’infrastruttura di rete.
- I dati mostrano che il traffico cifrato utilizzando SSL continua a rappresentare circa la metà del traffico web globale di un’azienda. L’utilizzo di HTTPS è un trend importante da monitorare, poiché pur essendo positivo per la privacy, crea difficoltà nella rilevazione di minacce capaci di nascondersi in comunicazioni cifrate. Spesso il traffico SSL non viene ispezionato in virtù dell’elevato carico di elaborazione necessario per aprirlo, ispezionarlo, e cifrarlo nuovamente, costringendo l’IT a scegliere tra sicurezza e prestazioni.
- In termini di applicazioni totali rilevate per azienda, il numero di quelle cloud è di circa 63, quasi un terzo del totale. Questa tendenza ha ricadute significative sulla sicurezza, in quanto i team IT hanno meno visibilità sui dati che risiedono nelle applicazioni cloud, su come vengono usati e chi vi può accedere.
Un esercito di “cose” alimentato dal Digital Underground
- I dispositivi IoT sono oggetti ambiti dai cyber-criminali di tutto il mondo. Questi ultimi stanno creando le proprie armate di “cose”, mentre la capacità di replicare attacchi a costi contenuti su volumi e velocità incredibili è un pilastro fondamentale del cyber-crime moderno.
- In Q4 2016, il settore era stato scosso dal breach di Yahoo e dall’attacco Dyn DDoS. Prima della metà del trimestre, i record stabiliti da entrambi gli eventi non sono solo stati infranti, ma persino doppiati.
- I dispositivi Internet of Things (IoT) compromessi dalla botnet Mirai hanno dato inizio a molteplici attacchi DDoS da record. Il rilascio del codice sorgente di Mirai ha incrementato di 25 volte in una settimana l’attività delle botnet, raggiungendo le 125 volte alla fine dell’anno.
- Il mobile malware è diventato un problema più rilevante che in passato. Sebbene rappresenti solo l’1,7% del volume totale, un’organizzazione su cinque tra quelle che a hanno affermato di aver avuto a che fare con il malware, si è imbattuto in quello mobile, nella maggior parte dei casi su Android.
Attacchi automatizzati su larga scala sono sempre più comuni
- La correlazione tra volume e prevalenza dell’exploit implica il crescere dell’automazione degli attacchi e la riduzione dei costi per il malware e i tool di distribuzione disponibili nel dark web. Questo rende più semplice ed economico che mai dare il via agli attacchi.
- H-Worm e ZeroAccess hanno avuto volume e prevalenza maggiori nella famiglia delle botnet. Entrambi offrono ai cyber-criminali il controllo dei sistemi infetti per sottrarre dati, fare clic fraudolenti ed effettuare il bitcoin mining. Il settore tecnologico e statale hanno dovuto far fronte al numero più elevato di tentati attacchi da parte di queste due famiglie di botnet.
Il ransomware non tende a scomparire
- Il ransomware richiede attenzione indipendentemente dal settore e questo metodo di attacco continuerà con la crescita del ransomware-as-a-service (RaaS), con cui potenziali criminali privi di training e competenze, possono semplicemente scaricare gli strumenti e usarli contro una vittima.
- Il 36% delle aziende ha rilevato attività di botnet correlata al ransomware. TorrentLocker è stato il più diffuso.
- Il ransomware si è rivelato presente in tutte le regioni e settori, con una particolare diffusione nella sanità. Ciò è significativo, perché quando i dati dei pazienti sono compromessi le conseguenze possono essere molto più serie, dato che hanno una maggiore longevità e valore personale rispetto ad altri tipi di dati.
Exploit audaci, ma il vecchio va sempre di moda
- Da sempre, i cyber-criminali tendono a sfruttare ogni possibile falla di sicurezza. Sfortunatamente, l’attenzione focalizzata su patch di sicurezza e difetti nei vecchi dispositivi o software, fa sì che meno tempo e attenzione vengano dedicati alla crescente superficie di attacco creata dai dispositivi digitali di oggi.
- L’86% delle aziende ha subito attacchi che tentavano di sfruttare vulnerabilità vecchie più di dieci anni. Quasi il 40% di esse ha registrato exploit contro CVE persino più vecchi.
- Ogni azienda ha subito in media 10,7 exploit di applicazioni. Circa 9 su 10 li hanno valutati come critici o estremamente seri.
“Le sfide di cyber-security che le aziende di oggi si trovano ad affrontare sono complesse, a fronte di uno scenario di minacce in rapida evoluzione. Queste ultime appaiono intelligenti, autonome e sempre più difficili da rilevare, con nuove tipologie emergenti e altre già note ma riapparse in versione potenziata”, afferma Phil Quade, Chief Information Security Officer di Fortinet. “Inoltre, l’accessibilità di strumenti e servizi a disposizione dei criminali unita ai guadagni potenziali sta favorendo la crescita del mercato del cyber-crime con un valore di decine di miliardi di dollari. Per proteggersi, i CISO devono assicurarsi che i dati e gli elementi di sicurezza nei loro ambienti e device siano integrati, automatizzati e in grado di condividere l’intelligence, in tutta l’azienda, dall’IoT al cloud”.