Comments
Description
Transcript
il panorama delle minacce
IL PANORAMA DELLE MINACCE Una guida pratica dagli esperti di Kaspersky IL A cura di David Emm Senior Regional Researcher, Team Ricerca Globale e Analisi Con Kaspersky, adesso è possibile. www.kaspersky.it/business Be Ready for What's Next INFORMAZIONI SULL'AUTORE David Emm Senior Regional Researcher Team Ricerca Globale e Analisi (GReAT), noto anche come team GReAT David è in Kaspersky Lab dal 2004. Nel suo ruolo di Senior Technology Consultant, David presentava informazioni su malware e altre minacce IT a fiere ed eventi e forniva commenti ai media televisivi e di stampa. Forniva inoltre informazioni sui prodotti e sulle tecnologie Kaspersky Lab. È stato promosso alla sua attuale posizione nel 2008. David ha un particolare interesse per gli ecosistemi malware, i furti di identità e le tecnologie Kaspersky Lab e ha ideato e sviluppato il nostro Malware Defence Workshop aziendale. David ha lavorato nel settore del software antivirus dal 1990 ricoprendo svariati ruoli. Prima di entrare in Kaspersky Lab, David ha rivestito le cariche di tecnico di sistemi, responsabile di prodotto e responsabile del marketing di prodotto in McAfee e, precedentemente, ha ricoperto i ruoli di responsabile dell'assistenza tecnica e consulente di tecnologie senior in Dr Solomon’s Software. SOMMARIO 1. L'evoluzione del malware 2. Siete a rischio? Una nuova epoca di attacchi mirati 3. Malware: adesso è diventato una minaccia anche per gli utenti mobili 4. Modalità di diffusione del malware 5. Il fattore umano nella sicurezza 6. Tecnologie anti-malware 7. I suggerimenti più interessanti per creare una consapevolezza della sicurezza nella vostra azienda CAPITOLO 1 L'EVOLUZIONE DEL MALWARE CONTESTO UNA PORTATA E UNA GRAVITÀ SEMPRE MAGGIORI Sono passati più di 25 anni dalla comparsa dei primi virus informatici. Nel tempo, la natura della minaccia è cambiata significativamente. Oggi, le minacce che si trovano ad affrontare le aziende sono più complesse che mai. La connettività fornita da Internet consente di lanciare attacchi sui computer delle vittime in modo molto rapido, sia diffusi che selettivi, in base alle esigenze degli autori dei malware e del substrato criminale che li sponsorizza. Il sondaggio sui rischi globali IT di Kaspersky del 2013 ha rivelato che la maggiore preoccupazione per i responsabili IT è rappresentata dalle nuove tecnologie, che portano a nuovi metodi di lavoro. La mobilità, l'utilizzo di dispositivi personali (BYOD) e di social network nell'ambiente di lavoro rappresentano le tre problematiche principali. I codici nocivi possono venire integrati nelle e-mail, inseriti in falsi pacchetti software oppure collocati nelle pagine Web della "zona grigia" per il download da un Trojan installato su un computer infettato. Anche la portata del problema, solo in termini di cifre, ha continuato ad aumentare. Oggi, il numero di campioni specifici di malware analizzati quotidianamente ammonta a centinaia di migliaia. Quali sono le problematiche che maggiormente preoccupano gli esperti nel campo della sicurezza della tua organizzazione? Affermazione di una forza lavoro sempre più mobile Persone che usano dispositivi privati per accedere ai dati aziendali Accesso ai siti di social network sul lavoro Conformità Crescita e/o diversificazione dell'attività Tagli sul personale IT Cloud computing Virtualizzazione Tagli generali Fusioni e acquisizioni Altro Il 19% degli utenti ha indicato le cyberminacce come il principale rischio aziendale attuale 0% 10% 20% 30% 40% Da ciò emerge un quadro di un ambiente tecnologico in notevole cambiamento. Le tre tendenze che abbiamo riscontrato avere un impatto dal punto di vista della sicurezza aziendale sono: Ȋ La mobilità/BYOD: l'ubiquità della mobilità e la crescente consumerizzazione nell'ambiente aziendale indicano che la comunità di utenti finali tipica adesso, è mobile. Ȋ Il cloud: l'accesso ai dati aziendali tramite il cloud da una crescente varietà di dispositivi mette sotto pressione la sicurezza IT. Ȋ La virtualizzazione: il crescente uso di ambienti virtualizzati per ridurre i costi e aumentare la flessibilità crea aree specifiche di complessità della sicurezza IT. Ȋ I social network: l'utilizzo dei social media da parte dei dipendenti raramente rappresenta di per sé un problema, ma i cybercriminali sfruttano sempre più il comportamento "aperto" degli utenti su tali siti per accedere a dati preziosi. 50% DAL CYBERVANDALISMO AL CYBERCRIMINE NUOVE MOTIVAZIONI, NUOVE TATTICHE Fino al 2003, i virus e altri tipi di malware rappresentavano atti ampiamente isolati di vandalismo informatico: un'autoespressione antisociale tramite strumenti di alta tecnologia. La maggior parte dei virus si limitavano a infettare altri dischi o programmi. Il cambio di motivazioni ha portato anche a un cambio di tattiche. Il numero di epidemie globali, progettate per diffondere malware il più ampiamente e rapidamente possibile, ha subito un calo. Gli attacchi sono diventati più mirati. Dopo il 2003, il panorama delle minacce è cambiato. La maggior parte dei malware attuali vengono creati allo scopo di assumere il controllo sui computer e ricavare profitti illegalmente. La principale ragione di questo cambiamento è che, oggi, gli attacchi hanno intenti criminali e mirano a rubare dati riservati, che poi verranno elaborati e utilizzati. Coinvolgendo milioni di computer vittima, aumentano le probabilità di essere scoperti e si crea un'enorme operazione logistica. Pertanto, gli autori di codici nocivi, attualmente, preferiscono concentrare i propri attacchi. Di conseguenza, le minacce che devono affrontare oggi le aziende sono diventate molte più complesse. Gli amministratori IT hanno molto di più contro cui combattere: ci sono molti più tipi di minacce il cui danno non si limita all'inattività IT, ma è in gran parte finanziario. Ciò spiega perché nel nostro sondaggio sui rischi globali IT del 2013 la portata e la complessità delle preoccupazioni sulla sicurezza IT siano significative e gli amministratori IT siano soprattutto preoccupati di una serie di problematiche, anziché di un unico grande problema. Quanto siete preoccupati riguardo alle seguenti sfide quotidiane della sicurezza IT all'interno della vostra organizzazione? Aggiornamento costante delle definizioni dei virus e dei software antivirus Protezione dell'accesso remoto Monitoraggio delle intrusioni Gestione dell'accesso e della sicurezza dei dispositivi mobili Gestione delle password e accesso amministrativo Molto preoccupato Abbastanza preoccupato Neutrale Poco preoccupato Per niente preoccupato Protezione dei trasferimenti di file Monitoraggio dell'utilizzo della rete Sistemi di applicazione delle patch Monitoraggio/Controllo dell'utilizzo del sistema Controllo delle applicazioni Consapevolezza dei criteri e formazione per gli utenti 0% 20% 40% 60% 80% 100% GLI AUTORI DI CODICI DANNOSI OGGI PREFERISCONO CONCENTRARE I PROPRI ATTACCHI LA CRESCENTE DIFFUSIONE DEL TROJAN PHISHING: IL FURTO DI IDENTITÀ ALTRUI I Trojan vengono utilizzati per raccogliere informazioni riservate (nome utente, password, PIN, ecc.) a scopo di frodi informatiche. Possono essere utilizzati negli attacchi DDoS (Distributed Denial of Service) alle organizzazioni. Tali attacchi possono essere usati per estorcere denaro alle organizzazioni: un attacco DDoS "dimostrativo" offre alla vittima un'anteprima di ciò che succederà se non paga. L'uso di codici dannosi non è l'unico metodo utilizzato dai cybercriminali per raccogliere dati personali utilizzabili per guadagnare illegalmente. Il phishing spinge gli utenti a rivelare i propri dati personali (nome utente, password, numero PIN o qualsiasi altra informazione di accesso) che vengono successivamente utilizzati per ottenere denaro sotto false identità. Si è verificata anche una crescita costante nel numero di Trojan "ransomware", utilizzati per estorcere denaro ai singoli utenti. Questi programmi crittografano i dati della vittima e visualizzano un messaggio (sotto forma di file "leggimi" o popup) che richiede alla vittima di trasferire denaro all'autore del programma tramite uno dei tanti servizi di pagamento elettronico. Ad esempio, i phisher creano un duplicato identico quasi al 100% del sito Web dell'istituto finanziario scelto. Possono inviare un'e-mail di spam che imita alla perfezione la corrispondenza del vero istituto finanziario. In genere, i computer compromessi vengono combinati nelle reti. Le attività di queste reti "bot" o "botnet" vengono controllate mediante siti Web o account Twitter. Se la botnet dispone di un unico server di comando e controllo (C2), è possibile eliminarla una volta identificata la sua posizione. Negli ultimi anni, tuttavia, i cybercriminali hanno sviluppato botnet più complesse che utilizzano un modello "peer-to-peer" per evitare un punto di errore singolo. Il cosiddetto "Storm Worm", all'inizio del 2007, è stato il pioniere di questo metodo ed è stato implementato in molte botnet da allora (incluse Conficker, Kelihos e Red October). Fino a qualche anno fa, la maggior parte delle epidemie riguardavano worm che penetravano nel sistema di posta elettronica per distribuirsi proattivamente, raccogliendo ulteriori contatti dai computer infettati man mano che si diffondevano. Oggi, un numero crescente di programmi nocivi viene deliberatamente inviato come spam ai computer vittima. Ciò consente agli autori di controllare la distribuzione del proprio codice a una popolazione mirata di PC, anziché consentirne la diffusione casuale. In genere, i phisher utilizzano loghi legittimi, un buon stile aziendale e fanno perfino riferimento a nominativi reali del senior management dell'istituto finanziario. Inoltre, falsificano l'intestazione dell'e-mail per far sembrare che sia stata inviata dalla banca legittima. Le e-mail fittizie distribuite dai phisher hanno una cosa in comune: sono l'esca utilizzata per tentare di spingere l'utente a fare clic su un collegamento contenuto nel messaggio. Se si abbocca all'esca, il collegamento indirizza direttamente l'utente a un sito contraffatto che contiene un modulo da compilare. Qui egli fornirà involontariamente tutte le informazioni che servono al cybercriminale per accedere ai suoi account e rubare il suo denaro. ROOTKIT E OFFUSCAMENTO DEL CODICE I rootkit vengono utilizzati per mascherare la presenza di codici dannosi. Il termine rootkit deriva dall'ambiente Unix, dove veniva utilizzato per descrivere strumenti usati per mantenere l'accesso "root", restando invisibili all'amministratore di sistema. Nel contesto dei malware Windows, si tratta di una tecnica di mascheramento utilizzata dagli autori di malware per nascondere le modifiche effettuate sul computer della vittima. In genere, lo sviluppatore di malware riesce ad accedere a un sistema forzando la password o sfruttando la vulnerabilità di un'applicazione e quindi utilizzandola per ottenere altre informazioni di sistema, finché non riesce ad accedere al computer come amministratore. I rootkit vengono spesso utilizzati per nascondere la presenza di un Trojan, celando le modifiche del registro, i processi del Trojan e altre attività del sistema. Il rootkit è stato ulteriormente sviluppato, creando il cosiddetto "bootkit". Il primo rilevato sul campo nel 2008 è stato Sinowal (noto anche come Mebroot). Il suo scopo è uguale a tutti i rootkit: mascherare la presenza del malware nel sistema. Tuttavia, il bootkit si autoinstalla sul Master Boot Record (MBR) per caricarsi prima (l'MBR è il primo settore fisico sul disco rigido e il codice scritto su tale settore viene caricato immediatamente dopo le istruzioni nel BIOS). Da allora, il flusso di bootkit è stato costante, incluse le versioni a 64 bit. IL TERMINE "ROOTKIT" PROVIENE DALL'AMBIENTE UNIX, DOVE VENIVA UTILIZZATO PER DESCRIVERE STRUMENTI UTILIZZATI PER MANTENERE L'ACCESSO "ROOT", RESTANDO INVISIBILI ALL'AMMINISTRATORE DI SISTEMA. Suggerimento dal team GReAT: sviluppate una strategia di sicurezza La strategia di sicurezza deve essere creata su misura per l'azienda, non basata su best practice generiche e stime casuali. Una valutazione completa dei rischi consente di determinare i rischi effettivi dell'azienda. È necessario un meccanismo di misurazione dell'efficacia degli strumenti di sicurezza in uso e una procedura di aggiornamento della strategia per affrontare le nuove minacce. CAPITOLO 2 SIETE A RISCHIO? UNA NUOVA EPOCA DI ATTACCHI MIRATI ATTACCHI MIRATI ARMI CIBERNETICHE Il panorama delle minacce continua a essere dominato da attacchi casuali e speculativi, progettati per sottrarre informazioni personali a chiunque sia tanto sfortunato da cadere vittima dell'attacco. Tuttavia, è chiaro che il numero di attacchi mirati sta crescendo e che tale tipo di attacchi è diventato ormai una caratteristica assodata nel panorama delle minacce. Stuxnet ha introdotto l'uso di malware altamente sofisticati per attacchi mirati a impianti di produzione chiave. Inoltre, la comparsa di altri attacchi sponsorizzati a livello di stati nazionali, Duqu, Flame e Gauss, ha reso chiaro che questo tipo di attacco non fosse un incidente isolato. Lo scopo è quello di impiantarsi in un'azienda mirata, rubare i dati aziendali o danneggiare la reputazione di un'azienda. Inoltre, viviamo in un'epoca in cui i codici dannosi possono essere utilizzati come cyber-arma: anche se un'organizzazione non viene colpita direttamente, essa può comunque subire "danni collaterali" se non si protegge in modo adeguato. Siamo entrati in un'epoca di "cyberguerra fredda", in cui le nazioni hanno la possibilità di combattere tra loro senza i limiti reali della guerra. In futuro, possiamo aspettarci che sempre più paesi sviluppino armi cibernetiche, progettate per rubare informazioni o sabotare i sistemi, anche perché il requisito base per sviluppare tali armi è molto inferiore rispetto a quello richiesto per le armi vere e proprie. Leggendo i titoli dei giornali, è facile giungere alla conclusione che gli attacchi mirati siano esclusivamente un problema delle grandi organizzazioni, in particolare quelle che gestiscono sistemi di "infrastrutture critiche" all'interno di un paese. Tuttavia, qualsiasi organizzazione può diventarne vittima. Tutte le organizzazioni conservano dati che potrebbero essere utili ai cybercriminali e possono anche essere utilizzati come elementi di raccordo per raggiungere altre aziende. È anche possibile che assisteremo ad attacchi "emulativi" da stati non nazionali, con il crescente rischio di "danni collaterali" che vanno ben oltre la vittima mirata dell'attacco. I bersagli di questi cyber attacchi potrebbero includere impianti di fornitura energetica o di controllo dei trasporti, sistemi finanziari e di telecomunicazione e altre "infrastrutture critiche". Suggerimento dal team GReAT: eseguite regolarmente il backup dei dati Numero di vittime Anche se la gestione e la conservazione dei dati vengono affidate esternamente, in caso di violazione, non è possibile esternalizzare anche la responsabilità. È necessario valutare i potenziali rischi allo stesso modo in cui si farebbe se i dati venissero conservati internamente. Il backup dei dati può aiutare a evitare che un inconveniente si trasformi in un disastro. 300.000 100.000 10.000 1.000 50 20 Stuxnet Gauss Flame Numero di incidenti (statistiche di Kaspersky Lab) Numero approssimativo di incidenti Duqu miniFlame CAPITOLO 3 MALWARE: ADESSO È DIVENTATO UNA MINACCIA ANCHE PER GLI UTENTI MOBILI L'ESPANSIONE DEL MALWARE MOBILE LO SVILUPPO DEL MALWARE MOBILE Oggi i cybercriminali si stanno concentrando sempre più sui dispositivi mobili. Le prime minacce sono apparse nel 2004. Tuttavia, il malware mobile non ha rappresentato una minaccia significativa per alcuni anni. Il punto di svolta si è avuto nel 2011, quando è stato rilevato lo stesso numero di minacce individuate nell'intero periodo dal 2004 al 2010. Tale crescita esplosiva continua ancora ad aumentare. Numero di campioni specifici Le prime minacce mobili hanno colpito Symbian e, in minor grado, WinCE. Tuttavia, ben presto gli autori di malware hanno iniziato a sviluppare minacce utilizzando Java Mobile Edition (J2ME), spinti dall'esigenza di creare malware multipiattaforma in un momento in cui il mercato degli smartphone era frammentato. Alla fine del 2009, circa il 35 percento delle minacce erano basate su Java. L'anno seguente, le minacce basate su Java hanno raggiunto circa il 57 percento, eclissando Symbian come principale bersaglio degli autori di malware. Nel 2012, quasi il 94% delle minacce era rivolto ad Android 120000 100000 Nel 2011 si è verificato un elevato aumento del numero di minacce rivolte ad Android (64%). Nel 2012, quasi il 94 percento delle minacce erano rivolte ad Android. 80000 La principale ragione è che Android fornisce un ambiente aperto per gli autori di applicazioni e ciò ha portato a un'ampia e diversificata scelta di applicazioni. I limiti per il download delle applicazioni sono molto ridotti e ciò espone gli utenti al rischio di scaricare applicazioni dannose. 60000 40000 20000 0 Ago 2011 Ott 2011 Dic 2011 Feb 2012 Apr 2012 Giu 2012 Ago 2012 Ott 2012 Dic 2012 Feb 2013 Apr 2013 Giu 2013 Viceversa, iOS è un file system chiuso, ristretto, che consente il download e l'utilizzo di applicazioni da un'unica fonte, l'App Store. Ciò comporta un rischio inferiore per la sicurezza: per distribuire il codice, gli aspiranti autori di malware devono trovare un modo per "introdurre" il codice nell'App Store. Quindi è probabile che, almeno per il momento, l'attenzione dei cybercriminali resterà concentrata principalmente su Android. MOBILE BANKING: IL PROSSIMO OBIETTIVO DEL CYBERCRIMINE? L'uso degli smartphone per l'online banking non è ancora consolidato, quindi ci vorrà tempo perché i cybercriminali si concentrino pienamente su questo. Tuttavia, l'uso dei dispositivi mobili come parte del servizio di autenticazione a due fattori per le transazioni bancarie eseguite ai computer desktop o portatili è consolidato. La banca invia una password monouso per una transazione sullo smartphone di un cliente tramite SMS. Quindi, non deve sorprendere che siano state riscontrate minacce specificamente progettate per acquisire i numeri di autenticazione delle transazioni su dispositivi mobili, i cosiddetti mTAN (mobile Transaction Authentication Numbers). Questi attacchi sono noti come "man-in-the-mobile" e a tale scopo sono state sviluppate tre principali minacce, ZeuS-in-the-Mobile (o "ZitMo"), "SpyEye-in-the-Mobile" (o SpitMo) e Carberb-in-the-Mobile (o CitMo). I cybercriminali sono alla continua ricerca di nuovi modi per guadagnare, che includono anche gli smartphone. La botnet SpamSold, ad esempio, apparsa alla fine del 2012, invia messaggi SMS di spam da dispositivi infettati. Fino ad oggi, la maggior parte dei malware è stata progettata per ottenere l'accesso root al dispositivo. In futuro, è probabile che assisteremo all'uso delle vulnerabilità mirato al sistema operativo e, in base a questo, lo sviluppo di "download indesiderati". Suggerimento dal team GReAT: implementate un criterio di sicurezza basato sull'identità Assicurarsi che le proprie soluzioni di sicurezza siano flessibili e riflettano le modifiche delle modalità di lavoro. In questo modo, ogni dipendente sarà protetto sia sul posto di lavoro che all'esterno, su qualsiasi dispositivo utilizzato. CAPITOLO 4 MODALITÀ DI DIFFUSIONE DEL MALWARE I cybercriminali utilizzano diverse tecniche per infettare i dispositivi delle proprie vittime. Tali tecniche sono descritte in dettaglio di seguito. DOWNLOAD INDESIDERATI Attualmente, questo è il principale metodo per diffondere il malware. I cybercriminali cercano siti Web non protetti e nascondono il proprio codice in una delle pagine Web: quando un utente visualizza tale pagina, il malware può venire trasferito automaticamente e invisibilmente sul proprio computer, insieme ai restanti contenuti richiesti. Questa procedura è conosciuta come "download indesiderato", in quanto non richiede interazioni con la vittima, oltre al semplice accesso alla pagina Web compromessa. I cybercriminali inseriscono uno script nocivo nella pagina Web, che installa il malware sul computer della vittima o, più solitamente, assume la forma di un reindirizzamento IFRAME a un sito controllato dai cybercriminali. Il computer vittima viene infettato se, su di esso, è presente un'applicazione non protetta e vulnerabile. SOCIAL NETWORK I cybercriminali, come i borseggiatori nel mondo reale, "sfruttano" la folla. Alcuni social network hanno una base di utenti delle stesse dimensioni di una grande paese, offrendo un gruppo già pronto di potenziali vittime. I cybercriminali utilizzano i social network in modi diversi. Ȋ Innanzitutto, utilizzano account contraffatti per distribuire messaggi che contengono collegamenti a codici nocivi. Ȋ In secondo luogo, sviluppano applicazioni fittizie che raccolgono i dati personali della vittima (che possono successivamente essere venduti ad altri cybercriminali) o installano malware (ad esempio, programmi antivirus fittizi) Ȋ In terzo luogo, creano account fittizi che raccolgono "amici", raccolgono informazioni personali e le vendono ai pubblicitari I cybercriminali sfruttano il fatto che gli utenti dei social network sono più che predisposti a condividere informazioni e a fidarsi delle persone che conoscono. I CYBERCRIMINALI INSERISCONO UNO SCRIPT NOCIVO NELLA PAGINA WEB, CHE INSTALLA IL MALWARE SUL COMPUTER DELLA VITTIMA O, PIÙ SOLITAMENTE, ASSUME LA FORMA DI UN REINDIRIZZAMENTO IFRAME A UN SITO CONTROLLATO DAI CYBERCRIMINALI. EMAIL E MESSAGGISTICA ISTANTANEA SUPPORTI RIMOVIBILI Circa il tre percento delle e-mail contengono malware, sotto forma di allegati o collegamenti. Le e-mail vengono anche utilizzate negli attacchi mirati come metodo per introdursi inizialmente nelle organizzazioni oggetto di tali attacchi. In questo caso, l'e-mail viene inviata a una persona specifica nell'organizzazione, sperando che esegua l'allegato o faccia clic sul collegamento e avvii il processo che consente agli autori dell'attacco di accedere al sistema. Questo approccio è noto con il nome di "spearphishing". I dispositivi fisici di archiviazione sono il modo ideale per diffondere il malware. Le chiavi USB, ad esempio, sono state utilizzate per espandere la penetrazione di malware all'interno di un'organizzazione, in seguito all'infezione iniziale. Per massimizzare le proprie probabilità di successo, i cybercriminali solitamente inviano le proprie e-mail al personale a contatto con il pubblico (spesso non tecnico), ad esempio responsabili delle vendite e del marketing. Le e-mail si rivolgono alla persona chiamandola per nome, l'indirizzo del mittente viene contraffatto in modo tale da sembrare proveniente da un collega fidato interno all'organizzazione e il contenuto dell'e-mail viene adeguato agli interessi dell'organizzazione in modo da sembrare legittimo. Spesso il malware utilizza le vulnerabilità legate alle modalità di gestione delle chiavi USB per eseguire automaticamente il codice all'inserimento del dispositivo nel computer. Alcune campagne di attacchi mirati variano i contenuti, a seconda della specifica natura dell'azienda alla quale si rivolgono. I cybercriminali fanno anche uso della messaggistica istantanea per diffondere i collegamenti ai malware. PER MASSIMIZZARE LE PROPRIE PROBABILITÀ DI SUCCESSO, I CYBERCRIMINALI SOLITAMENTE INVIANO LE PROPRIE E-MAIL AL PERSONALE A CONTATTO CON IL PUBBLICO (SPESSO NON TECNICO), AD ESEMPIO RESPONSABILI DELLE VENDITE E DEL MARKETING. Sono anche state utilizzate per far passare il Malware da un computer non affidabile connesso a Internet a una rete affidabile (questo metodo è stato utilizzato da Stuxnet, ad esempio). EXPLOIT E VULNERABILITÀ Uno dei principali metodi utilizzati dai cybercriminali per installare malware nei computer vittima è quello di sfruttare le vulnerabilità non corrette nelle applicazioni. Questo metodo si basa sull'esistenza di vulnerabilità e sulla mancata correzione delle applicazioni da parte dei singoli utenti o delle aziende. Tali vulnerabilità, o bug, possono trovarsi nel sistema operativo. In genere, i cybercriminali si concentrano su applicazioni utilizzate su larga scala che hanno maggiori probabilità di restare vulnerabili per periodi più lunghi, offrendo loro un margine di opportunità sufficiente per conseguire i propri obiettivi. EXPLOIT "ZERODAY" I cybercriminali non contano unicamente sul fatto che gli utenti non correggono sempre le proprie applicazioni. Talvolta, essi sono anche in grado di identificare le vulnerabilità prima dello stesso fornitore di applicazioni. Queste vulnerabilità sono note come vulnerabilità del "giorno zero" e offrono ai cybercriminali l'opportunità di diffondere i malware su qualsiasi computer in cui si trova l'applicazione vulnerabile, indipendentemente dal fatto che sia stata installata o meno l'ultima correzione. Le applicazioni più soggette ad attacchi Java (Oracle) 2% Adobe Acrobat Reader 11% Microsoft e IE 3% Adobe Flash 4% Android Root 56% 25% Altro CERTIFICATI DIGITALI Siamo tutti predisposti a fidarci dei siti Web con un certificato di sicurezza rilasciato da un'Autorità di certificazione attendibile o di un'applicazione con un certificato digitale valido. Suggerimento dal team GReAT: implementate un antimalware completo e integrato Sfortunatamente, i cybercriminali non solo sono in grado di contraffare i certificati per i malware, utilizzando i cosiddetti certificati "auto-firmati", ma sono anche riusciti a violare i sistemi di diverse Autorità di certificazione e ad utilizzare i certificati rubati per firmare il proprio codice. Accertarsi di eseguire sempre il software di sicurezza più recente, di applicare gli aggiornamenti quando sono disponibili e di rimuovere i software non più necessari. Ciò conferisce ai cybercriminali lo stato di insider fidati e massimizza le loro probabilità di successo: ovviamente è più facile che i singoli utenti o le organizzazioni si fidino di un codice firmato. CAPITOLO 5 IL FATTORE UMANO NELLA SICUREZZA IL FATTORE UMANO Le persone rappresentano sempre il punto di maggiore debolezza nella catena della sicurezza. I motivi sono svariati: Ȋ Molti utenti sono inconsapevoli degli stratagemmi utilizzati dai cybercriminali Ȋ Essi non conoscono i segnali da riconoscere Ȋ Inoltre, i continui tentativi di truffa non sono mai uguali, il che rende difficile per gli utenti distinguere tra cosa sia sicuro e cosa non lo sia. A volte, gli utenti tendono a sforzarsi il minimo possibile, pensando di semplificarsi la vita e ignorando le reali implicazioni per la sicurezza. Questo vale per le password, ad esempio. Molti utenti utilizzano la stessa password per tutto, spesso una parola facile da ricordare o, addirittura usano la parola "password"! Questo aumenta le probabilità di indovinare la password da parte di un cybercriminale. Una volta che un account viene compromesso, esso facilita l'accesso ad altri account. Anche se viene avvertita del potenziale pericolo, la maggior parte della gente non vede un'alternativa fattibile, vista la difficoltà di ricordare tante password diverse. SOCIAL ENGINEERING Il social engineering è la manipolazione della psicologia umana che mira a far fare agli altri ciò che si vuole. Nel contesto della sicurezza IT, significa spingere un utente a fare qualcosa che minaccia la sua sicurezza o la sicurezza dell'organizzazione per la quale lavora. Le e-mail di phishing rappresentano un buon esempio di social engineering. Esse si presentano di solito sotto forma di e-mail di spam inviate a un elevato numero di utenti. Queste e-mail sembrano e-mail legittimamente inviate da un'organizzazione affidabile. Ne imitano il logo, il tipo di formato e lo stile dell'organizzazione legittima, nella speranza di indurre una buona parte delle persone che ricevono l'e-mail a pensare che si tratti di una comunicazione lecita. Quando la vittima fa clic sul collegamento, viene reindirizzata a un sito Web fittizio in cui gli viene chiesto di fornire i propri dati personali, quali nomi utente, password, PIN e qualsiasi altra informazione utilizzabile dai cybercriminali. L'uso diffuso dei social network ha inoltre semplificato la vita dei cybercriminali, che sono in grado di raccogliere i dati pubblicati dagli utenti online e di utilizzarli per aumentare la credibilità di un'e-mail di phishing. Suggerimento dal team GReAT: aumentate la consapevolezza I cybercriminali utilizzano sempre più i dati pubblici per lanciare attacchi mirati contro le aziende. È opportuno mettere al corrente i colleghi dei rischi associati alla condivisione delle informazioni personali e aziendali online. Per ulteriori suggerimenti su come diffondere il messaggio tra i colleghi, dare un'occhiata ai 10 suggerimenti più interessanti alla fine del presente manuale. CAPITOLO 6 TECNOLOGIE ANTIMALWARE TECNOLOGIE ANTIMALWARE USATE AI GIORNI NOSTRI Ogni giorno si registrano centinaia di migliaia di nuovi tipi di malware. La crescita esponenziale verificatasi negli ultimi anni ha reso più importante che mai fermare le minacce in modo proattivo. Di seguito, vengono descritte le principali tecnologie anti-malware usate ai giorni nostri. Firme In genere, una sequenza caratteristica di byte utilizzata per identificare un determinato malware. Attualmente, tuttavia, le soluzioni antimalware fanno ampio uso di firme generiche per rilevare un vasto numero di malware che appartengono alla stessa famiglia. Analisi euristica Viene utilizzata per rilevare nuove minacce sconosciute. Include l'uso di una firma che identifica istruzioni nocive conosciute, anziché un malware specifico. Si riferisce anche all'uso di una sandbox (un ambiente virtuale sicuro creato nella memoria) per esaminare il comportamento del codice una volta eseguito sul computer reale. Analisi del comportamento Consiste nel monitoraggio del sistema in tempo reale per esaminare la modalità con cui un codice interagisce con il computer. Le analisi più sofisticate del sistema non si limitano a un controllo isolato del codice ma eseguono più sessioni di monitoraggio delle sue attività, nonché un esame delle sue modalità di interazione con altri processi del computer. Whitelisting Storicamente, le soluzioni antimalware si sono basate sull'identificazione di un codice notoriamente nocivo, ad esempio i programmi di "blacklisting". Il whitelisting adotta un approccio diverso, ossia lo blocca se non è presente nella lista dei programmi accettabili. Per ulteriori informazioni sulla whitelist, visitate la pagina Web all'indirizzo: http:// whitelist.kaspersky.com/ Per ulteriori informazioni, scaricate il documento all'indirizzo: http://media.kaspersky. com/en/business-security/application-security-control-tools%20best-practices.pdf Scansione delle vulnerabilità Poiché i cybercriminali fanno largo uso delle vulnerabilità nelle applicazioni, è opportuno essere in grado di identificare le applicazioni vulnerabili ad attacchi in un sistema, consentendo alle aziende o ai singoli utenti di adottare misure di correzione. Alcune soluzioni includono anche l'analisi in tempo reale del computer per bloccare le vulnerabilità del "giorno zero". Servizi basati sulla reputazione Oggigiorno, molte soluzioni utilizzano ampiamente l'infrastruttura basata su cloud, che consente la protezione quasi in tempo reale da una nuova minaccia rilevata. In parole semplici, i metadati di qualsiasi programma eseguiti su un computer protetto vengono caricati sui computer basati su cloud del fornitore, in cui viene eseguita una valutazione generale della reputazione, ad esempio, se sono ben conosciuti, mal conosciuti, se la quantità è conosciuta, quante volte sono stati visualizzati, dove sono stati visualizzati, ecc. Il sistema opera come un programma di sorveglianza di quartiere globale, monitorando cosa viene eseguito sui computer a livello mondiale e fornendo protezione a tutti i computer protetti se viene rilevato qualcosa di nocivo. I malware evoluti richiedono una soluzione evoluta: l'affermarsi delle piattaforme integrate I malware continuano a crescere in volume e sofisticazione. Quindi, oggi le aziende devono lottare contro un numero sempre crescente di vettori di attacco. In particolare, controllare costantemente l'utilizzo del Web e il crescente numero di dipendenti (e dati) mobili e aggiornare un array sempre più complesso di applicazioni comporta per il team IT, che è mediamente privo delle risorse sufficienti, il dover accettare di scendere a compromessi per quanto riguarda la sicurezza. Con l'aumentare della complessità dell'ambiente, la soluzione potrebbe essere quella di aggiungere nuove tecnologie per gestire e proteggere le svariate aree di rischio ma ciò aumenta il carico di lavoro, i costi e persino i rischi del team IT. Il nuovo panorama delle minacce ha portato Kaspersky Lab allo sviluppo della prima piattaforma di sicurezza unica realmente integrata. Questa piattaforma è il modo migliore per riunire tutte le aree tecnologiche, che vengono visualizzate, gestite e protette da un'unica console di gestione. Per ulteriori informazioni sulle piattaforme integrate, scaricate il documento all'indirizzo: http://media.kaspersky.com/en/business-security/10-Kaspersky-Integrated-SecuritySolution-Benefits.pdf IL TEAM GReAT Suggerimento dal team GReAT: utilizzate una tecnologia proattiva Per bloccare nuove minacce sconosciute in tempo reale, è opportuno implementare soluzioni antimalware che combinano diverse tecnologie, anziché affidarsi unicamente alla protezione basata sulle firme. Le opinioni degli esperti riportate in questo report sono fornite dal Team Ricerca Globale e Analisi di Kaspersky Lab (GReAT). Dal 2008, il team GReAT è leader nel settore intelligence, ricerca e innovazione antiminacce, sia in Kaspersky che esternamente. Il team GReAT è in prima linea da oltre dieci anni, durante i quali ha rilevato ed eliminato alcune delle maggiori minacce malware mondiali, tra cui Stuxnet, Duqu, Flame e NetTraveler. Nel 2013, ha vinto il premio di "Team della sicurezza informatica dell'anno" in occasione dei Premi SC. In questo report sono stati forniti numerosi suggerimenti dal team GReAT, concepiti allo scopo di ottenere il massimo dal software di sicurezza. PERCHÉ KASPERSKY? Operando in quasi 200 Paesi e territori in tutto il mondo, forniamo protezione a oltre 300 milioni di utenti e oltre 200.000 clienti aziendali, dalle aziende medio-piccole fino alle grandi organizzazioni governative e commerciali. Nel 2012 i prodotti Kaspersky Lab hanno partecipato a 79 test e recensioni indipendenti. I nostri prodotti hanno vinto 27 primi premi e per 63 volte sono rientrati nei primi tre posti. Le nostre soluzioni per la sicurezza avanzate e integrate forniscono alle aziende un'impareggiabile capacità di controllo dell'uso di applicazioni, Web e dispositivi: voi fissate le regole e le nostre soluzioni vi aiutano a gestirle. Kaspersky Endpoint Security for Business è stato progettato in modo specifico per contrastare e bloccare le avanzate e persistenti minacce odierne. Sviluppato in collaborazione con Kaspersky Security Center, fornisce ai team della sicurezza la visibilità e il controllo amministrativi di cui hanno bisogno, qualsiasi siano le minacce che si presentano. Per ulteriori informazioni, visitate il sito Web all'indirizzo: www.kaspersky.com/business KASPERSKY LAB GARANTISCE LA MIGLIORE PROTEZIONE DEL SETTORE*: 100% 80% Punteggio dei PRIMI 3 posti Kaspersky Lab è uno dei fornitori di sicurezza IT di livello mondiale con il più veloce tasso di crescita ed è tra le prime quattro aziende al mondo che si occupano di sicurezza. Nel 2012 i prodotti endpoint Kaspersky Lab hanno partecipato a 79 test e recensioni indipendenti. I nostri prodotti hanno vinto il 1° posto 27 volte e per 63 volte (l'80%) ci siamo classificati nelle PRIME 3 posizioni. Kaspersky Lab Primi posti – 27 Partecipazione a 79 test/recensioni Bitdefender 60% PRIMI 3 = 80% Symantec 40% Sophos G-Data F-Secure BullGuard PC Tools 20% 0 Webroot Microsoft Avast Avira Eset Trend Micro McAfee Panda AVG GFI 20 N. di test/recensioni indipendenti 40 60 80 * Note Ȋ4FDPOEPJMSJTVMUBUPEJSJFQJMPHPEFMUFTU indipendente effettuato nel 2012 per i prodotti aziendali, per privati e mobili Ȋ*MSJFQJMPHPJODMVEFJUFTUDPOEPUUJEBJ seguenti laboratori di test e riviste indipendenti: Ȋ-BCPSBUPSJEJUFTU"75FTU AV-Comparatives, VB100, PC Security Labs, Matousec, Anti-Malware.ru, Dennis Technology Labs Ȋ3JWJTUF$)*10OMJOF1$"EWJTPS PC Magazine, TopTenREVIEWS, CNET, PCWorld, ComputerBild, PC-Welt Ȋ-BEJNFOTJPOFEFMDFSDIJPJOEJDBJMOVNFSPEJ primi posti 5. IL FATTORE UMANO I SUGGERIMENTI PIÙ INTERESSANTI PER CREARE UNA CONSAPEVOLEZZA DELLA SICUREZZA NELLA VOSTRA AZIENDA ****** Poiché creare una consapevolezza dell'importanza della sicurezza IT all'interno dell'azienda può essere difficile, abbiamo riunito dieci suggerimenti per facilitare la comunicazione dei problemi relativi alla sicurezza a livello aziendale. 1 RIVOLGETEVI AI VOSTRI INTERLOCUTORI IN MODO CORRETTO 2 Evitate di rivolgervi ai vostri interlocutori come "gli utenti": è un'espressione impersonale che può dare loro l'impressione di essere poco coinvolti in ciò che state dicendo. Usate invece l'espressione "il dipendente", "il collega" o "la persona". 5 USATE L'IMMAGINAZIONE Sono tantissimi i modi in cui rendere le informazioni più coinvolgenti. Più i contenuti sono creativi e interessanti, più aumenteranno le possibilità che vengano letti. Provate ad utilizzare fumetti, poster e quiz. USATE IL TONO DI VOCE APPROPRIATO Un tono cordiale e amichevole vi aiuterà a comunicare con il vostro pubblico in modo più efficace, assicurandovi di riuscire a far comprendere ai vostri colleghi il ruolo di ciascuno nella protezione dell'azienda. 6 RIESAMINATE I RISULTATI RAGGIUNTI 9 INCORAGGIATE L'INSTAURAZIONE DI UN DIALOGO APERTO Le vostre informazioni sono state assimilate? Mettete alla prova i vostri colleghi e verificate cosa si ricordano e cosa hanno dimenticato. Un quiz sulle principali 5 problematiche di sicurezza IT potrebbe rappresentare una buona misura iniziale da adottare. Assicuratevi che i dipendenti comprendano le conseguenze di una violazione della sicurezza e l'importanza di tenervi informati. Alcuni potrebbero avere paura di subire provvedimenti disciplinari per aver fatto clic su un'e-mail di phishing e, di conseguenza, evitare di comunicarlo a chi di dovere. 3 RICHIEDETE IL SUPPORTO DEL REPARTO HR E DELL'UFFICIO LEGALE 4 TENETE INFORMATI I COLLEGHI 8 EVITATE IL LINGUAGGIO SPECIALISTICO Dove necessario, il personale in questione può applicare i criteri effettivi e fornire supporto in caso di violazioni IT. 7 ENTRATE NEL PERSONALE Affrontando gli interessi personali dei vostri colleghi, li aiuterete a comprendere meglio l'importanza e il contesto della sicurezza IT. Ad esempio, potreste discutere di come le violazioni della sicurezza possano influire sui loro dispositivi mobili. 10 CONSULTATE IL TEAM DEL MARKETING Gli addetti al marketing sono gli esperti in termini di comunicazioni interne all'azienda, pertanto, richiedete il loro aiuto su come coinvolgere al meglio i vostri colleghi. Prendete in considerazione gli orari e la frequenza dei vostri corsi e briefing sulla sicurezza IT. Assicuratevi che siano regolari e facilmente memorizzabili. La maggior parte delle persone non dispongono delle vostre competenze tecniche, quindi assicuratevi di spiegare tutto in un modo che risulti di facile comprensione. © 2013 Kaspersky Lab ZAO. Tutti i diritti riservati. Marchi registrati e marchi di servizio appartengono ai rispettivi proprietari. Mac e Mac OS sono marchi registrati di Apple Inc. Cisco è un marchio registrato o un marchio di Cisco Systems, Inc. e/o delle relative affiliate negli Stati Uniti e in altri Paesi. IBM, Lotus, Notes e Domino sono marchi di International Business Machines Corporation, registrati presso molte giurisdizioni del mondo. Linux è il marchio registrato di Linus Torvalds negli Stati Uniti e in altri Paesi. Microsoft, Windows, Windows Server e Forefront sono marchi registrati di Microsoft Corporation negli Stati Uniti e in altri Paesi. Android™ è un marchio di Google, Inc. Il marchio BlackBerry è di proprietà di Research In Motion Limited, è registrato negli Stati Uniti e potrebbe essere registrato o in attesa di registrazione in altri Paesi.