Qual è il minimo comune multiplo del rischio Cyber? Il confronto tra i report sulla sicurezza

Dalla fine del 2017 tutti i maggiori vendor di sicurezza, le organizzazioni e le associazioni che studiano la Sicurezza informatica hanno emesso pubblicazioni previsionali sulla evoluzione della minaccia per il nuovo anno, sottolineando i maggiori trend.

Il minimo comune denominatore del rischio Cyber

Ma se volessimo avere un quadro omnicomprensivo della minaccia, con il massimo grado di valutazione del rischio, potremmo provare un esercizio in parallelo con il principio matematico del minimo comune multiplo e provare a calcolare un “minimo comune multiplo del rischio Cyber” o “Cyber mcm”, in cui i singoli fattori di rischio sono dati dalle singole voci di minaccia riportate nei report mentre il grado di “incidenza” è dato dalla numerosità di volte in cui uno dei fattori di rischio è stato citato nei vari report: ad esempio il rischio ransomware, quello legato all’IoT sono praticamente sempre citati da tutti e quindi avranno il massimo grado di valutazione di rischio e potenzialmente di “pericolosità’”. Alcuni degli issues saranno invece peculiari a determinati report, ma volendo rimanere massicciamente inclusivi, li considereremo riportando sempre il numero effettivo di volte in cui sono stati citati.

Quali sono le principali minacce in ordine alfabetico

Per l’esercizio del Cyber mcm, come compendio delle minacce Cyber, sono stati analizzati i report emessi da: CheckPoint, CybSec, FireEye, Forrester, IBM, ISACA, infosec, Kaspersky, Sophos, McAfee, NTT Data, Symantec e l’Enisa Threat Landscape. Le minacce ed i trend sono ordinati secondo incidenza ovvero per numero di citazione nei vari report e a parità di citazioni, in ordine alfabetico:

Ransomware: tutti i tipi di utenti, dai consumatori alle aziende, sono diventati preda dei ransomware (campagne Petya/not Petya, Wannacry n.d.r.), creando il ragionevole sospetto che continueranno a crescere e a specializzarsi come nel caso di attacchi contro i POS (Point of Sale, i terminali per i pagamenti elettronici) o svilupperanno richieste creative per le tattiche di estorsione, come le richieste di contagio di altri contatti per la restituzione di dati a costi inferiori o per vedersi abbonata la fee da pagare. (CheckPoint, CybSec, Forrester, Sophos, ISACA, infosec, McAfee, Symantec, IBM, ENISA)

Internet delle cose (IoT): la superficie di attacco cresce proporzionalmente al numero di dispositivi smart integrati nelle reti aziendali. Le imprese dovrebbero utilizzare migliori pratiche di sicurezza per le proprie reti e per gli stessi dispositivi verso cui gli attacchi continueranno a crescere e a specializzarsi. Potrebbero verificarsi nel 2018 nuove varianti degli attacchi Mirai e BlueBorne, come è accaduto con Okiru (dispositivi IoT infettati e inclusi in botnet). Migliori pratiche di sicurezza nell’IoT saranno fondamentali per prevenire attacchi su larga scala e potrebbero persino essere imposte da normative internazionali. (CheckPoint, CybSec, FireEye, Forrester, ISACA, infosec, Symantec, IBM, ENISA, NTT)

Malware Cryptominers: questo tipo di malware è diventato uno dei vettori di attacco preferiti da attaccanti intenzionati a monetizzare, tanto che nel 2017 si è assistito ad una frenesia cripto-mineraria ed è stato dato il via a malware cripto-mining di tipo web-based che ha inciso pesantemente sui pc delle vittime ma ha anche rosicchiato una parte cospicua del mercato pubblicitario online. (CheckPoint, CybSec, FireEye, Kaspersky, infosec, Symantec)

Attacchi DDOS: poiché è facile diffondere una infezione viralmente mediante incorporazione di codice dannoso nelle app su Google Play, le botnet via mobile sono un’arma perfetta per l’attacco DDoS di massa e continueranno a disturbare anche in futuro specialmente inglobando i sistemi IoT nelle botnet. (CheckPoint, Forrester, ISACA, Symantec, IBM, ENISA)

State Sponsored Attacks: stanno emergendo attacchi mirati che utilizzano sofisticati strumenti sponsorizzati da alcune nazioni (principalmente russi, cinesi e nord coreani, con l’Africa in crescendo n.d.r.) e il tasso di attacco probabilmente continuerà a salire verso organizzazioni governative, ambasciate ed aziende private che operano sulla rete. (CheckPoint, CybSec, FireEye, infosec, IBM, ENISA)

Malware: l’industria del Malware as a Service (MaaS) continua a crescere e si prevede un aumento delle tecniche di hacking che contano sull’errore umano anche se sembrano calare le utilizzazioni di exploit kit. Sono previsti anche incrementi degli attacchi alla suite Office, sfruttando le MACRO ed ai sistemi macOS divenuti un obiettivo al pari dei PC Windows. Anche la tendenza ad usare malware file-less o light-malware potrebbe crescere. (CheckPoint, Sophos, Kaspersky, Symantec, ENISA)

Campagne di Malspam: lo spamming aggressivo di mail e la distribuzione collegata a subdole operazioni di truffa (come il phishing o lo scamming ad esempio) continuano a inondare i consumatori di tutto il mondo.  Nel corso del 2017 queste campagne hanno conquistata la quota di mercato precedentemente occupata da exploit kits e in alcuni casi il phishing si è evoluto con tecniche maggiormente sofisticate, adattive ed evasive. (CheckPoint, FireEye, Kaspersky, ENISA)

Cloud: la tecnologia cloud e l’infrastruttura che la supporta è relativamente nuova e in continua evoluzione ed esistono ancora problemi di sicurezza che possono fornire una backdoor di accesso agli hacker. Sono ancora causa di problemi le errate configurazioni, la gestione erronea delle responsabilità e il generale livello di sicurezza che possono favorire le violazioni. (CheckPoint, FireEye, infosec, NTT)

Mobile: i dispositivi mobile fanno parte del perimetro IT aziendale, eppure non vengono ancora protetti in modo appropriato, nonostante il rischio che presentano. Persistono infatti, difetti nei sistemi operativi mobile che li rendono vulnerabili a malware, spyware e a malware specifici per il mobile banking. Anche i cryptominer (malware che minano monete virtuali), saliti alla ribalta nel 2017 potrebbero essere rilasciati su dispositivi mobile per il mining di criptovalute. (CheckPoint, Sophos, Kaspersky, infosec)

Infrastrutture critiche: quasi tutte le infrastrutture sono state progettate e costruite prima dell’avvento della minaccia di attacchi informatici e, per questo motivo, anche i più semplici principi di sicurezza informatica non sono stati presi in considerazione all’interno dei progetti. Anche se l’attacco DDOS contro il servizio di domain directory di DynDNS del 2016, ha offerto un’idea di ciò che è possibile fare con un attacco informatico a un’infrastruttura critica (reti telefoniche/mobile, reti elettriche, centrali elettriche o impianti di trattamento delle acque, nd.r.), il rischio di un simile attacco verso una infrastruttura critica nazionale è ancora esistente. (CheckPoint, FireEye, Kaspersky, NTT)

Sofisticazione degli attacchi: un maggior numero di attacchi inizierà con attività di ricognizione e profilazione mediante toolkit appositi come “BeEF” per stabilire se possa essere utilizzato un exploit meno costoso o non di tipo zero-day. Oppure gli attacchi potrebbero sfruttare il bridge tra OS e firmware, la Unified Extensible Firmware Interface (UEFI) per creare malware che possono essere lanciati prima che una qualsiasi soluzione anti-malware, o il S.O. abbia il tempo di avviarsi. Potrebbero verificarsi un maggior numero di attacchi a router e modem ottenere un accesso persistente e invisibile a un network nascondendo le tracce dell’attaccante. Le Serverless app potrebbero essere prese di mira per la loro utilizzazione diffusa e per le vulnerabilità che presentano. Infine se l’utilizzo di AI e Machine learning sembra supportare le difese, gli attaccanti potrebbero utilizzarlo a fini malevoli come scoprire le vulnerabilità, imparare rapidamente le difese e i sistemi di rilevamento attivi). (Kaspersky, McAfee, Symantec, IBM)

Supply Chain attacks: in questo tipo di attacchi gli hacker iniettano malware negli aggiornamenti software in modo da infettare le app durante i rilasci di software, ed infettano gli utenti attraverso canali di distribuzione software ufficiali e trusted dagli utenti. Questo trend iniziato nel 2017 potrebbe continuare.  (FireEye, Sophos, Kaspersky, Symantec)

Infezioni mediante “movimenti laterali”: il termine movimento laterale rappresenta la capacità di un aggressore di diffondersi all’interno dell’infrastruttura di rete di un’organizzazione. Si riscontra un aumento delle tecniche e dei metodi di movimento laterale, che ha come rischio quello di poter danneggiare un’intera organizzazione, tramite un unico punto di accesso. Infatti, i sistemi non protetti o non protetti possono essere colpiti rapidamente lasciando paralizzata l’organizzazione vittima. (CheckPoint, Kaspersky)

Cyberattacchi motivati da ragioni politiche: nel 2017 sono stati segnalati attacchi informatici prima e durante alcune elezioni in particolare in Francia e Germania, ma volendo si possono ricordare anche le elezioni Americane. Nel 2018 notizie false, o sottrazioni intenzionali di dati potrebbero aiutare a cambiare il clima politico in alcune regioni, favorendo ingiustamente alcuni candidati politici rispetto ad altri. (FireEye, Forrester)

Per ogni opportunità di business creata dal mondo iperconnesso, si crea uno scenario di potenziale interesse per i cybercriminali (auto connesse, sistemi sanitari, sistemi finanziari, sistemi di sicurezza industriale ed operational technology). Quindi la difesa di reti e sistemi connessi richiede un approccio proattivo per bloccare preventivamente le minacce prima che possano infettare e danneggiare. Utilizzando la cyberintelligence che studia il panorama della minaccia è possibile capire le strategie di attacco e potenziare, unificare e consolidare, le misure di sicurezza, magari adottando soluzioni di SECaaS (Security as a Service). Fondamentale potrebbe rivelarsi l’adeguamento alla normativa del General Data Protection Regulation o GDPR, il regolamento Europeo in materia di protezione dei dati, anche se inizialmente tutti gli attori di mercato sembrano principalmente preoccupati della compliance e delle potenziali sanzioni previste in caso di non conformità. Cruciale sarà anche lo sviluppo di Assicurazioni dal rischio Cyber, che potrebbe supportare il processo di autovalutazione e consolidare la awareness presso le organizzazioni pubbliche e private.