Cosa si possono aspettare le aziende nel 2015 per quanto riguarda la sicurezza e le cyberminacce?

Pur non potendolo sapere con precisione, esistono tuttavia alcune interessanti tendenze in atto che meritano di essere seguite con una certa attenzione.

Ne abbiamo parlato con Ivan Straniero di Arbor Networks - dove ha la qualifica di Territory Manager per l'Italia e il SE Europa - commentando i dati pubblicati nella decima edizione del Worldwide Infrastructure Security Report.

Per prima cosa occorre notare come gli attacchi DDoS stiano continuando a crescere sia di scala che di frequenza e vengano sempre più utilizzati per mascherare altre forme di cybercrimine. Il picco nelle dimensioni degli attacchi registrati su Internet nel corso del 2014 è stato pari a 400 Gbps circa, molto più dei 309 Gbps raggiunti nel 2013.

Si tratta di volumi di traffico giganteschi e fortunatamente attacchi di questa portata sono alquanto rari, ma è interessante vedere quanto siano divenuti comuni gli attacchi di grandi dimensioni.

Guardando ai dati raccolti, nel 2013 si sono verificati 39 attacchi superiori ai 100Gbps, soprattutto verso la fine dell'anno. Nel 2014 il loro numero è passato a 159, una crescita notevole. Questi attacchi così grossi sono stati generati principalmente mediante una varietà di tecniche di riflessione/amplificazione basate su DNS, NTP o SSDP.

Le tecniche di riflessione/amplificazione DNS sono da anni uno strumento utilizzato da chi vuole generare attacchi DDoS di grandi dimensioni, ma nel 2014 abbiamo assistito alla decisa adozione di NTP e SSDP - solo due dei protocolli che dispongono di capacità di riflessione/amplificazione, per cui è probabile che ulteriori protocolli vengano usati nel corso dell'anno per generare attacchi ancora più grossi.

Quello che preoccupa particolarmente della proliferazione di questi grandi attacchi volumetrici è la possibilità di danni collaterali nelle reti dei service provider o dei data center aziendali.

Sondaggio

Pericolosi malware per computer come Uroburos, spyware su smartphone Android e un numero costantemente in crescita di casi di malware con attacchi a dispositivi mobili. Quale di queste previsioni ti sembra più attendibile?

I "Quantified Self Data" sono protetti in modo inadeguato. - 8.8% Multi-target malware: door-openers nei computer aziendali. - 8.4% Più dispositivi mobili con malware pre-installato. - 27.7% Nuovo record per i Trojan bancari. - 17.8% Adware sempre sulla breccia. - 10.2% Spyware in aumento. - 27.0%   Voti totali: 488

Leggi i commenti

Attacchi di grandi dimensioni possono rallentare o bloccare i servizi per molti clienti; una percentuale significativa di aziende e operatori di data center ha affermato di aver subìto attacchi che hanno saturato la connettività Internet disponibile.

L'accresciuta consapevolezza di questo e le sfortunate esperienze vissute sul campo stanno promuovendo una domanda di servizi per la protezione DDoS basati su cloud o forniti da service provider per affrontare gli attacchi ad alta magnitudine, idealmente nell'ambito di una soluzione stratificata.

In secondo luogo, gli attacchi DDoS sono sempre più spesso impiegati nell'ambito di campagne più vaste. Molti associano le attività DDoS alle azioni di hacktivismo ideologico o ai giochi online, dal momento che queste due aree sono quelle che hanno ricevuto una particolare attenzione da parte della stampa.

Ciò che è interessante, tuttavia, è che gli attacchi DDoS sono sempre più usati come strumento per distrarre i team incaricati della sicurezza dagli obiettivi reali, solitamente inerenti la sottrazione di dati o la frode finanziaria.

Nel report citato, il 19% dei service provider intervistati considera la distrazione dai tentativi di sottrazione dei dati come una motivazione comune o molto comune di questi attacchi; numerosi altri studi hanno evidenziato recentemente le stesse conclusioni.

Le aziende devono sapere che un attacco DDoS può essere l'indicatore di qualcos'altro e aumentare il proprio stato di allerta conseguentemente, in particolare se l'attacco non possiede altri evidenti motivi di giustificazione.

Secondo Ivan Straniero, quest'anno continueremo quasi sicuramente ad assistere alla violazione di grandi aziende che hanno investito in più strati di sicurezza.

Il 2014 ha registrato un numero senza precedenti di aziende che si sono fatte sottrarre enormi quantità di dati, e il 2015 promette di proseguire lungo questa tendenza. La recente violazione di Anthem, un'assicurazione sanitaria privata statunitense, ne è un esempio.

I tradizionali processi di sicurezza focalizzati sul perimetro e sugli eventi non vanno più bene contro gli strumenti e la persistenza dei malintenzionati di oggi. Le aziende devono trovare strumenti che consentano di velocizzare i processi di analisi degli allarmi in modo che i team incaricati della sicurezza possano migliorare le capacità di reazione.

"Quest'anno" - afferma Straniero - "inizieremo anche a vedere un aumento delle aziende che potenzieranno i tradizionali processi IR event-driven con funzioni investigative che ricercano proattivamente eventuali minacce dirette contro gli asset critici: di questo se ne parla da un po' di tempo, ma ora il tema sta acquistando forza specialmente nelle aziende più grandi".

"In conclusione, non sappiamo per certo quel che potrà accadere quest'anno, ma possiamo imparare da quanto hanno visto gli altri. Assicurandoci di restare sempre aggiornati sulle minacce in circolazione e capire quali soluzioni e risorse disponibili possano essere adoperate con più efficacia per affrontare queste minacce, potremo minimizzare i rischi."

Nulla è certo ma, come dice il proverbio, la conoscenza è potere anche nella lotta al cybercrimine.