2017

Decifrare, da un lato, chi siano gli aggressori e quali tecniche siano maggiormente utilizzate oggi e, dall’altro lato, capire il comportamento delle aziende costrette a difendersi nella cyber-arena è l’obiettivo del report analizzato, il Cisco 2017 Annual Cybersecurity Report. Cisco è uno dei maggiori competitor internazionali per la fornitura di infrastrutture di reti e attraverso le sue numerose partecipazioni controlla importanti settori anche nei mercati dell’IoT, del cloud, delle nuove tecnologie. Il report 2017 è diviso, principalmente, in due parti: la prima esamina il comportamento degli aggressori nel cyber-space, la seconda esamina quello di chi difende il proprio business agli attacchi.

INTRODUZIONE

Gli avversari nel cyber-space, oggi, hanno a disposizione una vasta gamma di tecniche per violare le reti e guadagnare l’accesso alle risorse dell’organizzazione e ampliare il proprio spazio operativo. Le loro strategie includono:

• Guadagnare vantaggi mentre chi si difende è impegnato ad aggiornare le proprie tecniche di difesa (patch e update).
• Adescare utenti tramite il social-engineering.
• Distribuire malware attraverso contenitori leciti sulla rete (per esempio pubblicità).

Oltre a queste hanno sviluppato numerose altre tecniche riuscendo ad aggiornare costantemente la qualità e la quantità delle proprie minacce. L’espansione smisurata della superficie di difesa (e quindi di attacco) seguente alla proliferazione di dispositivi mobili always-on e la crescita del traffico online garantiscono agli aggressori una fonte pressoché illimitata di dati e ricchezza. Chi si difende deve quindi imparare a ridurre lo spazio operativo degli avversari e, in questo senso, un concetto (e un metodo) chiave è quello dell’Automazione. Essa, infatti, garantisce agli addetti alla sicurezza di capire quale sia un comportamento normale e quale no, e, di conseguenza, ridurre il tempo di risposta e lo spazio operativo di chi sta attaccando l’infrastruttura. Altro concetto chiave è Integrazione. Continuare a sviluppare o acquistare soluzioni differenziate non facilita l’azione di sicurezza ma, anzi, la complica. Per questo, le organizzazioni devono adottare un approccio integrato che riesca a rendere operativi i processi, le tecnologie e il personale a disposizione.

I professionisti della cyber-sicurezza intervistati da Cisco hanno citato quattro elementi fonti di rischio secondo la propria esperienza: dispositivi mobili, dati nel cloud, infrastrutture cloud, personale, secondo queste percentuali:

Per dare un’idea di quanto il cyber-space e, quindi, la superficie di attacco e difesa si stia espandendo, Cisco ha stimato che, alla fine del 2016, il traffico globale IP abbia superato il confine dello zettabyte (1 miliardo di terabyte) e raggiungerà 2.3 ZB entro il 2020, 95 volte il traffico globale del 2005.

Le indicazioni strategiche di Cisco per le organizzazioni sono, quindi, di:

• Integrare la propria sicurezza
• Semplificare le proprie operazioni
• Affidarsi maggiormente all’automazione

IL COMPORTAMENTO DEGLI AGGRESSORI

Dividiamo in 4 fasi principali l’azione di aggressione di un soggetto contro l’infrastruttura informatica di un’organizzazione:

• Reconnaissance
• Weaponization
• Delivery
• Installation

RECONNAISSANCE

In questa fase gli aggressori scandagliano le infrastrutture target alla ricerca di vulnerabilità che permettano lorodi guadagnare l’accesso alle risorse dell’organizzazione.

Le tecniche per il riconoscimento delle vulnerabilità che sono state maggiormente utilizzate nel 2016 sono le PUA (Potentially Unwanted Applications), come per esempio le estensioni del browser, e i Suspicious Binaries, cioè file eseguibili che distribuiscono spyware o adware.  Seguono i Trojan Droppers, cioè file per l’installazione successiva di un trojan, e le truffe su Facebook (fake offer soprattutto). Questi primi 3 (PUA e SB, TD e Facebook Scam Links) coprono da soli il 49% dei malware più utilizzati nel 2016 precedendo altre 15 tipologie meno comuni. Da sottolineare, però, la crescita della minaccia dei Browser Redirection che espongono il browser a campagne di malvertising (malicious advertising) con cui poi i criminali distribuiscono malware e ransomware. Cisco ha evidenziato come il 75% delle aziende analizzate soffra dei problemi con adware malevoli. Un altro trend degno di nota è l’aumento di malware su Android.

WEAPONIZATION

La weaponization è la fase in cui i malware che garantiscono accesso remoto all’aggressore vengono uniti a contenuti vulnerabili destinati alla diffusione.

Adobe Flash, a lungo fondamentale vettore degli attacchi web, sta oggi perdendo il proprio ruolo grazie anche all’azione di sostituzione che molti web-browser stanno portando avanti. Questo non deve però far abbassare la guardia verso un componente che continua ad essere molto diffuso. Un’azione di costante aggiornamento e pulizia dei plugin del proprio browser può essere fondamentale per ridurre i rischi. Stessa considerazione può essere fatta per Java, PDF e Silverlight.

Ciò che sembra diventare il principale vettore per avere l’accesso alle risorse di un’organizzazione è il cloud o, meglio, la moltitudine di applicazioni che hanno accesso al cloud aziendale. Per quanto riguarda il numero di esse, Cisco riporta che tra l’ottobre 2014 e l’ottobre 2016 esso sia aumentato di circa 11 volte (da 20’400 a 222’000). Per quanto riguarda la loro natura, il servizio cloud di Cisco ha rilevato che il 27% di esse sia da considerare altamente rischioso.

La percentuale di applicazioni rischiose che hanno accesso al cloud dell’azienda è sostanzialmente stabile sia per regioni del mondo sia per mercati (un picco significativo per quanto riguarda il settore finanziario, il 35%).

L’obiettivo della sicurezza dell’organizzazione è di standardizzare le procedure di accesso per poter concentrare la propria attenzione sulle reali minacce. Si compone, quindi, un pattern delle minacce in 3 livelli. Il primo è quello del comportamento standard degli utenti, il secondo è quello dei comportamenti anomali (eccessivi tentativi di login, download o eliminazione di file etc), il terzo è quello delle attività sospette (lo 0,02% del campione di 5000 attività analizzate da Cisco). Solo l’automazione può permettere al personale una corretta valutazione dei rischi.

DELIVERY

Questo paragrafo analizza i modi in cui i malware vengono consegnati al sistema obiettivo. Ciò avviene attraverso email, allegati, siti e altri strumenti estremamente diversi tra loro.

Il 2016 è stato un anno particolarmente intenso per quanto riguarda gli exploit. Infatti se all’inizio dell’anno si contavano almeno 4 exploit kit online che dominavano il mercato, Angler, Nuclear, Neutrino e RIG, alla fine del 2016 solo l’ultimo era ancora attivo. Secondo Cisco, solo per Angler si può supporre la causa della scomparsa: l’arresto del collettivo di 50 hacker russi collegati alla sua diffusione.

Il mercato è, secondo Cisco, oggi nuovamente libero per gli small player che vogliono approfittarne.

Per quanto riguarda gli adware, i cyber-criminali ne fanno uso per:

• Introdurre pubblicità che possa, in seguito, portare nuove violazioni o aumentare l’esposizione agli exploit kit;
• Cambiare le impostazioni di browser e OS per diminuire la sicurezza del sistema;
• Oltrepassare l’antivirus e gli altri sistemi di sicurezza;
• Guadagnare pieno controllo del computer host;
• Localizzare e tracciare l’attività dell’utente;
• Sottrarre informazioni personali.

Il report di Cisco raggruppa gli adware in quattro categorie principali:

• Ad injectors: generalmente attaccano il browser e infettano tutto il sistema operativo
• Browser-settings hijackers: cambia le impostazioni del browser
• Utilities: categoria vasta e in crescita che comprende tutte le web applications che offrono un servizio apparentemente utile (per esempio l’ottimizzazione del PC).
• Downloaders: questi adware possono scaricare altri software (è il caso delle toolbar)

Cisco ha stimato che il 75% delle organizzazioni studiate sono colpite da infezioni di adware.

Altro metodo di “consegna” delle cyber-weapons usato dai criminali è lo spam. Cisco stima che tra l’ottobre 2015 e l’ottobre 2016, il 65% del volume globale di mail costituisce SPAM, e di questo il 8-10% sia di natura fraudolenta. Parliamo dunque di un’imponente volume di mail inutili o, peggio, dannose. Riprendendo lo studio Composite Blocking List (CBL), il report ci mostra come negli ultimi 5 anni (2012-2017) il volume di Junk Mail sia aumentato vorticosamente, raggiungendo quasi il picco del 2010.

Del totale delle mail spam inviate nell’ottobre 2016, il 75% conteneva allegati dannosi, la maggior parte inviati tramite le botnet gestite da Necurs. L’osservazione di quali estensioni di file vengano utilizzate maggiormente per diffondere malware ci mostra una capacità evolutiva e strategica dei cyber-criminali, che tolgono e reimmettono le estensioni dal “mercato” a seconda della capacità di reazione sviluppata dalla sicurezza dei sistemi. Il trend osservato è, quindi, altamente oscillante. Una particolare attenzione è data da Cisco agli attacchi SPAM denominati hailstorm e snowshoe.

INSTALLATION

La fase di installazione è quella in cui, una volta che il malware è presente sul sistema, garantisce accesso permanente all’avversario, costituendo, ad esempio, un Advanced Persistent Threat (APT), e permette di sottrarre dati, lanciare attacchi Ransomware e arrecare altri danni. È chiaro, quindi, come il fattore fondamentale per gli addetti alla sicurezza sia la velocità di scoperta (Time-to-Detection, TTD) di queste minacce sopite e che per i criminali sia la velocità di evoluzione (Time-to-Evolve, TTE) delle minacce. Cisco fa un’analisi empirica dei due parametri, TTD e TTE, e mostra come il proprio TTD mediano sia costantemente diminuito grazie alle strategie di reazione citate nell’introduzione.

IL COMPORTAMENTO DELLE AZIENDE

Nel 2016, anno di riferimento dell’analisi di Cisco, il numero delle vulnerabilità (per quanto riguarda le vulnerabilità e il processo di disclosure si rimanda ad un contributo precedente http://www.europeanaffairs.media/it/2017/04/19/cybersecurity-le-vulnerabilita-di-sistema-al-centro-del-report-settimanale/) dei propri sistemi scoperte dalle aziende ha subito un significativo declino (16 %). Ciò, però, sarebbe da imputare all’inusuale numero di disclosed vulnerabilities nel 2015 e non ad un effettivo calo di esse. Infatti, fatta eccezione per l’annus mirabilis del 2015, il trend è in costante aumento e dimostrerebbe la crescente attenzione delle aziende alla propria cyber-policy di scoperta e correzione delle vulnerabilità.

Fino alla pubblicazione del report (gennaio 2017), nessuna vulnerabilità era stata al centro delle cronache, fin dal caso Heartbleed (2014). Chiaramente oggi, dopo l’esplosione del caso Wannacry collegato ad una vulnerabilità di Microsoft (Eternal Blue), il quadro è cambiato e verrà analizzato nel report 2018 di Cisco.

Se da un punto di vista quantitativo il trend è costante, da quello qualitativo c’è stato un importante shift. I cyber-criminali stanno puntando sempre di più su soluzioni di aggressione server-side, cioè contro i server aziendali e non i client connessi.

Inoltre, degne di nota sono le crescenti vulnerabilità dovute all’utilizzo di middleware, programmi che servono da intermediari tra diverse applicazioni e software al fine di integrarne le funzionalità. Queste vulnerabilità pongono una minaccia considerevole a causa soprattutto dei meno frequenti aggiornamenti a cui sono soggetti i middleware.

L’attenzione principale dell’analisi di Cisco è però su un altro fattore, il c.d. Time to Patch (TTP), cioè l’intervallo di tempo tra la scoperta di una vulnerabilità e, conseguente, release della patch e l’effettivo update da parte dell’user. Più questa finestra di tempo è ampia, più i cyber-criminali hanno spazio operativo per sfruttare la vulnerabilità. Infatti, se per gli attacker più esperti la soluzione migliore è la ricerca autonoma delle vulnerabilità, per molti altri attacker la release di una patch costituisce l’annuncio della presenza di una vulnerabilità di un sistema che, se non patchato rapidamente, può essere bersaglio di attacchi. Oggi lo sperimentiamo con il caso Wannacry, il ransomware che ha colpito mezzo mondo: la scoperta della vulnerabilità, sembrerebbe, da parte dell’NSA, la divulgazione di essa da parte di Shadowbrokers, la release della patch di Microsoft hanno annunciato al mondo la presenza di una vulnerabilità di sistema significativa. Il mancato update del sistema di molte organizzazioni, imprese e privati è il principale responsabile dei danni causati dall’attacco.

La questione dell’aggiornamento diventa, quindi, cruciale e Cisco individua alcuni fattori che condizionano la propensione degli utenti ad aggiornare i propri sistemi:

• La regolarità degli aggiornamenti: più gli aggiornamenti sono discontinui, meno gli utenti saranno propensi ad aggiornare il prodotto.
• L’invasività degli avvisi di aggiornamento: più gli avvisi sono light, meno gli utenti saranno costretti ad aggiornare.
• La facilità dell’opting-out dall’aggiornamento: più è facile per gli utenti declinare o interrompere la procedura di aggiornamento meno saranno quelli che la completano.
• La frequenza dell’utilizzo del software da aggiornare.

Il comportamento degli utenti nell’aggiornamento di 2 software diffusissimi (Flash e Chrome sul report sono disponibili anche le statistiche di Firefox, Silverlight e Java) è riassunto in questo grafico:

Osservando l’andamento degli aggiornamenti di Adobe Flash il pattern è il seguente: per il periodo di riferimento (a partire da maggio 2015) entro la prima settimana è, di media, l’80% degli utenti ad aggiornare, seppure con un’oscillazione ampia (67-99 %). Per la vulnerabilità oggetto di patch, gli hacker hanno a disposizione 1 settimana come finestra operativa e per il 20% degli utenti anche più.

Per Chrome il pattern è diverso, quando gli update sono regolari il TTP è circa una settimana, ma gli utenti soffrono molto l’aumento della frequenza delle patch. Infatti tra secondo e il terzo quarto del 2016, in 9 settimane ci sono stati 7 aggiornamenti e una percentuale crescente di ritardi nell’update.

CISCO 2017 SECURITY CAPABILITIES BENCHMARK STUDY

In questa sezione Cisco analizza la percezione degli addetti alla sicurezza informatica nelle proprie organizzazioni attraverso sondaggi mirati per Chief Security Officers (CSOs) e Security Operations Managers (SecOps).

Nel 2016, il 58% dei professionisti intervistati ha affermato che la sicurezza della propria organizzazione è aggiornata e sfrutta le migliori tecnologie in circolazione. Il 37 % ha riportato di aggiornare le tecnologie di sicurezza in maniera regolare pur non essendo equipaggiate al momento con la migliore tecnologia in circolazione. Stessa fiducia per quanto riguarda la percezione dell’efficacia delle proprie tecnologie sia in un’ottica statica che dinamica. Entrambe le percentuali sono però in calo rispetto agli anni precedenti. Inoltre la percentuale di addetti convinti che i dirigenti della propria organizzazione considerino la sicurezza come una high priority è calata di 4 punti percentuali dal 2014 ad oggi, come anche quella degli addetti convinti che i ruoli e le responsabilità nella sicurezza siano adeguatamente chiariti.

In sintesi, quindi, ancora si respira un clima di sicurezza ma le incertezze stanno crescendo insieme alla consapevolezza dei successi degli attackers e della difficoltà di gestire l’enorme superficie di difesa.

Per quanto riguarda la percezione degli ostacoli, Cisco rileva come la questione budget sia ancora quella più controversa. Il 39 % degli intervistati ha sostenuto che proprio il budget sia l’ostacolo più grande per la sicurezza dell’organizzazione, seguito dalla compatibilità con i sistemi legacy (sistemi e tecnologia a cui vengono destinati investimenti considerevoli pur risultando antiquati) e dalla mancanza di personale adeguatamente addestrato. Quindi, il denaro non è il solo vincolo sperimentato ma è solo una parte del problema, insieme a tempo e talento.

Un dato importante è quello relativo all’integrazione sia in termini di prodotti e servizi per la sicurezza dell’organizzazione sia in termini di fornitori. Infatti il 55% delle organizzazioni utilizza prodotti e servizi da almeno 5 fornitori diversi aumentando esponenzialmente il profilo dell’eterogeneità delle soluzioni (il 10% utilizza più di 20 fornitori). Inoltre, il 65% delle organizzazioni fa uso di più di 5 prodotti per la propria sicurezza informatica (17% più di 25).

La mancanza di integrazione in un contesto così eterogeneo influisce enormemente sui gap di tempo e spazio sfruttati dagli attackers.

Passando sul piano della capacità di reazione agli alert di sicurezza, Cisco rileva che solo il 56% degli alert di sicurezza vengono approfonditi e, di questi, solo il 28% trova una spiegazione. Infine, solo al 46% di questi ultimi viene effettivamente posto rimedio. In termini più semplici, se gli alert sono 5000 al giorno:

• 2800 alert vengono approfonditi, 2200 no
• Dei 2800 analizzati, 784 trovano una spiegazione, 2016 no.
• Di quelli a cui si trova una spiegazione, solo a 360 si pone rimedio, agli altri 424 no.

L’automazione e l’integrazione possono risolvere questo enorme gap dovuto a mancanza di soldi, talento o tempo.

Passando al livello della quantificazione del danno (per cui si rimanda anche ad un contributo precedente http://www.europeanaffairs.media/it/2017/05/06/limpatto-economico-del-cyber-crime/), esso consta di 3 entità: denaro, tempo e reputazione. Il numero di violazioni che sono diventate di dominio pubblico è in crescita. Oggi, il 49% delle organizzazioni esaminate ha subito violazioni che poi sono diventate di dominio pubblico, coinvolgendo quindi tutte e 3 le dimensioni. Questi i settori maggiormente interessati:

In conclusione, per Cisco, le organizzazioni, per creare un ambiente effettivamente sicuro devono fare agire su due dimensioni, drivers e safeguards, qui illustrati:

Ognuno di questi elementi è fortemente interconnesso, in maniera tale che non si possa garantire la sicurezza del proprio ambiente solo con alcuni di essi. Per capire i propri punti di debolezza, gli esperti devono analizzare la propria struttura e capire quali di questi elementi non sia integrato.

Lorenzo Termine