Trend Micro, ransomware e IoT domineranno il 2017. Occorre fare cultura

Trend Micro, ransomware e IoT domineranno il 2017.  Occorre fare cultura

Gli attaccanti troveranno nuovi modi per utilizzare le famiglie di malware esistenti. L’IoT apre nuove possibilità di attaccare altre superfici e i cambiamenti nei software spingono i cyber criminali alla ricerca di nuove tipologie di...

di: Barbara Torresani del 22/02/2017 13:23

Enterprise Management
 
“La sicurezza è l’accettazione di un livello di rischio; la sicurezza al 100% non si raggiungerà mai, occorre lavorare nelle aziende sia in termini di processi sia di prodotti per alzare al massimo l’asticella in questo senso e ridurre al minimo il rischio”, è l’assunto da cui parte Gastone Nencini, Country Manager di Trend Micro in Italia nel delineare i principali trend che caratterizzeranno la cyber security nel 2017 nel recente incontro Security Barcamp, giunto alla seconda edizione. E anche se la consapevolezza sul tema tende a crescere sempre di più in questo senso, la strada da fare è ancora lunga: la mancanza di culturale rimane elevata.
rik-ferguson-trend-micro.jpg
Rik Ferguson, Vice President, Security Research, Trend Micro
E’ Rik Ferguson, Vice President, Security Research, Trend Micro, a fornire una vista sull’andamento del 2016 per poi guardare al 2017 che sarà caratterizzato in prevalenza da attacchi ransomware più sofisticati, incremento delle truffe Business email compromise (Bec), attacchi mirati a Internet of Things (IoT) e Industrial Internet of Things (IIoT); incremento delle vulnerabilità Apple e aumento della cyber propaganda. “Non c’è ombra di dubbio: nel 2016 il ransomware è stato il protagonista assoluto; se nel 2015 cresceva esponenzialmente,nel 2016 questa minaccia è letteralmente esplosa, crescendo a ritmi superiori del 400%, in termini di numero di famiglie, diventando molto diffuso e altresì popolare. Nel 2017 il numero delle nuove famiglie di ransomware è invece destinato a stabilizzarsi. E’ prevista una crescita del 25%, ma i metodi di attacco e gli obiettivi saranno più diversificati e coinvolgeranno i dispositivi IoT e i terminali non desktop come i sistemi PoS e i bancomat,” afferma.
Come spiega Ferguson quello del ransomware è un fenomeno che ha origini lontane quando ancora c’erano i floppy disk, e, a differenza di quanto si  possa credere non è stato ideato da criminali visionari ma da un medico. Da allora il fenomeno è evoluto moltissimo riportando una crescita esplosiva. E’ un metodo efficace, dai guadagni facili e veloci, che mette in relazione in modo diretto cyber criminale e vittima dal punto di vista finanziario, senza compromettere account bancari: si tratta di software malevoli che infettano il device (sia esso un pc, un smartphone, ma oggi anche la rete), ne decriptano i dati e ne chiedono un riscattoNon c’è una famiglia top, ma sono molto geolocalizzate; è fenomeno distribuito e cross industry, non statico su un certo target questo per evitare sistemi di controllo e blocco. E’ una forma di ricatto che può proseguire nel tempo. Se si trova chi paga lo si continua ad attaccare. Pagare però non è risolutivo in assoluto, a volte potrebbe essere deleterio Difficile trovare l’autore: più persone hanno incominciato a lavorare attorno a questo business e le stesse organizzazioni criminali hanno lavorato su diverse famiglie. E non è un business quantificabile facilmente perché spesso non viene denunciato”. E se in passato il fenomeno era legato principalmente al mondo consumer oggi si assiste allo sviluppo di funzionalità per il mondo business: “Con chiunque io parli, e dovunque mi trovi, sono molto poche le persone e le organizzazioni che non hanno avuto a che fare con questa tipologia di attacco”.
Un fenomeno generale, che tocca pesantemente anche l’Italia: Il ransomware ha colpito e continua a colpire molte Piccole e Medie Imprese italiane; c’è una carenza di cultura generale diffusa, dalle piccole alle medie imprese, ma anche nelle grandi, anche se più attrezzate in termini di prodotti. E'  uno dei maggiori paesi in termini di impatto di questa tipologia di minaccia. Se nel 2016 c’è stata una vera e propria apoteosi del fenomeno – per tenere il passo Trend Micro attraverso il Machine Learning ha fatto una serie di attività per ridurre la finestra di rischio - nel 2017 non aumenteranno così tanto le famiglie di ransomware, ma si affineranno le tecniche di attacco. La strada da seguire non è quella della decryption ma quella di mettere in piedi processi e prodotti all’interno delle aziende. Il punto debole è, e rimane, comunque l’operatore. C’è poca cultura e a volte manca l’interesse a informare gli operatori; spesso ci si prende il rischio di essere colpiti”. 

Nel mirino Iot/IIIoT, Bec e Bpc
Prosegue Ferguson: “Nel 2016 sono aumentate  le vulnerabilità di Apple, arrivate a 50, mentre sono stati 135 i bug di Adobe e 76 quelli che hanno colpito Microsoft. Questo cambiamento negli exploit contro i software vulnerabili continuerà nel 2017, nel momento in cui Apple è visto come sistema operativo prominente e il loro numero sorpasserà quello di Microsoft.”

gastone-nencini-trend-micro.jpg
Gastone Nencini, Country Manager di Trend Micro in Italia

Internet of Things (IoT) e Industrial Internet of Things
(IIoT) giocheranno altresì un ruolo maggiore negli attacchi mirati: “I vendor non faranno in tempo a mettere in sicurezza i dispositivi IoT e IIoT, che saranno presi di mira per attacchi mirati o DDoS”.  Questi attacchi si avvantaggeranno del crescente utilizzo dei dispositivi connessi per sfruttare le vulnerabilità e i sistemi non sicuri e interrompere i processi di business, come successo nel caso del malware Mirai. I cyber criminali minacceranno le organizzazioni sfruttando la combinazione tra il numero significativo delle vulnerabilità e il sempre più frequente utilizzo dei dispositivi mobili per monitorare i sistemi di controllo negli ambienti manifatturieri e industriali. “Industry 4.0 porta ad automatizzare fortemente il processo industriale. Mentre prima la parte industry era scollegata dalla parte office/amministrativa oggi le due parti  si collegano e interconnettono e quindi il problema sicurezza da una parte passa per osmosi anche all’altra. In concreto, significa che il ransomware invece di colpire un pc colpirà un sistema Scada o di controllo dell’industria, o entrambi, travasandosi da una parte all’altra. E’ inevitabile quindi che nel 2017 gli attacchi IoT/Scada siano destinati a proliferare. Tutto ciò che ha a bordo un sistema operativo collegabile a Internet diventa infettabile e vulnerabile,” afferma Nencini.
Continueranno inoltre a crescere le truffe Business Email Compromise (Bec) e Business Process Compromise (Bpc) come forme di estorsione aziendali semplici e ad alta rendita. “Come visto nel caso dell’attacco alla Bangladesh Bank nel 2016, gli attacchi Bpc possono permettere ai cybercriminali di alterare i processi di business e guadagnare profitti significativi. Questi attacchi saranno sempre più frequenti nei confronti della comunità finanziaria. Con un semplice raggiro a un impiegato, che dovrebbe trasferire denaro a un contro criminale, un attacco Bec può rendere 140.000 dollari mentre ‘hackerare’ direttamente un sistema di transazioni finanziarie, richiederebbe più lavoro”, spiega Ferguson.
Con il 46% della popolazione mondiale connessa, infine, continuerà a crescere la cyber-propaganda – intesa come utilizzo  sempre maggiore degli strumenti IT per condizionare le scelte dei comportamenti e delle scelte. 

Una questione di cultura
Quello della sicurezza è un problema principalmente  di cultura: “Le persone che hanno a che fare con la sicurezza come i Ciso hanno la consapevolezza dei rischi, ma si scontrano con un muro di mancata cultura. L’'arrivo della Gdpr, General Data Protection Regulation - che costringerà a effettuare cambiamenti amministrativi e di policy che impatteranno sui costi e richiederanno alle aziende di rivedere completamente i processi che riguardano i dati per assicurare la compliance – dovrebbe però accelerare la creazione di un processo di responsabilizzazione e consapevolezza più diffuso. Confidiamo sul fatto che diventi leva per mettere in sicurezza il paese, dichiara Nencini.  
ransomware-trend-micro-t.jpg

Sul tema interviene anche Paolo Lezzi, Founder & Ceo, InTheCyber: “In Italia esiste un problema culturale enorme che aumenta il livello di vulnerabilità; sia i singoli sia le aziende e le istituzione sono ancora molto lontani dal concepire il rischio cyber all’interno dei rischi che afferiscono al valore patrimoniale dell’azienda. Un attacco ai sistemi informativi aziendali non è un problema tecnico né informatico ma degli asset dell’azienda”.
Una situazione di evidente arretratezza quella del Belpaese in questo senso: La cyber security è ancora concepita come sottofunzione dell’IT. In altri Paesi avanzati è una funzione in staff alla direzione generale, al pari dei sistemi informativi, e, inoltre, in Italia è ancora visto come costo e non come investimento per valorizzare gli asset aziendali. Gli investimenti sono fatti in modo estemporaneo e solo su strumenti tattici e non in conoscenza interna, presidi continuativi e attività di intelligence. Tutto ciò che è stato acquisito nel tempo in termini di sicurezza nel mondo fisico non è ancora stato traslato in ambito cyber a livello aziendale”, incalza Lezzi.
Ma senza know-how e senza attività di servizio non si va molto lontano: “Non basta dotarsi di prodotti, anche ottimi, se non gli si affianca la competenza dell’azienda stessa e di system integration, perché il livello di configurazione, aggiornamento e, in generale, di utilizzo degli oggetti, non è mai adeguato all’investimento fatto”. E inoltre esiste un problema di atteggiamento: “La consapevolezza e l’awerness degli utenti è molto bassa. Occorre fare crescere competenze nelle aziende”.
Un altro aspetto di carenza evidenziato da Lezzi è legato al ‘livello di esercitazione’:Anche nel mondo della cyber security bisogna provare, passando dall’aspetto teorico a quello pratico qualsiasi sia lo scenario possibile. Occorre progettare i sistemi in modo sicuro, ma poi occorre provarli il più possibile, collaudarli e fare le esercitazioni: simulazioni di attacco, prove di social engineering,…”.
Non pessimismo a priori, però, conclude Nencini: “Lo scenario non è confortante ma non è tutto nero. Da parte sua Trend Micro continua a investire  al fine di realizzare un mondo digitale dove è possibile scambiare informazioni sicure. In questa direzione è fondamentale proseguire nelle attività di informazione ed education facendo crescere le competenze in aziende pubbliche e private, passando da scuole e istituzioni e formando gli operatori cyber del futuro." 

Telethon in sicurezza con Trend Micro
Telethon ha scelto Trend Micro per la propria sicurezza ai fini di proteggere network e dati estremamente sensibili.
Come noto, la Fondazione Telethon è un ente senza scopo di lucro che da oltre 25 anni sostiene la ricerca sulle malattie genetiche rare. Qualche numero per inquadrarla: 451 milioni di euro investiti, 2.570 progetti di ricerca finanziati, 1.556 ricercatori di almeno un progetto, 475 malattie studiate. Come illustra Marco Montesanto, IT Manager, Telethon aveva l’esigenza di avere un monitoraggio completo delle porte e dei protocolli di rete per l’identificazione di eventuali attacchi di rete, avere regole di correlazione automatiche per identificare eventuali attacchi mirati e disporre di informazioni aggiornate in tempo reale sulle minacce presenti, (proteggendo sistemi Microsoft, Linux, Apple, Osx, Android). Semplicità di utilizzo e supporto tecnico erano altre necessità per un team IT limitato di sei persone.
La scelta è caduta su Trend Micro Deep Discovery, installato nell’aprile 2016 in modalità ‘port mirroring’ con tempi di rilascio in produzione molto rapidi. L’adozione della soluzione Trend Micro ha incrementato la semplicità della gestione e dell’analisi degli eventi tramite la correlazione; tramite la soluzione possiamo controllare e monitorare il traffico sospetto e possiamo attivare differenti protezioni in modo rapido fino alla risoluzione dei problemi -  afferma Montesanto. E’ una piattaforma estremamente flessibile e scalabile, che dà una protezione sempre aggiornata con un elevato grado di continuità operativa dei sistemi e delle applicazioni, portando una riduzione dei costi di manutenzione e dell’uso delle risorse in attività di basso profilo. La gestione centralizzata attraverso un’unica console permette un monitoraggio continuo consentendo di interpretare, correlare e intervenire sui sistemi, con conseguente aumento delle performance. Fondamentale, inoltre, l’awareness di ‘cosa’ succede da fuori verso la rete aziendale."
Tag notizia:

Cosa ne pensi di questa notizia?

Attualità

...continua

Opinioni e Commenti

...continua