CHECK POINT
SECURITY REPORT
2014
2014 CHECK POINT ANNUAL SECURITY REPORT
02 THREATS TO YOUR ORGANIZATION
02
2014 CHECK POINT ANNUAL SECURITY REPORT
Check point 2014
Security report
01
INTRODUZIONE E METODOLOGIA
03
02
L’ESPLOSIONE DEI MALWARE SCONOSCIUTI
11
03
IL NEMICO CHE CONOSCIMalware in azienda
21
04
APP(ETITO) PER LA DISTRUZIONE
Applicazioni ad alto rischio in azienda
37
05
DATA LOSS PREVENTION
Il grande ritorno
50
06
L’ARCHITETTURA DI SICUREZZA PER LE MINACCE DI DOMANI
La Software-defined Protection
60
07
PROFILO
Check Point Software Technologies
66
01
2014 CHECK POINT ANNUAL SECURITY REPORT
02
2014 CHECK POINT ANNUAL SECURITY REPORT
01
INTRODUZIONE
E
METODOLOGIA
03
2014 CHECK POINT ANNUAL SECURITY REPORT
01 introduction and methodology
04
2014 CHECK POINT ANNUAL SECURITY REPORT
01
INTRODUZIONE
E METODOLOGIA
"ANALIZZANDO IL SISTEMA, VEDEVO L’HACKER AGGIRARSI ALL’INTERNO DELLA RETE MILITARE. UNO PER
UNO HA TENTATO DI ACCEDERE A QUINDICI COMPUTER DELLE FORZE AEREE PRESSO LE BASI MILITARI
DI EGLIN, KIRTLAND E BOLLING. NIENTE. SI CONNETTEVA AL COMPUTER, FACEVA UNO O DUE TENTATIVI
PER PASSARE POI AL SISTEMA SUCCESSIVO. FINO A CHE NON HA CERCATO DI VIOLARE L’AIR FORCE
SYSTEMS COMMAND SPACE DIVISION. PRIMA HA PROVATO A ENTRARE NEL SOLO ACCOUNT DI SISTEMA
CON LA PASSWORD “MANAGER.” NULLA. POI GUEST, CON LA PASSWORD “GUEST.” NESSUN RISULTATO.
POI FIELD, PASSWORD “SERVICE.” […] SHAZAM: LA PORTA SI E’ SPALANCATA. SI E’ REGISTRATO COME
FIELD SERVICE. NON COME UN SEMPLICE UTENTE. MA CON UN ACCOUNT PRIVILEGIATO. […] DA QUALCHE
PARTE NELLA CALIFORNIA MERIDIONALE, A EL SEGUNDO, UN GRANDE COMPUTER VAX VENIVA VIOLATO DA
UN HACKER DALL’ALTRA PARTE DEL MONDO."
Clifford Stoll, The Cuckoo’s Egg1
Oltre venticinque anni fa, un amministratore UNIX ha
seguito la traccia di un errore di fatturazione del valore
di 75 cent fino ad arrivare a un gruppo di spie dell’Est
che stava tentando di trafugare segreti dal governo
e dalle forze armate statunitensi. Il racconto di come
segue il percorso dagli allarmi iniziali fino alla scoperta
della violazione su larga scala e la sua battaglia contro i malviventi è narrato nel libro The Cuckoo’s Egg
ed è tutt’oggi un modello delle sfide legate alla cyber
difesa. Le tecnologie coinvolte, i mezzi di connessione
e i metodi di intrusione si sono evoluti in maniera significativa dalla fine degli anni ’80, tuttavia l’identificazione
dei sistemi compromessi, la risposta agli incidenti e la
protezione di sistemi e dati da attacchi futuri continuano
a rappresentare le sfide principali che le organizzazioni
di tutto il mondo devono affrontare, indipendentemente
dalle dimensioni e dal mercato in cui operano.
05
2014 CHECK POINT ANNUAL SECURITY REPORT
01 introduzione
metodologia
introduction eand
methodology
Nel 2013, l’information security si è guadagnata
massima visibilità presso il pubblico, guidata
dall’alto profilo dei data breach registrati. Il furto e la
pubblicazione di informazioni di intelligence statunitensi
ha dominato le prime pagine per gran parte dell’anno
e ha scosso le relazioni diplomatiche tra i paesi di tutto
il mondo. Breach su larga scala di dati di carte di
credito sono esplosi e hanno rovinato le ferie di molti
retailer e utenti finali. Cyber warfare e “hacktivism”
hanno ridisegnato la natura dei conflitti tra individui
e nazioni, anche grazie al trend “Internet of Things”
che ha portato in rete molti aspetti della vita di tutti i
giorni—e li ha resi vulnerabili.
All’interno della comunità della security un’esplosione
di malware sconosciuti—non solo nuove minacce ma
nuove modalità di creare e implementare minacce
non individuabili su grande sala—ha fatto emergere la
questione sulla validità di strategie e tecnologie esistenti.
Anche forme di malware più note si sono rivelate
estremamente resistenti alle difese in essere, mentre
mobilità, consumerizzazione e “shadow IT” hanno
aumentato in modo significativo la complessità della
sfida.
5 DOMANDE CHE OGNI AZIENDA DEVE PORSI
1. COME HA INFLUITO SULL’ORGANIZZAZIONE
L’ATTUALE SCENARIO DELLA SICUREZZA?
2. QUALI MINACCE AVETE AFFRONTATO E QUALI
RISCHI EMERGENTI VI PREOCCUPANO DI PIU’?
3. RITENETE DI AVERE LA GIUSTA STRATEGIA E
GLI STRUMENTI ADEGUATI PER AFFRONTARE LA
SFIDA—O VI SENTITE IMPOTENTI DI FRONTE ALLE
CONTINUE ONDATE DI EVENTI NEGATIVI?
4. QUALI NUOVE MISURE
ADOTTERETE nel pROSSIMO ANNO?
5. COME PENSATE DI AIUTARE LA VOSTRA
ORGANIZZAZIONE A RAFFORZARE LE DIFESE?
Il team di ricercatori Check Point ha analizzato un anno
di dati di oltre 10.000 organizzazioni per identificare
i trend critici relativi a malware e information security
del 2013 che le aziende dovranno affrontare nel 2014
e oltre. Il Check Point 2014 Security Report presenta
i risultati di questa ricerca. Questa dettagliata analisi
delle minacce e dei trend della sicurezza nel 2013
aiuterà i responsabili della sicurezza e i manager a
comprendere la gamma di rischi a cui le loro aziende
sono sottoposte.
I Trend del Malware
Viruses
Viruses
19
06
97
Worms
20
04
Adwares &
Spywares
20
07
DDoS
APTs
20
10
• Ransomware
• Hacktivism
• Next Gen APTs (Mass APT Tools)
• Utilizing Web Infrastructures (DNS)
• State Sponsored Industrial Espionage
20
14
2014 CHECK POINT ANNUAL SECURITY REPORT
01 introduzione
e metodologia
01 introduction
and methodology
UN GIORNO QUALSIASI
IN UN’AZIENDA
Ogni minuto
un
host accede a un sito malevolo
3minuti
Ogni
un
bot comunica con il suo
command and control center
9minuti
Ogni
viene
utilizzata un’applicazione ad
alto rischio
10 minuti
Ogni
viene scaricato un
malware noto
24
49
27
10
9
3
1
H
mins
mins
mins
mins
mins
min
27minuti
Ogni
viene scaricato un
malware sconosciuto
49minuti
dati
Ogni
sensibili vengono inviati al di
fuori dell’organizzazione
24ore
Ogni
un host
viene infettato da un bot
Grafico 1-1
Fonte: Check Point Software Technologies
07
2014 CHECK POINT ANNUAL SECURITY REPORT
IL PANORAMA COMPLETO DELLE MINACCE
Utenti, dati e sistemi dell’ambiente IT
Obiettivi di businesss
Malware – panorama delle minacce
Il report comprende inoltre suggerimenti sul modo
in cui difendersi da queste e minacce future. I punti
salienti della ricerca:
•
•
•
•
08
L’utilizzo di malware sconosciuto è esploso a
seguito del trend noto come malware “mass
customization”4 — in media 2,2 malware
sconosciuti (mai visti prima) colpiscono le aziende
ogni ora.
L’esposizione a malware e le infezioni sono
saliti complessivamente e riflettono il crescente
successo di campagne malware mirate – nel 2013
il 73% delle organizzazioni ha identificato almeno
un bot rispetto al 63% del 2012.
Ogni categoria di applicazioni ad alto rischio ha
incrementato la sua presenza nelle aziende globali
– per esempio il 63% delle organizzazioni ha
registrato l’uso di BitTorrent rispetto al 40% del
2012.
Gli incidenti di data loss sono aumentati per
mercati e tipologie di dati – l’88% delle imprese
ha sperimentato almeno un potenziale incidente di
data loss rispetto al 54% del 2012.
EL
R
DE A
N
E
Z
PR REZ
M
CO SICU
A
Le fonti di dati per questo report
Il Check Point 2014 Security Report si basa su
una ricerca e un’analisi collaborativa degli eventi di
sicurezza raccolti dai report sulle minacce dei security
gateway Check Point (Security Checkup)5, i sensori
Check PointThreat Emulation6, Check Point ThreatCloud™ 7,
e i report Check Point Endpoint Security8
Una meta-analisi degli eventi di sicurezza di rete presso
996 aziende è stata condotta avvalendosi di dati raccolti
dalle attività Check Point Security Checkup che hanno
scansito in tempo reale il traffico di rete in ingresso e in
uscita. Questo traffico è stato valutato dalla tecnologia
Check Point Software Blades9 per identificare una
vasta gamma di applicazioni ad alto rischio, tentativi
di intrusione, virus, bot, perdita di dati sensibili e
altre minacce alla sicurezza. Il traffico di rete è stato
monitorato in tempo reale tramite l’implementazione
della modalità Check Point Security Gateway10 inline
or in monitor (tap).
2014 CHECK POINT ANNUAL SECURITY REPORT
01 introduzione
e metodologia
01 introduction
and methodology
I dati relativi alle minacce per malware sconosciuti sono
stati raccolti dai sensori Check Point Threat Emulation
nel periodo giugno-dicembre 2013. Check Point Threat
Emulation agisce come sandboxing cloud-based
e l’analisi dinamica di file sospetti viene identificata
dai gateway Check Point. I dati di Threat Emulation
anonimizzati da 848 security gateway sono stati integrati
in ThreatCloud per l’aggregazione, correlazione e analisi
avanzata.
Infine, è stata condotta una meta-analisi di 1.036
Endpoint Security report in diverse aziende. Queste
analisi ha effettuato la scansione di ogni host per
validare il rischio di data loss, intrusione e malware.
La valutazione è stata effettuata con lo strumento
di reporting di Check Point Endpoint Security che
verifica se la soluzione antivirus è attiva sull’host, se è
aggiornata, se il software era della versione più recente,
ecc. Questo strumento è gratuito e disponibile al
pubblico e può essere scaricato dal sito Check Point.
*
29%
st
du
In
tro
ria
Mercati
Al
15%
AP
AC
EA
EM
47%
12%
**
e
i ch
er
24%
T ul
Pu elco enz
a
Am bb
m lica
in
is
F i n t ra z
an ion
za
e
Am
Inoltre, sono stati analizzati gli eventi di 9.240
security gateway utilizzando dati generati da Check
PointThreatCloud, un enorme database aggiornato
in tempo e popolato con i dati raccolti da una vasta
gamma di sensori globali situati in modo strategico in
tutto il mondo. ThreatCloud colleziona informazioni su
attacchi malware e minacce e consente l’identificazione
di trend e rischi di sicurezza, dando luogo a una rete
collaborativa per combattere il cyber crime. Per la
nostra ricerca, i dati ThreatCloud raccolti nel corso del
2013 sono stati consolidati e analizzati.
Geografie
1%
4% Cons
In media è stato il monitorato il traffico di ogni azienda
per 216 ore. Le imprese coinvolte abbracciano diversi
settori industriali in differenti aree geografiche, vedi
Grafico 1-2.
22%
46%
Grafico 1-2
* EMEA – Europa, Medio Oriente e Africa
**APAC – Asia Pacific e Giappone.
Fonte: Check Point Software Technologies
Security Report è corredata da esempi di incidenti
che illustrano la natura delle minacce odierne, il loro
impatto sulle imprese colpite e le loro implicazioni per
la comunità della sicurezza. I suggerimenti degli esperti
forniscono indicazioni per garantire che le strategie e
le soluzioni di sicurezza in essere siano rilevanti ed
efficaci per gli attuali rischi. Il report è diviso in capitoli
dedicati al malware sconosciuto, al malware noto, alle
applicazioni ad alto rischio e alla data loss.
La maggior parte dei dati del Check Point 2014
09
2014 CHECK POINT ANNUAL SECURITY REPORT
02 The Explosion of Unknown Malware
10
2014 CHECK POINT ANNUAL SECURITY REPORT
02
L’ESPLOSIONE
DEI MALWARE
SCONOSCIUTI
11
2014 CHECK POINT ANNUAL SECURITY REPORT
12
2014 CHECK POINT ANNUAL SECURITY REPORT
02
L’ESPLOSIONE
DEI MALWARE SCONOSCIUTI
La minaccia dei malware sconosciuti
Le tradizionali tecnologie di sicurezza, quali antivirus e sistemi di prevenzione delle intrusioni, sono
molto efficaci nel rilevare i tentativi di sfruttamento di
vulnerabilità software e di configurazione noti e in alcuni
casi possono prevenire anche exploit sconosciuti. Gli
hacker lo sanno bene e si possono quindi permettere il
lusso di testare i loro nuovi malware o exploit su queste
tecnologie e verificarne il grado di rilevabilità.
La “guerra tecnologica” tra fornitori di sicurezza e pirati
informatici ha portato ad una rapida evoluzione nelle
tecniche utilizzate dagli hacker che tentano di sfruttare
sia vulnerabilità sconosciute (note anche come zero-day
exploit perché occorrono ore o giorni per rilevarle e fornire le
adeguate protezioni) sia altri metodi di infezione ignoti al fine
di aggirare le difese.
144 %
83,000,000
CIÒ CHE È NOTO È finitO,
CIÒ CHE È IGNOTO È infinitO.
Thomas Henry Huxley11
Alla fine del 2013, i ricercatori di Check Point, in
collaborazione con il nostro servizio di Threat Emulation,
hanno scoperto e analizzato una nuova variante di
malware che impiega una sofisticata combinazione
di tecniche per eludere i proxy e le soluzioni antimalware. Denominata “HIMAN”12 dai ricercatori del
settore, questa minaccia racchiude le caratteristiche
degli attacchi mirati che stanno sfidando aziende e
professionisti della sicurezza IT in tutto il mondo.
Un Security Gateway utilizzato da un cliente
di Check Point abbonato al servizio Threat Emulation,
ha effettuato la scansione di un documento Microsoft
Word allegato ad una email proveniente dall’indirizzo
2013
34,000,000
L'AUMENTO DEL NUOVO
MALWARE DAL 2012 AL 2013
2012
18,500,000
2011
18,000,000
2010
12,000,000
2009
Fonte: AV-Test.org
13
Grafico 2-1
2014 CHECK POINT ANNUAL SECURITY REPORT
2.2
MALWARE SCONOSCIUTI
ATTACCANO LE AZIENDE OGNI ORA
[email protected] con oggetto “Invito al ricevimento”.
Quando il documento è stato aperto in ambiente
sandbox ha sfruttato una nota vulnerabilità (CVE-2012
- 0158) al fine di installare un file denominato “kav.exe”
nella cartella Impostazioni locali\Temp del computer
preso di mira. Il nome del file assomiglia all’eseguibile
dell’ antivirus13 di Kaspersky, e il malware stesso sembra
correlato a precedenti campagne di malware che i
ricercatori attribuiscono ad uno o più gruppi di APT
(Advanced Persistent Threat) cinesi. L’analisi rivelerà che
il file è un dropper a due fasi che si auto-rinomina quando
è in procinto di installarsi sul sistema di destinazione e
poi aggancia il processo explorer.exe per caricare un DLL
malevolo.
I ricercatori Check Point hanno condotto un’indagine
sulle banche dati di malware noti e hanno scoperto che
nessun vendor di antivirus era in grado di rilevare questa
minaccia nel momento in cui è stata individuata.
Il malware ha iniettato una library malevola (mswins64. dll)
utilizzando una serie di chiamate Windows e l’esclusione
reciproca, assicurandosi di installare il malware nel sistema
client in maniera tale da evitare l’individuazione da parte
delle soluzioni anti-malware esistenti. Una volta installato,
il malware scriveva una voce nel Registro di sistema
utilizzando un percorso diverso da quelli comunemente
utilizzati da processi malware che sono quindi più
attentamente monitorati dai software preposti. Questa
combinazione di chiamate API (Application Programming
Interface) e percorsi di registro meno diffusi consente
al malware di aumentare le sue possibilità di eludere il
rilevamento.
14
HIMAN dimostra come gli autori dei malware stiano
sfruttando la propria esperienza nelle chiamate API di
Windows, il comportamento del sistema operativo e
il funzionamento di strumenti anti-malware per evitare
il rilevamento, senza dover affrontare spese per lo
sviluppo o l’acquisto di vere e proprie vulnerabilità
zero-day. Questa sofisticazione si estende alle
comunicazioni command and control (C&C) e ai
processi di exfiltration: HIMAN può forzare i proxy in
uscita utilizzando le credenziali archiviate, crittografare
i dati raccolti utilizzando AES14, e impiegare tecniche
di offuscamento durante l’exfiltration per eludere il
filtering in uscita.
Una volta installato correttamente, e dopo aver stabilito
una connessione verificata a un server C&C funzionante,
HIMAN compone ed esegue dinamicamente uno script
che raccoglie dati sui servizi in esecuzione, sugli account
locali con diritti di Administrator e altre informazioni sulla
configurazione del sistema e sulla rete locale visibili
alla macchina infetta. Provvisto di queste informazioni,
l’utente malintenzionato possiede una mappa
completa della rete locale, nonché un trampolino di
lancio per penetrare ulteriormente nell’azienda presa
di mira ed effettuare ulteriori ricognizioni, movimenti
laterali, esfiltrazione ed esecuzione di attacchi su
server, sistemi e processi aziendali.
Utilizzando una combinazione di tecniche note e
MENO DEL 10% DEI MOTORI ANTIVIRUS
HA RILEVATO MALWARE SCONOSCIUTI
ALLA LORO PRIMA APPARIZIONE
2014 CHECK POINT ANNUAL SECURITY REPORT
02 l'esplosione dei MALWARE sconosciuti
02 The Explosion of Unknown Malware
CREARE
SCONOSCIUTI È COSÌ FACILE CHE
POTREBBE FARLO ANCHE UN BAMBINO
sconosciute per trovare un appiglio nella rete aziendale
e trafugare informazioni sensibili, il malware HIMAN
mette in evidenza sia la flessibilità di autori e pirati,
sia le sfide che i professionisti della sicurezza hanno
dovuto affrontare nel 2013.
Come siamo arrivati fin qui ?
L’evoluzione del malware sconosciuto
Per diversi anni, i pericoli di attacchi mirati e di minacce
avanzate persistenti (APT) hanno catalizzato gran
parte dell’attenzione nel mondo della sicurezza IT. Le
APT irrompono sulla scena nel 2010 con gli attacchi
mirati Stuxnet15, in cui un malware appositamente
sviluppato e altamente specializzato ha destabilizzato il
sistema di controllo di una centrifuga nucleare iraniana
come parte di un attacco cinetico e cyber combinato
sponsorizzato da uno stato.
33 %
DELLE
Questa nuova generazione di malware ha messo alla
prova molte delle difese tradizionali in tre modi principali.
In primo luogo, Stuxnet era particolarmente mirato
poiché studiato e progettato per un sistema specifico, in
un ambiente specifico, e con obiettivi specifici in mente.
In secondo luogo era decisamente raro, il che vuol dire
che non era mai stato esposto alle reti di raccolta e
analisi che i produttori di antivirus avevano sviluppato per
tenere il passo con virus e bot “mass market” che hanno
caratterizzato il panorama del malware per un decennio.
In questo contesto ha potuto quindi agire indisturbato e
inosservato per un periodo imprecisato, forse per anni.
Infine, Stuxnet era nettamente differente dall’approccio
di alto profilo point-scoring che ha caratterizzato i virus e
la maggior parte dei worm quali Code Red16 e Sasser17,
che sono venuti dopo. Per questi motivi, era chiaro
che chiunque si celasse dietro a Stuxnet sarebbe stato
“persistente”. In breve, Stuxnet ha rappresentato un
nuovo tipo di malware mirato, raro e motivato - contro
il quale le tecnologie esistenti antivirus e di prevenzione
delle intrusioni nulla hanno potuto. In questo senso ha
rappresentato l’avanguardia di un’ondata di malware
personalizzati che hanno poi richiesto una nuova serie
di strumenti e strategie per contrastarli. L’emergenza
HIMAN evidenzia la continua evoluzione di questa
tendenza e la minaccia che rappresenta.
ORGANIZZAZIONI HA SCARICATO ALMENO
UN FILE INFETTO DA MALWARE SCONOSCIUTI
15
2014
2014 CHECK
CHECK POINT
POINT ANNUAL
ANNUAL SECURITY
SECURITY REPORT
REPORT
ATTACCO MIRATO, CAMPAGNA GLOBALE
Il 22 ottobre 2013, una media company ha ricevuto sei
e-mail sospette che sono state successivamente analizzate
dal servizio Check Point Threat Emulation.
•
•
•
Da: [email protected]
Oggetto: UPS Delivery Notification
Allegato: invoiceBQW8OY.doc
(MD5 ad0ef249b1524f4293e6c76a9d2ac10d)
Durante la simulazione automatizzata in un sandbox virtuale di un utente che apre un file potenzialmente dannoso,
sono stati rilevati diversi comportamenti anomali:
• Microsoft Word si è chiuso e si è ricaricato con un
documento vuoto
• E’ stata impostata una chiave di registro
• E’ stato avviato un nuovo processo sul dispositivo
Check Point Threat Emulation ha quindi stabilito che il file
era malevolo.
Ulteriori analisi da parte dei ricercatori di sicurezza
Check Point hanno evidenziato inoltre che i documenti
di tutti e 6 i messaggi di posta elettronica erano identici
e sfruttavano la vulnerabilità CVE-2012-0158 di Microsoft Word. Questa vulnerabilità, conosciuta anche come
MSCOMCTL.OCX RCE18, consente l’esecuzione di codice
remoto sul dispositivo finale.
IL
L’analisi ha identificato il payload maligno come una variante
personalizzata del Trojan Zbot19 che trafuga le informazioni
con attacchi man-in-the-browser, keystroke logging, form
grabbing e altri metodi. La registrazione di questi esempi su
VirusTotal20 ha rivelato un tasso di rilevamento ridotto
(< 10 percento) sia per l’allegato malevolo che per la variante ZBOT al momento della submission.
I ricercatori Check Point hanno analizzato i diversi URL da
cui il documento malevolo è stato scaricato e hanno determinato che un elenco di parametri unici passati ai server
infetti era in realtà un designatore cifrato di target base64,
contenente l’indirizzo e-mail di destinazione. Questi URL
univoci rappresentavano gli indirizzi email di utenti in grandi organizzazioni, tra cui istituzioni finanziarie, produttori
internazionali di automobili, aziende di telecomunicazioni,
agenzie governative ed enti statali nordamericane, prese
di mira da questo attacco. Tali obiettivi indicano che gli
attacchi sono parte di una campagna mirata pensata per
catturare credenziali utente, informazioni bancarie e altri
elementi che potrebbero essere utilizzati per accedere ai
dati più sensibili delle organizzazioni colpite.
35 %
DEI FILE INFETTI DA MALWARE
SCONOSCIUTI SONO PDF
16
2014 CHECK POINT ANNUAL SECURITY REPORT
02 l'esplosione dei MALWARE sconosciuti
02 The Explosion of Unknown Malware
2013: Inizio promettente, finale deludente
Gli amministratori della sicurezza stanno acquisendo
sempre maggiore familiarità sia con gli attacchi mirati,
che con i nuovi strumenti necessari per combatterli.
Le tecnologie di malware sandboxing automatizzate
e network-based sono strumenti ben noti ai team di
sicurezza di grandi aziende ed enti pubblici che li hanno
adottati come strati aggiuntivi sulla loro infrastruttura
esistente per poter rilevare i malware che altrimenti
eluderebbero le difese signature e reputation-based a
livello di gateway ed endpoint.
una vulnerabilità o debolezza nota, ma che non può
essere rilevato al momento della sua scoperta neppure
da soluzioni antivirus, anti-bot o sistemi IPS aggiornati.
La finestra di efficacia dei malware sconosciuti ha
spesso la durata di soli 2-3 giorni, il tempo necessario
ai vendor di antivirus per rilevarli sui network globali e
sviluppare signature per contrastarli.
Questa è una distinzione importante perché ci permette
di comprendere la vera natura dei tipi di malware che
hanno monopolizzato la scena nel 2013.
Rendere noto l’ignoto
Tuttavia il 2013 ha visto un drammatico aumento nella
frequenza degli attacchi da parte di “malware sconosciuti”
che hanno applicato tecniche di offuscamento e di
evasione degli APT ai malware noti in campagne mirate di
portata globale (Box: Attacco Mirato, Campagna Globale).
Se da un lato gli attacchi mirati altamente specializzati
rimangono una sfida, le “personalizzazioni di massa”
fanno sì che per campagne più ampie, motivate anche
dal cospicuo guadagno finanziario, la disponibilità di
malware mirato ad elevata efficacia sia maggiore.
“Sconosciuto” o “zero -day”
E‘ importante evidenziare le differenze tra malware
sconosciuti ed exploit “zero-day”. Gli zero-day
sfruttano una vulnerabilità sconosciuta e mai rilevata
per la quale non esiste alcuna patch. Malware
sconosciuto fa riferimento a codice maligno che sfrutta
Nel 2013 i motori di emulazione di Check Point, una forma
avanzata di malware sandboxing automatizzato utilizzato
in tutto il mondo, hanno rilevato che 2,2 unità di malware
sconosciuti colpiscono le aziende ogni ora, pari a una media
di 53 al giorno.
La ricerca Check Point ha evidenziato che due fattori
principali hanno caratterizzato questo improvviso
aumento della frequenza:
1. Gli aggressori hanno impiegato meccanismi
automatizzati per la creazione di malware
sconosciuti evasivi su grande scala destinati
a organizzazioni di tutto il mondo attraverso
campagne coordinate al fine di massimizzarne
l’efficacia.
2. L’investigazione e i processi di risposta manuali
utilizzati per mitigare gli attacchi mirati non
sarebbero in grado di tenere il passo con questo
nuovo e incrementato volume di incidenti.
Come funziona il Sandboxing
File Sconosciuto
Inspection Service
File ricevuto come
allegato e-mail o
scaricato
Grafico 2-2
I file sospetti vengono
inviati ad un sandbox
virtuale locale o
off-box
Sandbox Virtuale
File OK
Si apre e si esegue il file
sconosciuto in un OS virtuale.
Si verifica l'esecuzione di
azioni dannose:
•Registro
•File system
•Servizi
•Presa di rete
Se pulito, si invia a
destinazione. Se dannoso,
possibili azioni:
•Si invia a destinazione
con un alert
•Si blocca
17
2014 CHECK POINT ANNUAL SECURITY REPORT
02 The
l'esplosione
Explosiondei
ofMALWARE
Unknownsconosciuti
Malware
L’analisi di Check Point sui dati malware del 2013
mette in evidenza l’elevata frequenza con cui il
malware sconosciuto è stato rilevato presso i gateway
di tutto il mondo. Dati provenienti da fonti esterne
hanno confermato questi risultati. AV-TEST21, un
Istituto di ricerca indipendente su sicurezza IT e antivirus, registra oltre 220.000 nuovi programmi malevoli
ogni giorno. Nel 2013 AV-TEST ha identificato oltre
80 milioni di nuovi malware, più del doppio rispetto al
2012.
27%
33%
F
PD
EX
E
ive
ch
M
icr
os
of
tO
ffi
ce
Tipologie di Malware Sconosciuti
Ar
Tra i formati di file Microsoft Office, il più popolare
è Word (.doc) , anche se i dati della nostra analisi di
sandboxing malware hanno riportato che gli aggressori
diffondono i loro attacchi anche attraverso altri formati.
In tutto, sono stati rilevati malware sconosciuti in 15
diversi tipi di file di Office, compresi i template per Word
e PowerPoint, e diversi formati di Excel. Sebbene la
maggior parte dei file di archivio maligni si presentino
in formato ZIP - presumibilmente perché tutti i sistemi
Windows hanno la possibilità di aprire gli archivi ZIP –
l’analisi di Check Point ha comunque rilevato malware
in tutti gli altri principali tipi di file di archivio, quali TAR,
RAR, 7z e CAB.
Un diluvio di nuovi malware
5%
L’analisi delle rilevazioni effettuate nel 2013 ha mostrato
che la maggior parte dei malware sconosciuti è stata
inviata agli utenti via e-mail, spesso integrati in allegati.
Nel 2013 , il PDF è stato il formato più utilizzato per
ospitare malware sconosciuti - pari a circa il 35% dei
file rilevati dall’emulazione - e sfruttare le versioni non
aggiornate di Adobe Reader (Grafico 2-3). La ricerca
mostra che anche i formati EXE e di archiviazione sono
abbastanza comuni, attestandosi rispettivamente al
33 ed al 27% dei file dannosi analizzati.
35%
Grafico 2-3
Fonte: Check Point Software Technologies
2.2 MALWARE SCONOSCIUTI
COLPISCONO LE AZIENDE OGNI ORA, PARI A
UNA MEDIA DI 53 AL GIORNO
18
La nostra ricerca sui dati malware nel 2013 offre molte
informazioni su questa tendenza e sul suo significativo
impatto. Come rilevato dal campione analizzato, un
terzo delle organizzazioni ha scaricato almeno un file
infetto da malware sconosciuto.
2014 CHECK POINT ANNUAL SECURITY REPORT
RACCONTI DEL CRYPTER
Al fine di bypassare il rilevamento da parte degli antimalware, i moderni autori di software malevoli mantengono e
utilizzano strumenti di offuscamento specializzati denominati
“Crypter”. Per accertarsi che le loro varianti non vengano
identificate, gli autori di malware evitano le piattaforme di
scansione antivirus come VirusTotal e altre che condividono i
campioni con i fornitori di anti-malware, optando per servizi
privati quali razorscanner, vscan (aka NoVirusThanks) e
chk4me. I crypter sono classificati dalle comunità di hacker
come UD (UnDetectable) o FUD (Fully UnDetectable) in base
alla loro capacità di eludere il rilevamento antivirus.
Nel 2013, Check Point Threat Emulation ha rilevato
una variante di malware criptata e precedentemente
sconosciuta, progettata per inviare DarkComet, un noto
Remote Administration Tool (RAT)23.Nel caso del campione,
una stringa PDB integrata ha rivelato di essere un prodotto
del crypter iJuan, disponibile online sia come versione
gratuita (UD), che a pagamento (FUD). Tecnicamente
classificato come Portable Executable (PE)24 Packer,
da non confondere con ransomware di cifratura come
Questa esplosione di malware sconosciuti è stata
in parte guidata dalla accessibilità di tecniche
di offuscamento che in passato richiedevano
competenze e strumenti specializzati, o entrambi
(vedi box: Racconti del Crypter)22. I casi studiati in
questo capitolo dimostrano che le modalità con cui
i malware attualmente vengono inviati ha raggiunto
un grado di sofisticazione ancora maggiore, spesso
associato a mere varianti. Questa raffinatezza rende
ancor più difficile la sfida che pongono perché richiede
funzionalità di rilevamento e analisi più intelligenti e sottili
da adottare ben al di là delle risorse di management, di
risposta agli incidenti e di monitoraggio oggi disponibili
in molte organizzazioni.
CryptoLocker25,i crypter di questo tipo camuffano gli
eseguibili grazie a vari schemi di crittografia e di codifica,
abilmente combinati e ricombinati, spesso anche più di una
volta.
Il campione preso in esame, che è stato in grado di eludere
la maggior parte delle soluzioni antivirus, è stato confrontato
con un rilevamento simile effettuato in un paese diverso,
ed è stato confermato che si trattava di una versione
diversamente offuscata dello stesso payload DarkComet,
che comunicava con lo stesso server C&C. Questi due fattori
hanno rivelato che entrambe le rilevazioni - una effettuata in
Europa e l’altra in America Latina - erano in realtà parte della
stessa campagna.
Queste identificazioni hanno evidenziato i meccanismi interni
della famiglia di attacchi avanzati che stanno modificando
sia il panorama delle minacce che la gamma di soluzioni
di cui dovrebbero munirsi i manager della sicurezza per
difendere reti e dati.
Raccomandazioni
L’esplosione di malware sconosciuti del 2013
comporterà una revisione degli strumenti e dei
processi finora implementati dalle organizzazioni quasi
esclusivamente per rilevare e rispondere ad attacchi
mirati di lieve entità. Le funzionalità detection-only che richiedono mitigazione manuale e a cui manca
il blocco automatico - lasciano i team di sicurezza
scoperti mentre cercano di tenere il passo con l’ondata
di malware sconosciuti che colpisce le loro reti.
Attualmente l’emulazione, o sandboxing automatizzato
e avanzato del malware, rappresenta una soluzione
necessaria per ogni organizzazione. Anche le più reattive
tra le soluzioni antivirus, anti- bot e IPS si troveranno
a fare i conti con una finestra di 2-3 giorni durante i
quali il malware sconosciuto rimarrà inosservato - un
19
2014 CHECK POINT ANNUAL SECURITY REPORT
02 The
l'esplosione
Explosiondei
ofMALWARE
Unknownsconosciuti
Malware
Ciclo di Vita di un Malware
Creazione
Kit fai da te/Malware Tookit
SpyEye
Zeus Builder
Citadel Builder
Crypter/Packer
UPX GUI
PFE CX
Indectables.net
Joiner/Binder
File Joiner
EXEBundle
Toolkit DIY
Packer/Crypter
Binder/Joiner
Validazione
Identificazione
QA Malware
Malware Noto
Sconosciuto
Lanciato
intervallo di tempo più che sufficiente affinché i pirati
informatici entrino all’interno dell’organizzazione.
Queste soluzioni dovrebbero essere parte integrante
dell’infrastruttura di sicurezza di un’organizzazione
piuttosto che un semplice livello aggiuntivo. Le aziende
dovrebbero in definitiva cercare soluzioni di emulazione
in grado di fornire:
• Integrazione—Un’integrazione
con
le
infrastrutture gateway, mail ed endpoint
esistenti rappresenta l’unico modo per scalare
e implementare senza aumentare complessità e
costi. L’integrazione della mail è particolarmente
critica poiché la posta elettronica è il vettore di
attacco primario dei client, dentro e fuori dalla rete.
• Prevenzione—L’approccio detection-only non
è più sufficiente per elevati volumi di malware
L’EMULAZIONE, O SANDBOXING
AUTOMATIZZATO E AVANZATO DEL MALWARE,
È OGGI UNA SOLUZIONE NECESSARIA
PER OGNI ORGANIZZAZIONE
20
Malware QA
Multi-AV Scan
NoVirusGrazie
•
sconosciuti. Le organizzazioni devono cercare
soluzioni di prevenzione che offrano la possibilità
di rilevare e bloccare automaticamente il malware
sconosciuto prima che possa raggiungere la sua
destinazione.
Automazione—La riduzione dei processi manuali
per analisi e mitigazione consente alle organizzazioni
di tenere il passo con questi attacchi, rispondendo
anche ad altri obiettivi di sicurezza e business. La
prevenzione automatizzata è fondamentale, così
come integrazione di reporting e workflow per
notifiche e risposte efficienti.
Il rapido aumento di malware sconosciuto cambia
nettamente il panorama della sicurezza, richiedendo
nuove strategie e tecnologie, nonché un approccio
in grado di fornire una protezione efficace senza
sovraccaricare
le
risorse
dell’organizzazione.
L’adattamento a questi nuovi requisiti dovrebbe essere
visto come una priorità assoluta, nonché di notevole
urgenza per ogni azienda. Al tempo stesso, tipologie
di attacchi più noti e ormai consolidati continuano
a rappresentare una seria minaccia e richiedono
costante vigilanza e contromisure proattive. Le ultime
tendenze del malware noto verranno esplorate nel
prossimo capitolo.
2014 CHECK POINT ANNUAL SECURITY REPORT
03
IL NEMICO CHE
CONOSCI
Malware in azienda
21
2014 CHECK POINT ANNUAL SECURITY REPORT
03 The Devil You Know: Malware in the Enterprise
22
2014 CHECK POINT ANNUAL SECURITY REPORT
03 ILKnow:
NEMICO
CHE CONOSCI:
MALWARE IN AZIENDA
03 The Devil You
Malware
in the Enterprise
03
IL NEMICO CHE CONOSCI:
Malware in AZIENDA
L’information security ha dominato le prime pagine dei
giornali nel 2013, dalle rivelazioni sui programmi di cybersorveglianza sponsorizzati dai governi e gli attacchi a
organizzazioni quali il Washington Post e Yahoo, fino a
epidemie malware di alto profilo come Cryptolocker ed
a furti di dati di clienti retail su scala mai vista prima.
Il 2013 ha fatto sembrare il 2012 un anno tranquillo
in confronto — e possiamo dire con certezza che il
2012 non è stato assolutamente esente da attacchi
informatici, tutt’altro. Si è trattato infatti di un anno
di rilievo in termini di quantità e scala degli attacchi,
compreso un aumento di hacktivism, attacchi
promossi dagli stati verso media e aziende, e data
breach presso istituzioni finanziarie di tutto il mondo. I
principali trend malware del 2012, presenti nel Check
Point 2013 Security Report27 erano stati:
• Democratizzazione delle minacce avanzate persistenti
• Pervasività delle botnet
• Incremento delle vulnerabilità che estendono la superficie di attacco
L'
84 %
CI SIAMO PREOCCUPATI PER ANNI DELLE ARMI
DI DISTRUZIONE DI MASSA. ADESSO È GIUNTO
IL MOMENTO DI PENSARE A UNA NUOVA
TIPOLOGIA DI ARMI—QUELLE DI BLOCCO IN
MASSA DELL'IT.
John Mariotti26
Nella nostra indagine abbiamo riscontrato che queste
tendenze non solo sono proseguite nel 2013, ma si sono
intensificate in ogni senso, dalla frequenza con la quale il malware entra nelle organizzazioni fino alla gravità e
all’entità delle infezioni bot.
Più veloce non è sempre migliore
Se c’è una statistica della ricerca Check Point del 2013
che meglio cattura le sfide legate al malware che i
security administrator devono affrontare è la crescente
frequenza con cui il malware viene scaricato dalle
aziende coinvolte nello studio. (Grafico 3-1) Nel 2012,
circa la metà delle imprese (43 percento) analizzate ha
sperimentato il download di malware da parte di un
utente a un tasso inferiore di uno al giorno, mentre un
altro 57 percento ha sperimentato il download di un
malware ogni 2 – 24 ore.
DELLE ORGANIZZAZIONI
HA SCARICATO UN FILE MALEVOLO
23
2014 CHECK POINT ANNUAL SECURITY REPORT
03 The
IL NEMICO
Devil You
CHE Know:
CONOSCI:
Malware
MALWARE
in the
IN AZIENDA
Enterprise
Nel 2013, tuttavia, circa due terzi (il 58 percento) delle
organizzazioni ha sperimentato il download di malware
ogni due ore o meno. Questa accelerazione nei cyber
attack si riflette in tutte le statistiche del nostro ultimo
rapporto sulla sicurezza. In questo capitolo esploriamo
le specificità di questo cambiamento e le sue implicazioni per la sicurezza e i manager, dando prima uno
sguardo alle modifiche nelle vulnerabilità che creano la
superficie di attacco per i malware writer e gli hacker.
IL 58 percentO DELLE ORGANIZZAZIONI
HA SPERIMENTATO IL download
DI malware OGNI DUE ORE o MENO
vulnerabilità che ha esteso le opportunità per gli attacker,
e anche accresciuto l’area che i security administrator
—già in difficoltà data l’introduzione di dispositivi mobili
e servizi consumer nella rete aziendale — necessari alla
difesa.
Frequenza di Download del Malware
(% di aziende)
58%
14% Fino a 2 all'ora
13%
19% Ogni 2–6 ore
12%
12% Ogni 6–12 ore
11%
12% Ogni 12–24 ore
7%
43% Più di 1 al giorno
2013
Grafico 3-1
2012
Ma il 2013 ha realmente mostrato un trend positivo?
Sotto alcuni aspetti sì. La difesa dalle vulnerabilità tipicamente prevede due approcci:
• Applicare le vendor patch disponibili al fine di risolvere il problema. Per i sistemi client questo spesso
ormai avviene automaticamente, con un testing minimo o assente; per i server spesso sono necessari
test aggiuntivi al fine di verificare che le patch non
abbiamo effetti negativi.
• Implementare intrusion prevention system (IPS) per
identificare e, se desiderato, bloccare i tentativi di
sfruttare vulnerabilità note. Questo viene effettuato
come misura preventiva fino a che non è possibile applicare un aggiornamento come parte di un normale
ciclo di patching. In altri casi, l’IPS è il mezzo principale
di difesa di sistemi che non possono essere protetti
per svariati motivi.
Numero Totale di Vulnerabilità Comuni ed
Esposizione
2013
5,191
2012
5,297
Fonte: Check Point Software Technologies
Meno vulnerabilità o una falsa speranza?
L’unico fattore di rischio nello scenario della sicurezza
informatica che non è cresciuto nel 2013 è stato il
numero di vulnerabilità segnalate. Di primo acchito,
questo sembrerebbe offrire un po’ di sollievo dopo i dati
del 2012 che suggerivano un’inversione di tendenza
rispetto al trend di riduzione delle vulnerabilità registrato
negli anni precedenti - aumento del 27 percento (5.297)
rispetto al 2011 come indicato dal database Common
Vulnerabilities and Exposures (CVE) (Grafico 3-2). Infatti,
il 2012 ha visto un ampliamento dello scenario delle
24
2011
2010
4,155
4,651
5,736
2009
2008
5,632
Grafico 3-2
Fonte: database Common Vulnerabilities and Exposures
)CVE(
2014 CHECK POINT ANNUAL SECURITY REPORT
OGNI
60
03 The Devil You Know: Malware in the Enterprise
SECONDI
UN HOST ACCEDE A
UN SITO MALEVOLO
Il numero di nuove vulnerabilità segnalate tende ad avere
una correlazione diretta positiva sul carico di lavoro
della sicurezza e delle organizzazioni IT. In quest’ottica,
il 2013 sembra certamente aver portato buone notizie
a security manager sempre più impegnati. Il database
CVE mostra un decremento nel numero di vulnerabilità
riportate (5.191) per l’anno, una leggera riduzione
del 2 percento rispetto al 2012, e comprende un
decremento del 9 percento nel numero di vulnerabilità
‘critiche’ segnalate.
Ma la storia non è quella che potrebbe sembrare. Anche se sono state segnalate un numero inferiore di
vulnerabilità, gli esperti concordano che un maggior
numero di vulnerabilità critiche vengono trasferite al
mercato nero — uno sviluppo potenzialmente più rischioso (vedi box: Zero-day, molti dollari).
ZERO-DAY, MOLTI DOLLARI
Nonostante un aumento dei programmi di ricerca da parte
dei vendor verso le vulnerabilità identificate dai ricercatori,
l’elevato valore di mercato di reali vulnerabilità zero-day
porta i ricercatori a venderle ad enti governativi “grayhat”28 — che collaborano con gli hacker per ampliare
le loro capacità di cyber difesa — e con organizzazioni
professionali di penetration testing. Un mercato nero del
malware ancora più fruttifero serve gli hacker black-hat;
qui i prezzi per vulnerabilità non ancora segnalate variano a
seconda della piattaforma e spaziano dai $5,000 per Adobe
Reader fino ai $250,000 per Apple iOS. La disponibilità
di zero-day exploit mette questi sofisticati attacchi
informatici alla portata di qualunque organizzazione,
indipendentemente dalle loro capacità tecniche.
PIATTAFORMA
PREZZO
Adobe Reader
$5,000–$30,000
Mac OS X
$20,000–$50,000
Android
$30,000–$60,000
Browser plug-in per Flash o Java
$40,000–$100,000
Microsoft Word
$50,000–$100,000
Microsoft Window
$60,000–$120,000
Browser Firefox o Safari
$60,000–$150,000
Browser Chrome o Internet Explorer
$80,000–$200,000
Apple iOS
$100,000–$250,000
Fonte: Forbes
25
2014 CHECK POINT ANNUAL SECURITY REPORT
10
OGNI
MINUTI
UN HOST SCARICA MALWARE
Anche se un maggior numero di nuove vulnerabilità
scompare dal panorama e finisce potenzialmente nelle
mani di autori di malware, la distribuzione di quelle segnalate evidenzia un’altra sfida per i manager IT e della sicurezza (Grafico 3-3). Oracle rimane la piattaforma
principale per vulnerabilità segnalate nel 2013, molte
delle quali presenti in prodotti Java utilizzati sia in appli-
Principali Vulnerabilità del 2013 ed
Esposizione per Vendor
(numero di vulnerabilità)
496
433
394
345
192
Google
192
Apple
191
Redhat
190
Linux
175
160
Oracle
Cisco
IBM
Microsoft
Sun
Mozilla
Grafico 3-3
Fonte: database Common Vulnerabilities and Exposures
)CVE(
26
cazioni server che client, offrendo un’interessantissima
opportunità per i criminali. Microsoft, intanto, è scesa ulteriormente nella lista e occupa il quarto posto, con più
vulnerabilità segnalate nei prodotti Cisco e IBM, compresi i componenti di infrastrutture server e di rete su
larga scala non sempre coperti da policy di protezione
e monitoraggio IPS.
La maggior parte delle organizzazioni dispone di processi ben definiti per l’implementazione tempestiva di
patch Microsoft. Non vale lo stesso principio per applicazioni client quali Java e Adobe Reader, e questo fa sì
che siano esposte ad attacchi browser-based tramite
spear phishing (messaggi di phishing mirati) e attacchi
“watering hole” in cui un criminale compromette un noto
sito e vi integra un malware in grado di infettare qualunque client vulnerabile che visualizzi quella determinata
pagina.
Endpoint: senza patch,
senza restrizioni e non preprarati
Le statistiche relative alla sicurezza degli endpoint
della nostra ricerca 2013 confermano che tenere il
passo con le patch rappresenta una sfida significativa,
in particolare per i sistemi client (Grafico 3-4).
Nonostante la diffusa adozione di processi regolari
per l’applicazione di patch Microsoft, il 14 percento
degli endpoint analizzati non era dotato dei più recenti
service pack Microsoft Windows, che integrano tutti i
più recenti aggiornamenti. Cosa ancora più importante,
il 33 percento degli endpoint enterprise non disponeva
di versioni attuali di software client quali Adobe Reader,
Adobe Flash player, Java e Internet Explorer, lasciando
buchi che rendono questi client vulnerabili a numerosi
attacchi.
2014 CHECK POINT ANNUAL SECURITY REPORT
03 ILKnow:
NEMICO
CHE CONOSCI:
MALWARE IN AZIENDA
03 The Devil You
Malware
in the Enterprise
Vulnerabilità e Problemi
di Configurazione degli Endpoint
Enterprise
Invece quindi di dare speranza a IT e security manager,
l’ambiente del 2013 si mostra molto favorevole per i
criminali:
(% di hosts)
•
Host in cui l’utente ha il permesso di local Administrator
38%
Host con almeno un dispositivo BlueTooth installato
53%
Host che non dispongono di signature AV aggiornate
•
•
Un maggior numero di vulnerabilità sul mercato
nero, dove rimangono non segnalate e senza
patch
Diffusione di client non protetti
Un passaggio nel numero di vulnerabilità verso
applicazioni e piattaforme che vengono aggiornate
meno di frequente
Eventi di Sicurezza
per Software Vendor
18%
Host che non dispongono di versioni software aggiornate*
(% delle organizzazioni)
33%
Host che non hanno il più recente Service Pack**
14%
Host che non hanno un desktop firewall in funzione
67% Microsoft
68%
23%
Adobe
15%
13%
*I software controllati sono: Acrobat Reader, Flash Player,
Java, Internet Explorer
**Le piattaforme Microsoft Windows verificate: Windows
XP, Windows 2003, Vista, 2008, 2008 R2, Windows 7
10%
VideoLAN
1%
Grafico 3-4
Fonte: Check Point Software Technologies
Squid 4%
2%
La vulnerabilità di questi sistemi è aumentata dal
fatto che quasi il 18 percento degli host analizzati
non disponeva delle più recenti signature della
soluzione antivirus. La conseguenza di questa
mancanza può essere considerevole; un attacker che
riesce ad accedere a un client vulnerabile dispone
di una solida piattaforma per esplorare il resto della
rete dell’organizzazione. Degli enterprise endpoint
analizzati, il 38 percento mostra che l’utente dispone di
permessi da Administrator locale, abilitando il malware
a girare sul sistema (root) quando si avvia invece che
essere limitato al contesto dell’utente.
3Com 4%
Oracle* 4%
15%
CA Technologies
3%
Novell 2%
5%
2013
2012
Grafico 3-5
* Java+Oracle+Sun Solaris
Fonte: Check Point Software Technologies
27
2014 CHECK POINT ANNUAL SECURITY REPORT
03 The
IL NEMICO
CHE Know:
CONOSCI:
MALWARE
IN AZIENDA
Devil You
Malware
in the
Enterprise
I criminali guardano oltre Windows
I dati sugli attacchi derivanti dalla ricerca 2013
mostrano come i criminali si stiano adattando per
cogliere queste opportunità nelle reti aziendali (Grafico
3-5). Se Microsoft rimane la piattaforma più colpita nel
2013, con almeno un attacco nel 67 percento delle
organizzazioni analizzate, questo dato rappresenta
un leggero decremento rispetto al 2012. Gli aumenti
negli attacchi ad Adobe (Reader e Flash Player) e
VideoLAN (VLC media player) riflettono la crescita di
focus sulle applicazioni end-user, mentre l’incremento
nell’attenzione su dispositivi e piattaforme infrastrutturali
è evidente nell’incidenza in crescita di attacchi a sistemi
Squid (proxy e web caching), 3com (switching e routing)
e CA (analisi e identità). In effetti, la distribuzione degli
attacchi sulle diverse piattaforme riflette il concetto
“long tail” descritto da Chris Anderson29 nel 2006
(Grafico 3-6). Le piattaforme target sono una linea di
“mercati di nicchia all’infinito” e conferma il modello
di business motivato economicamente degli attuali
attacchi informatici.
THE LONG TAIL
Re
alN
Fonte: Check Point Software Technologies
%
0.2
0
AO .4%
etw L
ork 0.3
%
s
Ya 0.2
ho
o0 %
PH .2%
Bit P 0.
2%
To
r re
nt
WW 0.2
F %
es
Ap k 2
ac %
he
1
Ap %
p
Hy le 1
laF %
AX
HP 1%
%
2%
ma
rig
LA
ND
3%
No
ve
ll 2
%
CA
Au
eo
Grafico 3-6
28
%
qu
3C id 4
om %
4
Or %
ac
le
4
LA 5%
N
S 10
e1
ob
Ad
Vid
Mi
cro
so
ft
67
%
Eventi di Sicurezza per tutti i Software Vendor
2014 CHECK POINT ANNUAL SECURITY REPORT
IL
33 %
DEGLI HOST NON DISPONE DI
VERSIONI SOFTWARE AGGIORNATE
I soldi vanno dove ci sono i server
Principali Vettori di Attacco
Nel 2013, la ricerca Check Point ha evidenziato che i
(% di Organizzazioni)
server restano il target primario di attacchi indentificati da
51% Code Execution
sistemi di intrusion prevention (IPS) network-based con
un rapporto 2-a-1 (Grafico 3-7). Considerando lo stato di
47% Memory Corruption
debolezza dei sistemi client descritti in precedenza, ci si
domanda: perché attaccare i server quando è più probabile
36%
Buffer Overflow
che dispongano di patch e di maggior protezione? Per lo
stesso motivo per cui Willie Sutton assaltava le banche:
Denial of Service
23%
“Perché è lì dove ci sono i soldi.”30 I server applicativi sono
vicini alla rete e a volte anche vicini a Internet in una DMZ,
Information Disclosure
16%
e gli attacchi automatizzati sono adatti ai server perché in
Integer Overflow
12%
grado di sfruttare vulnerabilità in servizi o applicazioni senza
interazione da parte dell’utente finale. I server possono
Authentication Bypass
9%
essere scansiti a livello di porte e di servizi dall’esterno della
rete o da un client interno compromesso, e poi colpiti da
Brute Force
attacchi specifici sulla base della versione delle applicazioni
o del sistema operativo presenti. Vi sono quindi numerosi
Stack Overflow
attacchi che, se hanno successo, assicurano all’hacker il
controllo del sistema da remoto.
Privilege Escalation
Eventi di Sicurezza per Piattaforma
% del totale 2013
ti
ien
l
C
32%
2%
2%
1%
Registration Spoofing 0.2%
Grafico 3-8
Fonte: Check Point Software Technologies
68%
Grafico 3-7
S
v
er
er
Fonte: Check Point Software Technologies
29
2014 CHECK POINT ANNUAL SECURITY REPORT
03 The
IL NEMICO
CHE Know:
CONOSCI:
MALWARE
IN AZIENDA
Devil You
Malware
in the
Enterprise
I principali vettori di attacco osservati nella nostra ricerca 2013 (grafico 3-8) si basano sull’esecuzione da
remoto del codice (RCE)31, e i tre al vertice in termini di
incidenza sono esecuzione del codice, corruzione della memoria e buffer overflow. Anche gli attacchi Denial
of Service (DoS) possono supportare un attacco server agendo da cortina di fumo per distrarre l’attenzione
dall’attacco server di basso profilo in corso.Una volta
che il fumo si è dissolto, l’attacco è stato sferrato e il
server compromesso
non protetta. Oltre a essere sprovvisti di patch e service pack che aggiornano noti servizi obiettivo degli
attacchi quali RPC32, i client sono spesso vulnerabili a
causa della mancata abilitazione di importanti funzionalità di protezione. Per esempio, quasi un quarto (23
percento) degli endpoint enterprise analizzati da Check
Point non disponeva di un desktop firewall abilitato,
e oltre la metà (53 percento) aveva invece abilitato il
Bluetooth, esponendo i sistemi ad attacchi wireless in
spazi pubblici.
Client: senza patch, senza restrizioni e non
preparati
I sistemi client offrono molte altre opportunità di accesso, sfruttando principalmente il comportamento
dell’utente nell’uso dell’email o nella navigazione web.
In queste aree, i dati della nostra analisi 2013 riflettono
sia l’accelerazione dell’attività malware sia lo spostamento verso una personalizzazione di massa
Anche i client rappresentano obiettivi interessanti, specialmente per gli attacchi network-based che tentano
di propagarsi in una rete interna o su una rete pubblica
SCHERZO DEL GIORNO:
GLI END USER SONO ANCORA L’ANELLO DEBOLE
La posta elettronica continua a essere il vettore di
propagazione favorito del malware. Un esempio del 2013
conferma che ancora oggi gli utenti non si accorgono di aver
subito un attacco semplice, creando così un meccanismo
di distribuzione già pronto per la diffusione del malware
nell’organizzazione.
Nell’ottobre 2013, un dipendente di un’azienda
manifatturiera francese ha ricevuto una email con l’oggetto
“Blagounette du jour,” o “Scherzo del giorno.”33 Allegato al
messaggio c’era un file Microsoft Excel da 6MB.
L’analisi automatica di documenti sospetti in ingresso
all’interno del sandbox virtuale ha rivelato che il file Excel
estraeva l’immagine dell’applicazione Excel nel file system
del computer, e modificava la wallpaper key del registro
alla nuova immagine. Poiché l’immagine veniva spesso
30
percepita come buffa, l’inconsapevole utente era portato
a condividere questa barzelletta inoltrando il messaggio
ad amici e colleghi. Ulteriori analisi hanno confermato che
questo è esattamente ciò che è accaduto, e il documento è
stato inoltrato ad almeno altre tre aziende francesi.
Fortunatamente per loro, questo documento in particolare
non disponeva di un payload malevolo e non era stato progettato per causare danni ai computer degli utenti che lo
aprivano. Tuttavia, presenta tutti gli ingredienti di una campagna malware mirata. Coloro che aprivano il messaggio
esponevano il proprio PC e la propria azienda a un rischio
notevole, aggravato da tutti quelli che lo hanno inoltrato a
colleghi o amici, che sono a loro volta diventati un vettore
aggiuntivo per la diffusione di una barzelletta che non ha
nulla di divertente.
2014 CHECK POINT ANNUAL SECURITY REPORT
03 ILKnow:
NEMICO
CHE CONOSCI:
MALWARE IN AZIENDA
03 The Devil You
Malware
in the Enterprise
Accesso a Siti Malevoli per
Numero di Host
(% di organizzazioni)
1–
2
s
Ho
t
3–
36%
4
s
Ho
t
5–
20%
8
s
Ho
18%
t
st i
Ho iù d ost
P 6H
16
9–
1
12% 15%
2013
31%
18%
20%
16%
15%
2012
Grafico 3-9
Fonte: Check Point Software Technologies
Nel 2013 l’incidenza di host che hanno avuto accesso
a siti malevoli ha continuato a salire. La nostra
ricerca mostra che, in media, ogni 60 secondi un
host accede a un sito malevolo. Con l’eccezione del
parametro “1 – 2 host”, il Grafico 3-9 mostra che la
distribuzione del numero di host che ha avuto accesso
a siti malevoli non è cambiata rispetto al 2012.
Questa notizia apparentemente positiva nasconde in
realtà un problema più profondo, dato che si tratta
di un effetto delle campagne di spear-phishing che
puntano a un numero limitato di utenti all’interno di
un’organizzazione e sfruttano i profili social per creare
IL
un email la cui probabilità di essere aperta dai riceventi
è più elevata. Piuttosto che bersagliare l’intera azienda
con una email di phishing che può essere facilmente
individuata, questi attacchi si rivolgono a uno o due
utenti, con un approccio più efficace che ha fruttato
un aumento del 20 percento nel numero di host che
ha avuto accesso a un sito malevolo rispetto al 2012.
Questo trend spiega anche l’aumento registrato nel
2013 in termini di incidenza di host che hanno scaricato
malware, dato che il 76 percento delle imprese
analizzate aveva un valore di 1 – 4 host, una crescita
del 69 percento rispetto al 2012, mentre l’incidenza è
rimasta la stessa o è scesa per tutti gli altri user count
(Grafico 3-10).
Un piccolo numero di host che ha avuto accesso a
siti malevoli e ha scaricato malware presso un numero
più elevato di aziende ha prodotto un’accelerazione
complessiva dell’attività malware nel 2013. In media,
un host accede a un sito malevolo ogni minuto, e ogni
dieci minuti viene scaricato malware.
IL 49% DELLE ORGANIZZAZIONI AVEVA
7 O PIÙ HOST-INFETTI DA BOT
73 %
DELLE ORGANIZZAZIONI HA IDENTIFICATO
ALMENO UN BOT RISPETTO AL 63% DEL 2012
31
2014 CHECK POINT ANNUAL SECURITY REPORT
IL BLOCCO DI CRYPTOLOCKER
Cryptolocker, un tipo di malware noto come “ransomware”,
è stato identificato per la prima volta nel settembre 2013.
Come altre forme di ransomware, Cryptolocker si installa
sul computer della vittima e gira in background cifrando
diversi file, invisibile all’utente finale.
Quando la fase di cifratura è completa, Cryptolocker mostra
un prompt in cui informa l’utente che i file sono stati presi
“in ostaggio” e chiedendo il pagamento di un riscatto ai
criminali per decifrarli. La frase dice che se l’utente non
accetta questa richiesta entro la finestra di pagamento
indicata (spesso inferiore ai 4 giorni), la chiave necessaria
per decifrare i file verrà cancellata dai server, rendendo i dati
della vittima irrecuperabili.
Non esiste al momento alcun metodo alternativo per
ripristinare l’accesso ai dati cifrati.
Un tratto importante di Cryptolocker è che l’agente
malware deve trovare e iniziare la comunicazione con
il server command and control (C&C) prima di iniziare
il processo di cifratura dei file. Il modo più efficace di
sconfiggere Cryptolocker è quindi quello di identificare
e bloccare il tentativo di comunicazione iniziale da parte
dell’agent, prima di connettersi con il C&C server e partire
con il processo di cifratura.
Cryptolocker ha mostrato che l’identificazione dei bot,
spesso considerata una misura reattiva, può svolgere un
ruolo proattivo preventivo. Durante l’epidemia Cryptolocker
nell’autunno del 2013, le aziende che disponevano
di soluzioni anti-bot intelligenti sono state in grado di
mitigarne i danni non solo identificando i client infetti, ma
bloccando la comunicazione iniziale con il C&C.
Numero di Host che
ha scaricato Malware
(% di organizzazioni)
5–
8
s
Ho
t
3
32
–
1 7 st
% Ho
12%
IN MEDIA, UN HOST ACCEDE UN SITO
MALEVOLO ogni minuto,
e ogni dieci minuti
viene scaricato un malware
76%
4
1–
Grafico 3-10
s
Ho
t
9–
16
s
Ho
%
t5
ù
Pi
di
Fonte: Check Point Software Technologies
32
4% st
33
Ho
2014 CHECK POINT ANNUAL SECURITY REPORT
03 ILKnow:
NEMICO
CHE CONOSCI:
MALWARE IN AZIENDA
03 The Devil You
Malware
in the Enterprise
Numero di Host
Infetti da Bot
I bot estendono la loro portata
Come ci si può aspettare da questo aumento nell’attività
di infiltrazione, la ricerca Check Point ha evidenziato un
corrispondente incremento nelle infezioni e nelle attività
bot nel 2013. Se per l’infiltrazione il tema è stato un
minor volume di attacchi maggiorente mirati, per i bot è
vero il contrario: volumi e frequenze elevati. Nel 2013 le
imprese con 22 o più host infetti da bot è salito di quasi
il 400 percento (Grafico 3-11), mentre le infezioni più
ridotte sono diminuite.
Questi dati non devono far pensare che queste epidemie
sono scese complessivamente dato che oltre un terzo
(38 percento) delle organizzazioni avevano comunque
da 1 – 3 host infetti da bot.
(% di organizzazioni)
1–3 Host
38%
48%
4–6 Host
18%
7–9 Host
8%
10%
10–21 Host
18%
18%
Inoltre, i rischi legati a infezioni bot sono sempre più
elevati grazie all’avvento di una nuova generazione di
ransomware, esemplificata dall’epidemia Cryptolocker
nel 2013 (vedi box: Il Blocco di CryptoLocker).
Non solo le imprese fanno fatica a gestire infezioni di bot
più estese nei loro ambienti, ma questi ultimi sono sempre
più attivi. La comunicazione dei bot con i server C&C è
aumentata in modo drammatico in termini di frequenza
nel 2013, con il 47 percento delle organizzazioni che ha
identificato tentativi di comunicazione C&C a un tasso
superiore a uno l’ora, registrando un incremento dell’88
percento rispetto al 2012 (Grafico 3-12). Facendo una
media sull’intero campione analizzato, un bot tenta
di comunicare con il suo server C&C ogni tre minuti.
Ognuno di questi tentativi rappresenta un’occasione
per il bot di ricevere istruzioni e potenzialmente
esportare dati sensibili al di fuori dell’azienda colpita.
Questa accelerazione nella frequenza rappresenta una
seria minaccia per le imprese che stanno tentando di
proteggere i loro dati e sistemi.
14%
22–35 Host
7%
0%
Più di 35 Host
16%
6%
2013
2012
Grafico 3-11
Fonte: Check Point Software Technologies
33
2014 CHECK POINT ANNUAL SECURITY REPORT
IL
77 %
77% più di 4 settimane
meno di 4 settimane
DEI BOT SONO ATTIVI PER
23%
PIÙ DI 4 SETTIMANE
Fonte: Check Point Software Technologies
Frequenza di Comunicazione
dei Bot con i loro
Command and Control Center
(% di organizzazioni)
47%
25%
Fino a 1 ora
40%
1–2 ore
45%
3% 2–4 ore
La difesa dai bot diventa fondamentale,
e anche più difficile
La maggior frequenza presenta anche un’opportunità
per i security manager di identificare, bloccare e iniziare a
eliminare le infezioni bot nelle loro reti. Individuare la comunicazione bot è spesso l’aspetto più semplice; eradicare i bot senza dover effettuare il re-imaging del sistema
infetto può essere invece più difficoltoso. Bloccare in
modo efficace la comunicazione sta diventando la parte
più difficile della guerra contro i bot per via dei nuovi e
più sofisticati canali C&C impiegati da botnet DGA-based
per sfuggire ai tradizionali strumenti di filtering e blocking
(vedi box: Una Campagna di phishing differente)34.
6%
10%
Più di 4 ore
24%
2013
2012
Grafico 3-12
Fonte: Check Point Software Technologies
34
un bot cerca di
comunicare con il suo C&C
server ogni tre minuti
2014 CHECK POINT ANNUAL SECURITY REPORT
UNA CAMPAGNA DI PHISHING DIFFERENTE
Nel 2013, le campagna di phishing analizzate dal
Check Point Security and Malware Research Group
hanno evidenziato le tecniche sempre più sofisticate
utilizzate dagli attacchi odierni per sfuggire alle blacklist
che rappresentano il cuore delle difese più tradizionali,
compreso l’uso di una qualche forma di schema URL
dinamico che evita l’identificazione da parte di blacklist
statiche. Nel caso della campagna di phishing legata agli
exploit kit Nuclear, questo schema resiste all’analisi dei
ricercatori malware.
L’analisi di Cryptolocker da parte dei nostri ricercatori ha
evidenziato un altro aspetto di questo trend: in qualità
di Domain Generation Algorithm (DGA)-based botnet35,
Cryptolocker adotta domain name dinamici apparentemente
generati casualmente per stabilire la comunicazione tra
il bot e il C&C server. Questi bot Cryptolocker generano
1.000 nuovi domini al giorno, mentre dall’altra parte i
manager di Cryptolocker registrano gli stessi 1.000 domini
e li eliminano dopo 24 ore. Ne risulta che questi domini
malevoli hanno poche possibilità di essere identificati e
registrati da parte di coloro che realizzano e mantengono le
blacklist di noti domini e URL malevoli.
Viste nel loro complesso, queste recenti campagne
malware evidenziano l’importanza del ruolo di URL e
domain name dinamici in questi attacchi, in particolare
nell’evadere le blacklist statiche utilizzate tradizionalmente
per individuare e bloccare phishing e bot. Gli URL e i DGA
dinamici sfruttano l’infrastruttura di Internet per generare
varianti oscure o single-use che compongono il sistema
di difesa basato sulla ricerca e sul blocco di traffico da e
verso indirizzi identificati in precedenza su una rete globale
e classificati come malevoli.
Queste osservazioni riflettono un trend molto più esteso
nel mercato del malware. I criminali sfruttano le debolezze
nei tradizionali metodi di blacklisting basati su domain
name e URL per sfuggire alle difese esistenti e raggiungere
i loro obiettivi. I risultati per il secondo trimestre 2013
dell’Anti-Phishing Working Group (APWG)36 mostrano
che mentre i top-level domain .com (TLD)37 37 restano i
più frequentemente utilizzati nelle campagne di phishing
(44 percento del totale, in aumento dal 42 percento in
Q1), i TLD di alcuni paesi sono più comuni negli attacchi di
phishing rispetto a quanto registrato; per esempio il Brasile
(.br) ha solo l’1 percento di domini registrati ma vanta il 4
percento di phishing email TLD. Phisher e malware writer
stanno sfruttando il numero di possibili TLD per paese
per generare un immenso numero di domain name e URL
unici, e i controlli messi in atto da molti per prevenire
questa tipologia di abuso non sono efficaci. Il report “Global
Phishing Survey 1H2013: Trends and Domain Name Use”38
di APWG esplora il ruolo dei domain name negli attacchi
di phishing in maggior dettaglio e ha rivelato che coloro
che registrano i domini non sono attenti oppure sono in
combutta con i phisher.
Questo problema non può che peggiorare. Nel 2013, la Internet
Corporation for Assigned Names and Numbers (ICANN)39
ha annunciato programmi per aumentare il numero di
top-level domain dagli attuali 22 a 1.400, compresi TLD
in caratteri non latini quali arabo, cinese e cirillico. Mentre
l’APWG segnala che tali TLD sono disponibili da diversi
anni e non hanno mostrato segnali di particolare utilizzo da
parte dei phisher, vi sono tutti gli elementi per credere che
i criminali cercheranno di sfruttarli a mano a mano che i
security vendor diventano più abili a bloccare URL e phishing
domain che utilizzano caratteri latini. I cyber criminali
testeranno i limiti delle tecniche di blacklisting e URL filtering
che si affidano alle liste — locali o cloud-based — di URL
malevoli noti o sospetti e creeranno un pool virtualmente
infinito di URL single-use che possono essere impiegati per
phishing email, e domain name da utilizzare per botnet
DGA-based.
35
2014 CHECK POINT ANNUAL SECURITY REPORT
03
IL NEMICO
CHE Know:
CONOSCI:
MALWARE
IN AZIENDA
03 The
Devil You
Malware
in the
Enterprise
Raccomandazioni
L’analisi Check Point dello scenario della sicurezza
2013 rivela che l’attività malware è cresciuta in tutte
le categorie. Questo aumento si articola su tre aspetti
principali:
• Maggior attività di infiltrazione in cui gli utenti sono
esposti al malware tramite siti web malevoli, email
e download
• Incremento delle minacce post-infezione sotto
forma di attacchi bot più estesi con una più
frequente comunicazione C&O
• Più attacchi su un maggior numero di piattaforme
che mirano a vulnerabilità non solo su server e client
Windows, ma anche a infrastrutture di rete e server
e applicazioni meno gestite
Nel complesso, questa accelerazione nell’attività dei
cyber attacchi rappresenta una sfida per le aziende,
già in difficoltà nel gestire le sfide legate al malware
descritte nel Check Point 2013 Security Report. L’unico
modo per affrontare in maniera efficace questo trend,
e di combattere il passo accelerato di questi attacchi,
infezioni ed esfiltrazioni, è quello di automatizzare e
coordinare molteplici strati di difesa. Tra le misure
essenziali:
•
•
•
•
•
Gateway ed endpoint antivirus con URL
filtering—le aziende devono essere in grado
di identificare e bloccare malware e tentativi di
connessione a siti noti per la distribuzione di
malware.
Gateway anti-bot—oltre a individuare il malware,
queste soluzioni dovrebbero avere l’intelligenza per
mitigare le comunicazioni botnet DGA-based.
Estesa protezione IPS—Oltre al monitoraggio,
si dovrebbe essere in grado di bloccare attacchi
Critical severity. Il sistema dovrebbe coprire rete,
server e l’infrastruttura IT di Cisco e altri vendor e
piattaforme e non solo Microsoft Windows.
Manutenzione completa di sistemi e
applicazioni—Garantire che la gestione delle
vulnerabilità e i processi di patching siano in atto
per tutti i sistemi e applicazioni, compresi Java
e Adobe Reader, non solo per i client e i server
Microsoft Windows.
Best practice per la configurazione di
client e server—Queste comprendono la
limitazione dell’uso dei privilegi dell’Administrator,
l’inabilitazione di Java e altri script, e la limitazione
di applicazioni che gli end user possono installare
sui loro endpoint.
Nel prossimo capitolo esamineremo i risultati della
nostra ricerca 2013 relativi alle applicazioni e i rischi che
pongono ai dati aziendali e agli utenti.
36
2014 CHECK POINT ANNUAL SECURITY REPORT
04
APP(ETITO) PER
LA DISTRUZIONE
Applicazioni
ad Alto Rischio
in Azienda
37
2014 CHECK POINT ANNUAL SECURITY REPORT
38
2014 CHECK POINT ANNUAL SECURITY REPORT
04
APP(ETITO) PER LA DISTR UZIONE:
applicazioni ad alto rischio
in azienda
Il controllo delle applicazioni rappresenta una problematica
interna che va ad integrarsi e a rendere più complesse le
sfide esterne rappresentate dagli attacchi informatici. Le
applicazioni sono fondamentali per la produttività e sono
un’attività di routine per ogni organizzazione, ma creano
anche diversi gradi di vulnerabilità. Dal punto di vista della
security, ricordano gli abitanti della Fattoria degli Animali41
di George Orwell: tutte le applicazioni sono uguali, ma
alcune sono più uguali di altre.
Le applicazioni ad alto rischio sono l’epitome di queste
sfide. A differenza di applicazioni di produttività come
Microsoft Office e delle sempre più accettate applicazioni
Web 2.0 dei social media, come Facebook, LinkedIn,
Twitter, WebEx e YouTube, le applicazioni ad alto rischio
consentono la navigazione anonima del web, lo storage
e la condivisione dei file nel cloud, l’utilizzo remoto di
L'
SE SIAMO ONLINE,
tUTTO IL MONDO È LOCALE.
Neal Stephenson, Cryptonomicon40
dati ed applicazioni desktop e la condivisione di media
ed altri file tra utenti e computer. Le applicazioni ad alto
rischio spesso operano ai limiti delle soluzioni e dei
sistemi IT ufficialmente permessi, se non del tutto fuori,
e rappresentano una parte della crescente galassia IT
di applicazioni, dispositivi e servizi guidati dall’utente
finale, che girano all’interno delle reti aziendali con poca
o nessuna visibilità.
86 %
DELLE ORGANIZZAZIONI HANNO ALMENO
UN'APPLICAZIONE AD ALTO RISCHIO*
* P2P File Sharing, Anonymizer e sistemi di File Storage and Sharing
39
2014 CHECK POINT ANNUAL SECURITY REPORT
04 APP(ETITO)
PER Destruction:
LA DISTRUZIONE:
APPLICAZIONI
AD ALTO in
RISCHIO
IN AZIENDA
App(etite) for
High-Risk
Applications
the Enterprise
EMEA*
PRINCIPALI
APPLICAZIONI AD ALTO
RISCHIO PER REGIONE
Anonymizers
Tor · Hide My Ass! · OpenVPN
P2P File Sharing
BitTorrent Protocol · Soulseek ·
eDonkey l
File Storage and Sharing
Dropbox · Windows Live Office ·
Hightail (formalmente YouSendIt)
Amministrazione Remota
RDP · TeamViewer · LogMeIn
Anonymizers
Tor · Ultrasurf · Hotspot Shield
P2P File Sharing
BitTorrent Protocol · Soulseek · Box Cloud
File Storage and Sharing
Dropbox · Windows Live Office ·
Hightail (formerly YouSendIt)
Anonymizers
Ultrasurf · Tor · Hide My Ass!
P2P File Sharing
BitTorrent Protocol · Xunlei · Soulseek
Amministrazione Remota
RDP · LogMeIn · TeamViewer
Americas
Grafico 4-1
* EMEA – Europa, Medio Oriente e Africa
**APAC – Asia, Pacifico e Giappone
Fonte: Check Point Software Technologies
40
APAC**
File Storage and Sharing
Dropbox · Windows Live Office ·
Hightail (formalmente YouSendIt)
Amministrazione Remota
TeamViewer · RDP · LogMeIn
2014 CHECK POINT ANNUAL SECURITY REPORT
04 APP(ETITO)
PER LA DISTRUZIONE:
APPLICAZIONI
AD ALTO
IN AZIENDA
04 App(etite)
for Destruction:
High-Risk
Applications
in theRISCHIO
Enterprise
Percentuale di Organizzazioni che utilizzano Applicazioni ad Alto Rischio
(% delle organizzazioni)
90%
Amministrazione remota
81%
86%
File Storage and Sharing
80%
75%
P2P File Sharing
61%
56%
Anonymizer
43%
2013
2012
Grafico 4-2
Fonte: Check Point Software Technologies
Nel 2012, la ricerca Check Point sulla sicurezza ha
mostrato quanto le applicazioni ad alto rischio del Web 2.0
fossero pervasive nell’infrastruttura aziendale e ponessero
significativi rischi di compromissione e perdita di dati. La
nostra analisi della sicurezza di rete aziendale nel 2013
ha mostrato come, nonostante i rischi siano ben noti,
l’incidenza di applicazioni ad alto rischio è aumentata
su tutte le categorie (Grafico 4-2). Questo capitolo
esamina i risultati per ogni categoria e condivide una
serie di raccomandazioni che possono mitigare questa
problematica.
LA RICERCA HA REGISTRATO UNA
CRESCITA NELL' uTILIZZO DI anonymizer
NELLE RETI ENTERPRISE, CON OLTRE LA METÀ
(56 percentO) DELLE organizZaZionI
ANALIZZATE CHE HANNO REGISTRATO LA
PRESENZA DI ALMENO UN anonymizer
Il pericolo dell’anonimato
Le applicazioni anonymizer sono generalmente associate
alla possibilità di offrire agli utenti un modo di navigare in
Internet e visitare siti web mantenendo l’anonimato. Si
basano tipicamente sulla creazione di un tunnel criptato
verso un set di proxy server HTTP per permettere agli
utenti di superare i firewall e le restrizioni legate al filtering
dei contenuti. Alcuni, come ad esempio Tor, fanno uso di
tecniche aggiuntive di offuscamento del routing, ed anche
di speciali plug-in software o del browser per consentire
agli utenti di coprire le loro attività ed evitare così controlli,
aziendali, governativi o di altro tipo.
Nel 2013, la ricerca Check Point ha registrato una crescita
generale nell’utilizzo di anonymizer nelle reti enterprise, con
oltre la metà (56 percento) delle organizzazioni analizzate
che hanno registrato la presenza di almeno un anonymizer,
con un aumento del 13 percento rispetto al 2012.
41
2014 CHECK POINT ANNUAL SECURITY REPORT
ACCESSO AL DEEP WEB
Conosciuto anche come The Onion Router, Tor42 si è
rivelato ancora una volta l’applicazione anonymizer più
frequentemente individuata nel corso della nostra ricerca
del 2013. Tor era già ben noto come veicolo di navigazione
anonima che permette di superare facilmente le policy
aziendali di sicurezza, ma nel 2013 ha acquisito maggiore
notorietà come accesso al Deep Web, il mondo nascosto
sotto la tradizionale Internet aperta e ricercabile chiamata
“Surface Web”43. Caratterizzato dal fatto di essere
inaccessibile dagli strumenti standard di ricerca, il Deep
Web è salito agli onori della cronaca nel 2013 in risposta
all’incremento delle preoccupazioni negli USA e all’estero
in tema di sorveglianza e privacy, guadagnando ancora
maggiore notorietà a seguito degli arresti di Silk Road 44.
Altre applicazioni anonymizer pongono problematiche
amministrative similari, ma il ruolo di Tor come gateway verso
Applicazioni Anonymizer
più Diffuse
(% di organizzazioni)
Tor
15%
23%
14%
Ultrasurf
8%
12%
Hide My Ass!
7%
10%
OpenVPN
3%
10%
Grafica 4-3
CoralCDN
2013
2012
Fonte: Check Point Software Technologies
42
Onionland e altre aree del Deep Web lo rende un rischio
particolare per i security manager. Se offre l’anonimato e un
mercato per un ampio sottobosco, il Deep Web è anche un
posto ricco di malware e truffe, e le organizzazioni hanno
tutti i motivi di preoccuparsi del fatto che i loro dipendenti
utilizzino Tor per sfuggire dalla sorveglianza reale o percepita,
esponendo così i loro computer e le stesse aziende ad un certo
livello di rischio. Più recentemente, investigatori hanno visto
come dati relativi a carte di credito rubati da diversi retailer
usando il Trojan di accesso remoto Chewbacca45 siano stati
inviati verso server esterni usando Tor.
Libertà di parola e anonimato sono diritti fondamentali e
devono essere difesi. Per gli amministratori di sicurezza in
ambienti aziendali, però, individuare e bloccare l’utilizzo di
Tor e di altri anonymizer sui sistemi e nelle reti corporate
deve diventare una priorità per il 2014 ed oltre.
Le singole applicazioni anonymizer hanno visto crescite
disomogenee, comunque, con Tor in realtà individuato
presso un numero minore di organizzazioni rispetto al
2012: il 15 percento nel 2013, rispetto al 23 percento
nel 2012 (Grafico 4-3). Questo riflette la maggiore
attenzione (e una maggiore restrizione) rispetto a Tor
nelle policy aziendali di sicurezza, e con buoni motivi
(vedere il box : Accesso al Deep Web). Comunque,
questo potrebbe anche derivare in parte dall’abitudine
dei dipendenti di navigare meno spesso in modo
anonimo da reti e sistemi aziendali, o dal passaggio da
parte degli utenti ad applicazioni anonymizer meno note,
e di conseguenza meno passibili di essere bloccate
dalle policy aziendali.
2014 CHECK POINT ANNUAL SECURITY REPORT
04 APP(ETITO)
PER LA DISTRUZIONE:
APPLICAZIONI
AD ALTO
IN AZIENDA
04 App(etite)
for Destruction:
High-Risk
Applications
in theRISCHIO
Enterprise
Con il supporto dei difensori della libertà di pensiero
e della privacy, gli anonymizer hanno contribuito a
proteggere la segretezza — e a volte anche la vita — dei
dissidenti in paesi che vivevano momenti di tensione.
Più recentemente, le rivelazioni sulla sorveglianza
condotta dagli stati nel 2013 ne hanno spinto l’adozione
da parte di utenti in Europa ed Asia come rifugio da uno
spionaggio cibernetico, vero o presunto. Le differenze
regionali nell’individuazione dell’uso di anonymizer
nelle reti aziendali mostrano questo elemento, ed
evidenziano anche il successo relativo registrato dai
security administrator nelle Americhe, nella battaglia per
limitare questa categoria di applicazioni ad alto rischio
(Grafico 4-4).
Come la mitologica idra46, se gli amministratori sono
stati in grado di decapitare Tor nel 2013, è stato solo
per vedere sei nuovi anonymizer nascere per prendere
il suo posto. L’incidenza delle restanti dieci applicazioni
anonymizer è sempre aumentata rispetto al 2012.
(% di organizzazioni)
54%
Americhe
58%
40%
EMEA
54%
35%
APAC
2013
Grafico 4-4
(% di organizzazioni)
RDP
71%
71% TeamViewer
LogMeIn
50%
VNC
21%
8%
GoToAssist RemoteSupport
Ammyy Admin
Grafica 4-5
Fonte: Check Point Software Technologies
Chi riesce a fiutare un RAT?
Uso di Applicazioni
Anonymizer per Regione
49%
Principale Applicazioni
di Amministrazione Remota
2012
Fonte: Check Point Software Technologies
La categoria di applicazioni ad alto rischio che è stata
individuata più spesso nella nostra ricerca del 2013 è
quella dei tool di amministrazione remota. La più nota è
Microsoft Remote Desktop (RDP), ma molte altre sono
abbondantemente utilizzate nel mondo, con TeamViewer
che ha particolarmente accresciuto la sua popolarità
rispetto al 2012 (Grafico 4-5). Queste applicazioni hanno un
uso legittimo, quando permettono ai team IT e all’helpdesk
aziendale di sistemare e gestire i desktop dei dipendenti in
giro per il mondo (vedi box: Tool di Amministrazione Remota:
il Buono , il Brutto e il Cattivo).
Comunque, molte organizzazioni hanno adottato questi
strumenti in modo superficiale, sulla base di necessità
tattiche, con il risultato che, invece di scegliere un’unica
applicazione di amministrazione remota, spesso le
organizzazioni IT ne impiegano tre o più, a seconda della
piattaforma, della connessione e dei task. Nel 2013,
le applicazioni di amministrazione remota sono state
le uniche a venire individuate in percentuale più alta nel
settore dell’industria, con il 90 percento delle aziende di
questo mercato che ha scoperto la presenza di almeno
una di queste applicazioni.
43
7%
2014 CHECK POINT ANNUAL SECURITY REPORT
tool di amministrazione remota:
il buono, il Brutto e il cattivo
Gli strumenti di amministrazione remota vengono spesso
confusi con gli strumenti di accesso remoto, per via del loro
comune acronimo inglese, RAT.” Nella realtà, se i tool di
amministrazione remota portano con sé diversi rischi operativi
e di sicurezza, questi sono diversi rispetto a quelli associati a
strumenti di accesso remoto, come Chewbacca, Poison Ivy,
DarkComet ed il famigerato Back Orifice. Fondamentalmente
dei Trojan, i tool di accesso remoto non hanno utilizzo
legittimo all’interno di una rete aziendale, e come minaccia
importante, la loro individuazione dovrebbe provocare una
rapida risposta a livello di rimozione, riparazione e analisi
forense di possibili esposizioni dei dati.
I più noti strumenti di amministrazione remota, d’altra parte,
spesso proliferano nelle reti come risposta alle necessità
dei team IT e di helpdesk aziendale, man mano che questi
tentano di risolvere problemi e di fornire accesso alle
applicazioni e ai dati, tramite una varietà di dispositivi e
piattaforme in continua espansione. Il tool di amministrazione
Principali Applicazioni di File Sharing
(% di organizzazioni)
BitTorrent Protocol 63%
25%
Soulseek
14%
eDonkey Protocol
13%
Xunlei
10%
Box Cloud
Grafico 4-6
Fonte: Check Point Software Technologies
44
remota TeamViewer è un buon esempio della tendenza tra
questi strumenti. Nel 2013, la presenza di TeamViewer nelle
reti esaminate è cresciuta di popolarità, sulla spinta della
fine della versione gratuita del noto LogMeIn, e come set di
funzionalità di espansione che comprende supporto esteso a
piattaforme non-Windows, caratteristiche di conferencing e
collaborazione, e prestazioni valide su una grande varietà di
connessioni senza necessità di dover apportare le modifiche
al firewall richieste da RDP.
Questo però comporta un prezzo, perché le caratteristiche
che lo fanno una scelta ottimale per i team IT lo rendono
attrattivo anche per quegli utenti finali che intendono
accedere in remoto al loro computer di lavoro tramite
smartphone, tablet o addirittura il PC di casa, aprendo così
falle nella rete aziendale e mettendo a rischio la sicurezza
dell’organizzazione. In questi casi, anche con le migliori
intenzioni, un dipendente può trasformare uno strumento
positivo in un canale di rischio.
File sharing P2P: Non Sicuro per il Lavoro
Le applicazioni di file sharing Peer-to-peer (P2P)
vengono usate per condividere file tra gli utenti. Spesso
utilizzato per distribuire materiale protetto da copyright,
software legale e piratato, ed altri media, il file sharing
P2P è un canale molto usato per la distribuzione di
malware, che può essere nascosto all’interno dei file
condivisi. Oltre a distribuire malware a utenti ignari o
impreparati, le applicazioni P2P possono creare una
backdoor nelle reti aziendali – che poi può consentire
a criminali di entrare nel network e farne uscire dati
sensibili.
Inoltre, l’uso frequente di applicazioni P2P come
BitTorrent per la distribuzione di film e musica protetta
da copyright espone le organizzazioni alla possibilità di
essere oggetto di azioni legali da parte della Recording
Industry Artists Association (RIAA), che è diventata
particolarmente aggressiva in collaborazione con
gli Internet Service Provider (ISP) per individuare e
perseguire le fonti di distribuzione di contenuti piratati
2014 CHECK POINT ANNUAL SECURITY REPORT
04 APP(ETITO)
PER LA DISTRUZIONE:
APPLICAZIONI
AD ALTO
IN AZIENDA
04 App(etite)
for Destruction:
High-Risk
Applications
in theRISCHIO
Enterprise
Principali Applicazioni di
File Storage and Sharing
Salvataggio e iper-condivisione dei file
(% delle organizzazioni)
Dropbox 85%
69%
48%
Windows Live Office
51%
26%
Hightail (formalmente YouSendIt)
22%
16%
SugarSync
Ovviamente, la semplicità di condividere espone un’organizzazione al rischio significativo di “iper-condivisone”, che
sia involontaria o intenzionale, da parte di utenti che effettuano una sincronizzazione di dati aziendali sensibili da un
sistema protetto al lavoro ad altri dispostivi non protetti, o
addirittura a cartelle condivise con altri utenti.
13%
15%
ImageVenue
9%
14%
La possibilità di creare e condividere contenuti con
grande semplicità tra dispositivi e utenti è un tratto
distintivo delle applicazioni Web 2.0. Le applicazioni
di file storage & sharing giocano un ruolo importante
nell’abilitare questa possibilità, rendendo semplice agli
utenti salvare contenuti in una cartella su un dispositivo
e poi effettuarne una replica automatica nel cloud e
sincronizzarla su tutti gli altri dispositivi associati.
Estendere tutto ciò condividendolo con altri utenti
è spesso tanto semplice come mandare un link ai
destinatari, che possono poi accedere ai file condivisi
e anche modificarli.
Mendeley
4%
2013
Grafico 4-7
2012
Fonte: Check Point Software Technologies
o privi di licenza (Grafico 4-6). Nel 2013, BitTorrent
è rimasta ’applicazione di file sharing P2P più nota,
con una presenza che è aumentata passando dal 40
percento delle organizzazioni nel 2012, al 63 percento
nel 2013. L’incidenza nella scoperta di applicazioni di
file sharing P2P è aumentata costantemente in tutte le
regioni.
Nel 2013, Dropbox ha rafforzato la sua posizione di
applicazione di file storage & sharing più diffusa, individuata nell’85 percento delle reti analizzate, in
crescita rispetto ad un’incidenza registrata nel 2012
del 69 percento (Grafico 4-7). Questo in contrasto a
quasi tutte le altre principali applicazioni di file storage & sharing, che sono ricorse meno frequentemente
rispetto al 2012, riflettendo la scelta da parte delle
aziende di consolidare su un’unica applicazione approvata dalla società, ma anche la costante popolarità
di Dropobox tra gli utenti individuali, che la inseriscono
negli ambienti corporate come parte dell’infrastruttura
“IT ombra”50.
DROPBOX ERA PRESENTE NELL'
85 %
DELLE AZIENDE
45
2014 CHECK POINT ANNUAL SECURITY REPORT
DROPBOX COLPITA
Il 2013 si è fatto notare come l’anno in cui criminali e
ricercatori hanno compreso il potenziale delle applicazioni
di file storage & sharing come strumenti per infiltrarsi
nelle organizzazioni ed estrarre da esse dati sensibili.
A marzo, è stato reso noto come gli hacker avessero
sviluppato un meccanismo per usare Evernote a supporto
delle comunicazioni di command and control (C&C) e di
estrazione per reti di bot.
se il computer sia gestito dall’azienda o di proprietà del
dipendente; una volta che DropSmack è installato su un
dispositivo, i processi di sincronizzazione automatica
di Dropbox lo replicano della cartella Dropbox di ogni
dispositivo associato con quell’account. DropSmack
consente al criminale di superare le difese perimetrali e
anche la maggior parte delle protezioni a livello di device
per infiltrazione, C&C, movimento laterale ed estrazione.
Poco dopo, ad aprile, un ricercatore ha delineato
un meccanismo per diffondere malware all’interno
di un’organizzazione utilizzando le funzionalità di
sincronizzazione di Dropbox. Chiamato DropSmack51,
l’attacco prevede l’integrazione di comandi macro in
un file dotato di estensione .doc e di un titolo legittimo,
e poi il suo posizionamento nella cartella Dropbox di un
utente dell’organizzazione presa di mira. Non è importante
L’introduzione di nuove caratteristiche di sicurezza in
Dropbox, come la crittografia e l’autenticazione a due fattori,
era intesa per rispondere alle preoccupazioni dei security
manager ma, come mostra DropSmck, queste applicazioni
hanno ancora un grande potenziale per la condivisione di
malware e devono essere monitorate con attenzione negli
ambienti aziendali, se in essi sono comunque consentiti.
Creature sociali
Le piattaforme social media sono una componente
integrale del Web 2.0 e si sono guadagnate un’estesa
accettazione, anche se a volte riluttante, presso
Profili Social Media
Multiple
other
stylized
SM inputs
Social Media Profile
Target: Your Company
User: John Q Employee
Grafico 4-8
gli ambienti IT corporate. Nel Check Point 2013
Security Report abbiamo descritto le modalità con
cui Facebook espone dipendenti a rischi di hacking
e social engineering, e abbiamo raccomandato una
46
maggiore educazione degli utenti e la definizione di
difese sugli endpoint e sulla rete.
Nel 2013 questi rischi sono rimasti, e sono stati
amplificati dal ruolo crescente dei social media come
strumento essenziale per gli hacker nella pianificazione
ed esecuzione di attacchi mirati.
Una volta che i criminali hanno preso di mira
un’organizzazione e identificato gli individui all’interno
di essa che hanno accesso ai dati desiderati, procederanno alla creazione di un profilo social media di ogni
dipendente obiettivo (Grafico 4-8). Questo profilo rivela
al criminale informazioni di valore, come ad esempio
siti web e servizi di shopping online solitamente usati
dal dipendente, amici e conoscenti da cui lui potrebbe
aspettarsi di ricevere messaggi email, ed eventi significativi cui ha partecipato recentemente o parteciperà in futuro. Forte di queste informazioni, il criminale può creare una mail di spear-phishing legittima
all’apparenza per il destinatario target, e perciò con
un’elevata probabilità di successo. Dobbiamo solo tornare alle conclusioni del Capitolo 3 per vedere gli effetti
di questa profilazione.
2014 CHECK POINT ANNUAL SECURITY REPORT
04 APP(ETITO)
PER LA DISTRUZIONE:
APPLICAZIONI
AD ALTO
IN AZIENDA
04 App(etite)
for Destruction:
High-Risk
Applications
in theRISCHIO
Enterprise
Utilizzo di Banda da parte
dei Principali Social Network
(% delle organizzazioni)
Facebook 47%
11%
10%
9%
8%
Twitter
LinkedIn
Flickr
Pinterest
Grafico 4-9
Fonte: Check Point Software Technologies
(Grafico 4-9) Tra le applicazioni social media, Facebook
resta la più diffusa, misurata in termini di consumo di
banda negli ambienti aziendali che abbiamo analizzato
nel corso della nostra ricerca 2013.
•
Twitter e LinkedIn ancora una volta completano
il podio delle principali applicazioni social, ma
entrambe hanno visto un decremento dell’incidenza
generale rispetto al 2012. Questo probabilmente
ha poco a che vedere con un minor uso da parte
dei dipendenti, ma con un passaggio dall’utilizzo
di accessi e PC di lavoro tramite la rete aziendale
all’utilizzo di dispositivi mobili e connessioni
wireless. Se questo può avere il vantaggio di
ridurre il peso sulle reti aziendali e di abbassare il
pericolo immediato rappresentato dal malware per
PC aziendali, il grande uso di applicazioni di file
storage & sharing come Dropbox significa che un
infezione sul MacBook o sul tablet personale di un
utente può facilmente diffondersi al corrispondente
sistema aziendale (vedi box: Dropbox Colpita).
Raccomandazioni
Applicazioni ad alto rischio di tutti i tipi continuano a
rappresentare una crescente minaccia in azienda,
anche se gli strumenti specifici scelti dagli utenti finali
possono cambiare nel tempo. Se alcune di queste, in
particolare anonymizer e reti P2P, non hanno ragione
di esistere in azienda e debbono essere eliminate
completamente, strumenti di amministrazione remota
e di file storage & sharing possono rispondere a
necessità legittime da parte degli utenti finali o dell’IT, e
pongono quindi una questione più complessa. Anche
piattaforme social media generalmente accettate come
Facebook, LinkedIn e YouTube, che svolgono un ruolo
importante nelle strategia di social media marketing
e di content marketing, possono rappresentare un
veicolo attraente per attacchi di spear-phishing. Se
la protezione dal malware può focalizzarsi in senso
esteso su individuazione, prevenzione ed eliminazione
come principi guida, le applicazioni richiedono un
approccio più sfumato, che dovrebbe comprendere:
Application control basato su categorie—Gli
amministratori devono essere in grado di bloccare intere
famiglie di applicazioni se lo desiderano, piuttosto che
singolarmente, una per una. Questo non solo semplifica
la gestione, ma permette di applicare policy di controllo a
nuove applicazioni quando queste vengono adottate dai
dipendenti in sostituzione di altre che sono state bloccate
o cui è stato limitato l’accesso.
Standardizzazione su applicazioni approvate—
Le organizzazioni che necessitano di strumenti di
amministrazione remota per supportare funzioni IT o
di business dovrebbero scegliere come standard una
singola applicazione, e poi monitorare le loro reti alla
ricerca di altri tool di amministrazione remota. Se non
fosse possibile bloccarli, la loro presenza dovrebbe
comunque avviare un processo di notifica ed indagine
per determinare chi li sta usando e come vengono usati,
e per verificare se si tratta di eccezioni valide alle policy o
di digressioni tattiche che dovrebbero essere riportate nei
confini delle policy.
47
2014 CHECK POINT ANNUAL SECURITY REPORT
04 APP(ETITO)
PER LA DISTRUZIONE:
APPLICAZIONI
AD ALTO
IN AZIENDA
04 App(etite)
for Destruction:
High-Risk
Applications
in theRISCHIO
Enterprise
Inoltre, il monitoraggio e l’applicazione dovrebbero essere
legati a specifici utenti o gruppi di utenti, per essere sicuri
che solamente coloro che hanno un valido motivo di
business abbiano la possibilità di farne uso. Un approccio
simile può essere adottato per gli strumenti di file storage
& sharing; l’IT dovrebbe implementare un servizio o una
soluzione sicura e di livello enterprise per rispondere a
questa necessità. Altrimenti, gli utenti si rivolgeranno
inevitabilmente ad applicazioni della cosiddetta IT
ombra per la condivisione di file e la sincronizzazione tra
dispositivi che il loro lavoro richiede.
Formazione degli utenti finali—Data la non
praticabilità o la indesiderabilità di bloccare
completamente certe categorie di applicazioni, i
responsabili IT e della sicurezza dovrebbero sviluppare
estesi programmi continuativi per informare gli utenti
finali dei rischi rappresentati dalle applicazioni ad alto
rischio. I dipendenti devono comprendere i rischi
specifici legati ai differenti tipi di applicazioni; come
evitare lo spear-phishing, le violazioni del copyright
ed altre minacce; e come possono soddisfare le loro
legittime necessità operative e di produttività grazie
a strumenti e comportamenti più sicuri, e soprattutto
approvati dall’IT.
Non sempre è necessario il malware o l’uso
improprio di un’applicazione per mettere a rischio
un’organizzazione. Se il software malevolo gioca un
ruolo in molti incidenti di data loss, fin troppo spesso
un fattore fondamentale è il semplice errore umano.
Il prossimo capitolo andrà ad esplorare i principali
incidenti e trend nel data loss verificatisi nel 2013.
48
2014 CHECK POINT ANNUAL SECURITY REPORT
49
2014 CHECK POINT ANNUAL SECURITY REPORT
05
DATA LOSS
PREVENTION:
Il Grande Ritorno
50
2014 CHECK POINT ANNUAL SECURITY REPORT
51
2014 CHECK POINT ANNUAL SECURITY REPORT
05
Data Loss Prevention:
il grande ritorno
Gli incidenti di data loss sono tornati alla ribalta nel
2013 quando Adobe Systems, Target, Neiman Marcus
e altre organizzazioni di alto profilo hanno sofferto
violazioni di alto profilo che hanno coinvolto milioni di
utenti.
I dati sono stati a lungo un obiettivo principale per gli
hacker, considerando informazioni finanziarie, proprietà
intellettuale, informazioni aziendali interne e credenziali
di autenticazione. Ora più che mai esistono differenti
modi per far sì che i dati cadano nelle mani sbagliate
poiché i dispositivi mobili e le app della cosiddetta
“shadow IT” aprono nuovi vettori di attacco e alimentano
il rischio di perdita o infiltrazione. L’Internet of Things
aggrava ulteriormente la situazione dal momento che
i dispositivi comunicano direttamente l’uno con l’altro
per scambiare Informazioni su consumi di energia
domestica, localizzazione e stato del proprio veicolo,
tracciamento pacchi, salute personale e altro ancora.
Poiché una maggiore quantità di dati viene traferita in
modi differenti, diventa più difficile che mai controllarli e
proteggerli.
CODICI DI SICUREZZA SOCIALE,
CONTI BANCARI E carTE DI CREDITO
NON SONO SOLO SEMPLICI DATI.
NELLE MANI SBAGLIATE POSSONO SPAZZARE
VIA I RISPARMI DI UNA VITA, DISTRUGGERE IL
CREDITO E CAUSARE UN DISASTRO ECONOMICO.
Melissa Bean52
Gli hacker non rappresentano l’unica minaccia per i dati
aziendali. Molte violazioni accadono inavvertitamente,
quando gli utenti inviano il file sbagliato al destinatario
giusto, o il file giusto al destinatario sbagliato – o
semplicemente lasciano un laptop non protetto nel
posto sbagliato. L’errore umano ha giocato un ruolo
chiave in molti degli incidenti di data loss degli anni
passati ma, che si tratti di una cosa intenzionale o
meno, il risultato può essere lo stesso: i dati sensibili
sono esposti a rischi, clienti arrabbiati, reputazione
danneggiata, multe dovute a mancanza di conformità
e interruzioni critiche al business.
88 %
NEL 2013 L'
DELLE ORGANIZZAZIONI HA RISCONTRATO
ALMENO UN INCIDENTE DI PERDITA
POTENZIALE DEI DATI
52
2014 CHECK POINT ANNUAL SECURITY REPORT
CREDI DI NON CORRERE IL RISCHIO DI PERDERE
DATI? RIPENSACI…
Molte organizzazioni continuano a sottovalutare
l’implementazione di policy e controlli approfonditi di protezione dei dati perché pensano di non essere a rischio
di violazione di dati. La dura realtà è che gli hacker non
prendono di mira solo i conti bancari e i retailer più grandi,
e che ogni organizzazione possiede dati sensibili che possono essere esposti attraverso un’email non corretta o un
laptop smarrito. Questi sono solo alcuni degli esempi del
2013:
Informazioni Personali, , inclusi numeri di sicurezza
sociale, di 3.500 pazienti sono state rubate dal Florida
Department of Health da dipendenti che hanno passato
i dati a un parente per usarli nel compilare richieste di
rimborso tasse53.
Sterline dopo che un team interno ha inavvertitamente
pubblicato file excel contenenti informazioni personali di
2.375 residenti, inclusa la storia sanitaria, sul sito web
pubblico di una agenzia di housing54.
Rotech Healthcare ha riportato l’esposizione accidentale di informazioni sanitarie personali di 3.500
dipendenti da parte di una ex dipendente delle Risorse
Umane cui era stato concesso di tenere il proprio PC dopo
la sua uscita dall’azienda55.
L’ufficio del UK Information Commissioner ha citato oltre
sessanta violazioni del Data Protection Act da parte del
comune di Anglesey (Galles) relative all'improprio a
dati personali,di residenti, inclusa la pubblicazione
accidentale su siti pubblici e via email56.
Il comune di Islington (Londra) è stato multato di 70.000
Il settore retail può essere quello dove le violazioni di
dati nel 2013 hanno raggiunto il livello più elevato, ma
secondo la ricerca di Check Point le organizzazioni
di tutti i settori stanno perdendo il controllo di dati
sensibili, e lo stanno facendo a una velocità maggiore
rispetto al 2012 (Grafico 5-1).
Sarebbe semplice per una piccola organizzazione
considerarsi troppo piccola per doversi preoccupare
della perdita di dati, ma niente potrebbe essere più
lontano dalla verità (vedi box: Credi di non correre il
rischio di perdere dati Ripensaci...). Una delle più
grandi violazioni della storia ha preso di mira Heartland
Payments57, azienda da 700 dipendenti, quando
i criminali hanno sottratto le informazioni digitali
codificate sulla banda magnetica sul retro di carte di
credito e di debito. Ogni organizzazione nella catena
di gestione delle informazioni è a rischio di attacco, ad
anche un furto relativamente piccolo può portare agli
hacker risultati utili.
53
La ricerca di Check Point ha rilevato che l’88 percento
delle aziende analizzate ha riscontrato almeno un evento
di perdita di dati, il che significa che una parte di dati
sensibili è stata inviata all’esterno dell’organizzazione
via e-mail o caricata via web browser. Si tratta di
un aumento drastico rispetto al dato già elevato di
54 percento osservato nel 2012, e mette in luce the la
lotta costante delle organizzazioni per proteggere dati
sensibili dall’esposizione accidentale o intenzionale.
ogni giorno un' organizzazione
riscontra 29 eventi di
potenziale esposizionie di
dati sensibili
2014 CHECK POINT ANNUAL SECURITY REPORT
05 DATA
LOSS PREVENTION:
il grande ritorno
05 Data Loss
Prevention:
The Big Comeback
Percentuale di Organizzazioni con
almeno un Evento di Perdita Dati
Potenziale, per Settore (% of organizations)
ogni 49 minutes dati sensibili
vengono inviati all'esterno
di un'azienda
88%
50%
Industria
88%
61%
Finanza
87%
70%
Pubblica
Amministrazione
79%
45%
Grafico 5-1
Telco
2013
2012
Fonte: Check Point Software Technologies
In altre parole, ogni 49 minuti vengono inviati dati
sensibili al di fuori di un’organizzazione. Ogni giorno,
un’organizzazione riscontra 29 eventi di esposizione
potenziale di dati sensibili. Questo è un tasso
preoccupante per qualsiasi organizzazione in ogni
settore, e sottolinea la necessità di controlli più aggressivi
attorno ai dati sensibili.
Codice sorgente, file di dati aziendali e altri segreti
commerciali rappresentano gli asset principali delle
aziende americane, e sono sotto attacco costante.
Si stima che lo spionaggio economico costi alle sole
aziende americane una cifra tra 250 e 500 miliardi di
dollari ogni anno. Mentre le banche e le aziende sanitarie
hanno a lungo affrontato la pressione di normative
esterne per la protezione di dati di clienti e pazienti, le
aziende che operano in settori come il manifatturiero,
le infrastrutture energetiche, le spedizioni, il settore
estrattivo, e persino l’intrattenimento non hanno sempre
intrapreso un approccio proattivo alla sicurezza dei dati.
Queste sono le organizzazioni che sono prese di mira in
maniera crescente nelle campagne che usano malware
personalizzato di massa oltre ad attacchi più mirati.
Anche le normative si adattano
Nonostante le numerose violazioni di elevato profilo
ai dati delle carte di credito che si sono verificate nel
2013, Check Point ha evidenziato che l’incidenza di
eventi di perdita di dati PCI nelle organizzazioni finanziarie è calata leggermente, al 33% rispetto al 36% rilevato nel 2012. All’interno delle organizzazioni sanitarie
e assicurative sotto indagine c’è stato un aumento dal
16% nel 2012 al 25% nel 2013 per gli eventi relativi alla
normativa HIPAA.
Ragionando per mercato, gli aumenti più significativi si sono riscontrati nel settore dell’industria e della
consulenza. Questi aumenti hanno più senso nel contesto dei tipi di dati che attaccati nel 2013. (Grafico
5-2) La nostra ricerca ha riscontrato che il codice sorgente era il tipo di dati più spesso inviato al di fuori da
un’organizzazione nel 2013, crescendo quasi del 50
percento rispetto al 2012.
54
2014 CHECK POINT ANNUAL SECURITY REPORT
05 DATA
il grande
ritorno
Data LOSS
Loss PREVENTION:
Prevention: The
Big Comeback
dati inviati all'esterno di
un'organizzazione dai
dipendenti
(% di organizzazioni)
2013
Numero di Conto Corrente Bancario 4%
2012
3%
Messaggi Confidenziali di Outlook 5%
7%
File Protetti da Password 10%
14%
Informazioni sugli Stipendi 14%
Informazione sulla Rete 14%
13%
Dati Carta di Credito 29%
35%
29%
21%
21%
Informazioni
Personali
Sensibili
6% Dati Aziendali
24% Codice Sorgente
Grafico 5-2
NEL
33 %
Fonte: Check Point Software Technologies
DELLE ISTITUZIONI FINANZIONARIE
ANALIZZATE, INFORMAZIONI RELATIVE A
CARTE DI CREDITO SONO STATE INVIATE
ALL'ESTERNO DELL'ORGANIZZAZIONE
55
2014 CHECK POINT ANNUAL SECURITY REPORT
05 DATA
LOSS PREVENTION:
il grande ritorno
05 Data Loss
Prevention:
The Big Comeback
Il 2013 ha visto la pubblicazione del documento
Payment Card Industry Data Security Standards 3.0,
(PCI-DSS 3.0)58, che presenta numerosi – e puntuali –
nuovi requisiti riguardanti:
• Pratiche di sicurezza per i sistemi non end user,
quali POS e altri terminali.
• Maggiore educazione degli utenti sugli attacchi
potenziali (phishing, USB, ecc.) e gestione
responsabile di dati sensibili.
• Penetration testing di controlli e protezioni
che definiscono la segmentazione tra dati del
possessore della carta e altre parti della rete.
• Credenziali usate da service provider per l’accesso
remoto agli ambienti del customer care che sono
soggetti a PCI-DSS.
Complessivamente, i requisiti DSS rivisti enfatizzano
“educazione, consapevolezza e sicurezza come una
responsabilità condivisa.” Gli standard 3.0 sono entrati
in vigore in data 1 gennaio 2014, e gli eventi del 2013
hanno creato un nuovo senso di urgenza sull’adozione
di queste nuove richieste.
Guardando al 2014, le organizzazioni avranno nuovi
requisiti in tema di compliance e protezione dei dati con
cui confrontarsi tra cui PCI-DSS 3.0, con più estese
indicazioni sulla protezione dei sistemi POS, oltre a
una maggiore enfasi sull’educazione degli utenti.
In Europa, la nuova direttiva dell’Unione Europea sulla
privacy dei dati, la General Data Protection Regulation
(GDPR)59, è entrata ugualmente in vigore nel 2014,
creando richieste più stringenti per la protezione
dei dati di cittadini e clienti sia all’interno dei paesi e
attraverso confini nazionali e dell’Unione Europea. Alle
organizzazioni verrà richiesto di continuare a evolvere le
loro policy e pratiche di sicurezza per essere conformi
con le nuove normative e non rischiare sanzioni
finanziarie.
Raccomandazioni
L’ondata di violazioni di dati su larga scala ampiamente
pubblicizzata nel corso del 2013 — che ha colpito
alcuni dei marchi più noti al mondo così come molte
organizzazioni più piccole — mostra che è ancora
necessario molto lavoro per proteggere le informazioni
personali e aziendali. Questa problematica si farà
sempre più estesa, man mano che trend come la
mobilità e l’Internet of Things espongono i dati al
furto in nuovi modi. L’errore umano gioca un ruolo
particolarmente significativo in molti incidenti di perdita
di dati, e ci vorrà un approccio realmente completo e
olistico per garantire che non siano esposti al rischio o
lasciati vulnerabili al furto.
Nello scenario odierno di crescenti perdite di dati,
le organizzazioni devono agire per proteggere i dati
sensibili. Il miglior modo di prevenire la perdita di dati
non intenzionale è di implementare una policy aziendale
automatica che rileva questi incidenti prima che i dati
lascino l’organizzazione. Tali policy possono essere
messe in atto al meglio attraverso una soluzione di
Data Loss Prevention (DLP). I prodotti di DLP contentaware offrono una vasta gamma di funzionalità e
presentano alle organizzazioni differenti opzioni di
implementazione.
Prima di adottare una soluzione DLP, le organizzazioni
hanno bisogno di sviluppare una chiara strategia basata
su considerazioni chiaramente definite, come: Che
cosa viene definito come informazione confidenziale?
Chi può inviarla? Dove, come e con quali tipi di
dispositivi può essere utilizzata? Con questo quadro
di policy in atto, si può implementare e configurare
ottimamente la soluzione in grado di supportare i
requisiti di business, sicurezza e produttività dell’utente
unici di ogni organizzazione. Per un’efficace data loss
prevention, la soluzione ideale dovrebbe comprendere
le seguenti misure e funzionalità.
56
2014 CHECK POINT ANNUAL SECURITY REPORT
LA Compliance PCI CREA
UN FalsO SensO DI SICUREZZA?
Le massicce violazioni di dati relativi a carte di credito
registrate alla fine del 2013 hanno dato nuova spinta
ad un vivace dibattito sulla relazione tra PCI-DSS e
sicurezza, nello specifico se un’azienda certificata come
“PCI compliant” sia veramente sicura rispetto agli hacker.
Alcuni ritengono che la certificazione di conformità PCI
provochi un falso senso di sicurezza tra i retailer e il
pubblico. Le violazioni di dati presso aziende ufficialmente
“compliant” e la possibilità di revocare retroattivamente
lo stato di conformità PCI possono generare un certo
cinismo, mentre la continua evoluzione dello standard può
trasmettere l’idea che si tratti di un bersaglio mobile.
Di fronte a queste preoccupazioni, organizzazioni e
professionisti che si occupano di PCI citano correttamente
il caso di un’azienda compliant come Target, nota per i
solidi processi di sicurezza, che ha subito comunque una
Classificazione dei dati—Un’elevata accuratezza
nell’identificazione dei dati sensibili è una componente
critica di una soluzione DLP che deve essere in grado
di rilevare informazioni personalmente identificabili (PII),
dati relativi alla compliance (ad esempio HIPAA, SOX,
dati PCI, etc.) e dati aziendali confidenziali, inclusi sia
tipi di dati “standard” e tipi di dati personalizzati. Poiché
i dati si muovono all’interno dell’organizzazione e oltre,
la soluzione dovrebbe ispezionare flussi di contenuti e
applicare le policy nei protocolli TCP più ampiamente
utilizzati, inclusi SMTP, FTP, HTTP, HTTPS e webmail,
impiegando i modelli corrispondenti e la classificazione
per identificare i tipi di contenuti indipendentemente
dall’estensione del file o dal formato di compressione.
La soluzione DLP deve essere in grado di riconoscere
e proteggere file sensibili basati su modelli predefiniti e
modelli di file corrispondenti.
57
violazione di dati. La questione fondamentale è come la
sicurezza viene messa concretamente in pratica: in altre
parole, non si tratta di un prodotto, ma di un processo.
Bob Russo, Chairman del PCI Security Standards Council,
ha sottolineato come la certificazione di conformità PCI sia
una sorta di “istantanea nel tempo” come ha osservato a
ComputerWorld, “Si può essere conformi oggi e totalmente
fuori dalla compliance domani.”60
Gli standard sono strumenti di valore per misurare e
confrontare lo stato di sicurezza rispetto a metriche comuni.
Il pericolo legato alla certificazione della compliance sta
più nel rischio che l’organizzazione penserà di essere “a
posto” con la sicurezza, non impegnandosi più nel continuo
processo di re-assessment e adattamento man mano che
ambienti e modalità di lavoro cambiano.
Risoluzione user-driven degli incidenti —
Le soluzioni DLP tradizionali possono rilevare,
classificare e persino riconoscere documenti specifici
e vari tipi di file, ma non l’intento dell’utente che
sta dietro alla condivisione di informazioni sensibili.
La tecnologia da sola è inadeguata perché non
può identificare questa intenzione e rispondere di
conseguenza. Perciò, una soluzione DLP di qualità
deve coinvolgere gli utenti in modo da ottenere risultati
ottimali. Un approccio possibile è quello di consentire
agli utenti di rimediare agli incidenti in tempo reale. In
altre parole, una soluzione DLP dovrebbe informare
l’utente che la sua azione potrebbe risultare in un
potenziale incidente di perdita di dati, e poi consentirgli
di decidere se eliminare il messaggio o continuare
con l’invio. Questa metodologia migliora la sicurezza
aumentando la consapevolezza sulla policy di storage
2014 CHECK POINT ANNUAL SECURITY REPORT
05 DATA
LOSS PREVENTION:
il grande ritorno
05 Data Loss
Prevention:
The Big Comeback
dei dati allertando gli utenti sul potenziale errore in
tempo reale, e riduce l’impatto sull’utente consentendo
una rapida autorizzazione personale di comunicazioni
legittime. Di conseguenza, la gestione della sicurezza
è semplificata perché l’amministratore può tracciare
gli eventi DLP per l’analisi senza dover personalmente
seguire ogni richiesta esterna di invio dati man mano
che questa si verifica.
Protezione contro violazioni di dati interne —
Un’altra importante funzionalità DLP è la possibilità
non solo di controllare che dati sensibili non lascino
l’azienda, ma anche di ispezionare e controllare
email sensibili inviate tra dipartimenti all’interno della
stessa azienda. Le policy possono essere definite per
prevenire la fuga accidentale di dati tra dipartimenti – per
esempio, piani di compensazione salariale, documenti
confidenziali delle risorse umane, documenti legati a
fusioni e acquisizioni e certificati medici.
Protezione dei dati su hard disk endpoint —
Le aziende devono proteggere i dati dei laptop come
parte di una policy di sicurezza completa in modo da
evitare che estranei possano ottenere informazioni
di valore attraverso computer smarriti o rubati. È
possibile prevenire l’accesso di utenti non autorizzati
criptando i dati su tutti gli hard disk mobili, inclusi quelli
NEL
degli utenti, file di sistemi operativi, e file temporanei o
cancellati.
Protezione dei dati su dispositivi removibili—I
dipendenti spesso mescolano file personali, come
musica, immagini e documenti, con file aziendali come
quelli finanziari o delle risorse umane su dispositivi
storage USB removibili. Questo rende i dati aziendali
ancora più difficili da controllare. Crittografando
lo storage removibile e prevenendo l’accesso non
autorizzato a questi dispositivi è possibile minimizzare
le violazioni di sicurezza nel caso in cui vengano persi
o rubati.
Protezione dei documenti—I documenti aziendali
sono quotidianamente caricati sul web da applicazioni
di archiviazione e condivisione file, inviati a smartphone
personali, copiati su dispositivi multimediali removibili,
e condivisi esternamente con i partner di business.
Ognuna di queste azioni mette dati sensibili a rischio di
essere persi o usati in maniera inappropriata.
25 %
DELLE ISTITUZIONI SANITARIE
E ASSICURATIVE ESAMINATE,
INFORMAZIONI SANITARIE PROTETTE DA
HIPA SONO STATE INVIATE ALL'ESTERNO
DELL'ORGANIZZAZIONE
58
2014 CHECK POINT ANNUAL SECURITY REPORT
IMPARARE DAGLI ATTACCHI AI POS
Se attaccare i terminali POS (Point-Of-Sale) per sottrarre
dati di carte di credito è tecnicamente possibile da molto
tempo, finora i criminali hanno considerato i server che
archiviavano tali dati un obiettivo molto più raggiungibile.
I miglioramenti nella sicurezza dei server che archiviano i
dati di carte di credito e di clienti hanno spinto i criminali
a spostare il loro focus alla fonte dei dati, e il 2013 ha
segnato uno spartiacque per l’attacco di POS. Mentre
l’obiettivo e la portata di questi furti di dati nel retail sono
stati scioccanti per molti, ugualmente interessante per i
professionisti della sicurezza è stata la varietà all’interno di
questa categoria di malware.
Lo stesso malware POS presenta diversi livelli di
sofisticatezza, dalla cancellazione della memoria dei
generici ChewBacca e Dexter61, al complesso BlackPOS62
e persino al malware POS ancor più precisamente mirato
scoperto in Neiman Marcus63.Tuttavia, questi condividono
numerose caratteristiche che consentono agli aggressori
di infiltrarsi nei sistemi POS e sottrarre una vasta quantità
di dati di carte di credito:
• Capacità di puntare su sistemi POS datati che spesso
rimangono senza patch per mesi anche quando una
patch è resa disponibile
• Ottenimento dell’accesso ai sistemi POS attraverso un
client o server infetto nel retailer preso di mira
Per proteggere i documenti aziendali, una soluzione
di sicurezza deve essere in grado di applicare una
policy di crittografia di documenti e garantire l’accesso
esclusivamente agli individui autorizzati.
Event management—Oltre a definire le regole
DLP che rispondono alle policy di utilizzo dei dati di
un’organizzazione ed implementarne la tecnologia
che le supporti e le applichi, una strategia di data
loss prevention deve includere un solido monitoraggio
59
•
•
•
Capacità di eludere il controllo delle applicazioni e
altre misure di chiusura di sistema, per esempio
infettando un server di aggiornamento
Utilizzo di crittografia, protocolli comuni e modelli
di traffico di rete normali per nascondere i dati nel
momento in cui vengono inviati all’esterno
Su molte reti, accesso internet diretto dallo stesso
dispositivo POS, spesso perché è il modo in cui
avviene la fatturazione effettiva
Affrontare queste problematiche in modo singolo non
risolve il problema perché non va ad affrontare la causa
sottostante: una segmentazione debole o inesistente tra
i POS e le reti di produzione. Le reti retail sottolineano
l’importanza di sviluppare e adottare best practice di
una strategia di implementazione che consente alle
organizzazioni di attuare le policy di contenimento per gli
host compromessi e definire interazioni tra i segmenti che
possono essere monitorate e attuate automaticamente.
Per esempio, monitorare l’applicazione di policy legate
alla direzione e ai tipi di traffico per segmenti contenenti
dispositivi POS limiterebbe le possibilità del malware di
propagarsi ed estrapolare dati. A questo riguardo, i retailer
si troveranno all’avanguardia di un cambiamento che
interessa tutte le organizzazioni per definire e implementare
la segmentazione logica e l’attuazione guidata dalle policy
attraverso i loro ambienti IT.
e funzionalità di reporting. La soluzione ideale di
sicurezza dovrebbe consentire il monitoraggio e
l’analisi di eventi DLP sia in tempo reale che storici.
Questo dà all’amministratore di sicurezza una visione
chiara e ampia delle informazioni inviate all’esterno e
le rispettive fonti, e fornisce inoltre all’organizzazione
la capacità di rispondere in tempo reale se necessario.
Il prossimo capitolo presenta un modello completo e di
alto livello per raggiungere oggi una sicurezza efficace.
2014 CHECK POINT ANNUAL SECURITY REPORT
06
L'ARCHITETTURA
DI SICUREZZA PER
LE MINACCE DI
DOMANI:
La Software-Defined
Protection
60
2014 CHECK POINT ANNUAL SECURITY REPORT
06 CONCLUSION: Blueprint for Security
61
2014 CHECK POINT ANNUAL SECURITY REPORT
06 L'ARCHITETTURA DI SICUREZZA PER LE 06
MINACCE
CONCLUSION:
DI DOMANI:
Blueprint
LA Software-defined
for Security Protection
06
l'architettura di sicurezza
per le minacce di domani:
la Software-defined
protection
l Check Point 2014 Security Report presenta il risultato
della nostra approfondita analisi sulle minacce e le
tendenze della sicurezza nel 2013. Questo report può
aiutare chi si trova a prendere decisioni di business o
di sicurezza a capire la varietà di minacce che le loro
organizzazioni si trovano ad affrontare e a prendere
in esame nuove azioni per migliorare la protezione del
proprio ambiente IT.
Gli aspetti principali della nostra ricerca sono:
• L’uso di malware sconosciuto è letteralmente
esploso, sull’onda della tendenza chiamata
“personalizzazione di massa.”
• L’esposizione al malware e le infezioni sono
generalmente aumentate, riflettendo il crescente
successo di campagna malware mirate.
• Ogni categoria di applicazioni ad alto rischio ha
incrementato la sua presenza nelle aziende di tutto
il mondo.
• Gli incidenti che hanno causato perdita di dati
sono aumentati per settori e tipologie di dati.
Affrontare le sfide
I risultati di questo report indicano chiaramente che il
panorama delle minacce continua ad evolvere mentre le
strategie e le tecnologie di sicurezza adottate da molte
organizzazioni sono inadeguate rispetto ad attacchi
sempre più sofisticati e distruttivi. L’esplosione del
malware sconosciuto sta rendendo molto velocemente
obsolete le soluzioni in grado solamente di individuarle.
Il malware noto sta sempre più alzando le sue difese e
colpendo un’ampia varietà di piattaforme. Le applicazioni
ad alto rischio – come Web 2.0, file storage & sharing,
e strumenti di amministrazione remota con un utilizzo
è necessario un nuovo paradigma
per proteggere le organizzazioni
in modo preventivo
aziendale legittimo – continuano a proliferare, aprendo
nuovi vettori di minaccia man mano che si diffondono.
Dato che gli incidenti che provocano perdita di dati,
sia intenzionali che involontari, causano danni senza
precedenti alle organizzazioni di ogni dimensione che
operano in tutti i settori, e che mobilità, consumerizzazione
ed Internet of Things rendono ancora più complessa
la sfida della protezione dei dati, le aziende devono
ottenere un migliore controllo sul flusso e l’utilizzo delle
informazioni.
Fronteggiare un panorama delle minacce in continua
evoluzione non è però l’unica sfida nell’ambiente IT. Le
aziende oggi stanno diventando sempre più dipendenti
da informazioni che scorrono liberamente, cosa che
rende i confini delle reti aziendali non più così nitidi. I
dati viaggiano attraverso cloud e dispositivi mobili e si
diffondono tramite idee e post nei social network. Bring
Your Own Device (BYOD), mobilità e cloud computing
hanno rivoluzionato gli ambienti IT statici, facendo
insorgere la necessità di reti ed infrastrutture dinamiche.
Nel nostro mondo di reti ed infrastrutture IT
particolarmente esigenti, dove i perimetri non sono più
definiti in modo netto, e dove le minacce diventano ogni
giorno più intelligenti, dobbiamo trovare il modo giusto
per proteggere le imprese.
Oggi, c’è una grande disponibilità di prodotti di sicurezza
62
2014 CHECK POINT ANNUAL SECURITY REPORT
06 L'ARCHITETTURA
CONCLUSION: Blueprint
DI SICUREZZA
for Security
PER LE MINACCE DI DOMANI: LA Software-defined Protection
r
e
y
n
M
La
a
n
a
g
e
m
A
u
e
n
to
t
m
V
a
is
ti
o
ib
M
ili
o
ty
d
u
la
ri
ty
puntuale; ma questi prodotti tendono ad essere per
loro natura reattivi e tattici piuttosto che orientati
all’architettura. Le aziende di oggi hanno bisogno di
un’architettura unica in grado di combinare dispositivi
di network security ad alte prestazioni con protezioni
preventive in tempo reale.
t
rea e
Th enc
lig
el
Int
E’ necessario un nuovo paradigma per proteggere le
organizzazioni in modo proattivo.
Con l’implementazione della Software-defined Protection,
organizzazioni di tutte le dimensioni e in qualsiasi luogo
possono proteggersi: reti delle sedi centrali, uffici periferici,
trasmissione dati tramite smartphone e dispositivi mobili,
o ambienti cloud.
Sulla base dell’architettura Software-defined Protection,
le protezioni vengono adattate automaticamente al
panorama delle minacce senza la necessità per gli
amministratori di sicurezza di provvedere manualmente
a inoltrare migliaia di avvisi e raccomandazioni. Queste
protezioni si integrano perfettamente nel più ampio
ambiente IT e l’architettura fornisce un assetto difensivo,
che sfrutta in modo collaborativo entrambe le fonti di
informazione, interne ed esterne.
L’architettura Software-defined Protection (SDP)
suddivide l’infrastruttura di sicurezza in tre strati
interconnessi:
• Un Enforcement Layer basato su punti di security
enforcement fisici, virtuali e host-based, che segmenta la rete realizzando al contempo protezione
logica in ambienti particolarmente problematici.
63
r
e
y
La
l
o
tr
n
o
Enfo
tio
rce
Po men
int t
n
Enfo
rce
Po men
int t
r
tec
e
Pro
tio n
y
Con l’obiettivo di rispondere alla necessità attuale
di proteggersi da minacce di sicurezza in continua
evoluzione ed al contempo di supportare le più esigenti
infrastrutture IT, Check Point presenta la Softwaredefined Protection.64 Si tratta di una nuova metodologia
ed architettura di sicurezza pragmatica, che offre
un’infrastruttura modulare, agile e soprattutto SICURA.
Pr ot ec
C
A
C cc
o e
n ss
tr
o
l
Pr D
o at
te a
c
ti
o
n
L’Architettura di sicurezza Software-Defined
Protection
Pr Th
e re
ve a
n t
ti
o
n
rity
cu
Se licy
Po
La
Enfo
n
e
m
e
rc
fo
rce
Po men
int t
En
Enfo
t
rce
Po men
int t
I Layer della Software-defined Protection
•
•
Un Control Layer che analizza le diverse fonti
di informazioni sulle minacce e genera protezioni
e policy che verranno eseguite dall’Enforcement
Layer.
Un Management Layer che orchestra
l’infrastruttura e porta il più alto grado di agilità
all’intera architettura.
Combinando le prestazioni elevate dell’Enforcement
Layer con il Control Layer software-based, dinamico e
veloce nell’evoluzione, l’architettura SDP non solo offre
resilienza operativa, ma anche prevenzione proattiva
rispetto agli incidenti, in un panorama di minacce in
continua trasformazione.
Implementare un modello di sicurezza nella propria
organizzazione
Uno dei principali vantaggi della SDP è il fatto di offrire
una semplice metodologia all’implementazione dei
modelli di sicurezza. Check Point Software-defined
Protection - Enterprise Security Blueprint descrive
nel dettaglio l’architettura SDP, i suoi vantaggi e una
metodologia chiara di implementazione. E’ disponibile
gratuitamente online su checkpoint.com/sdp.
2014 CHECK POINT ANNUAL SECURITY REPORT
06 L'ARCHITETTURA DI SICUREZZA PER LE 06
MINACCE
CONCLUSION:
DI DOMANI:
Blueprint
LA Software-defined
for Security Protection
La sezione seguente descrive, layer per layer, come la
SDP può essere integrata all’interno di un’organizzazione
per garantire protezione dalle minacce presentate in
questo report.
Enforcement Layer
Partiamo con l’Enforcement Layer, progettato per
essere affidabile, veloce e semplice. E’ costituito da
gateway di sicurezza di rete e software host-based
che funzionano come gli enforcement point di una rete
aziendale. Questi punti possono essere implementati
sia fisicamente che virtualmente o come componenti
host endpoint nella rete aziendale o nel cloud.
Dove implementare questi punti di enforcement
all’interno di una rete? Quando le reti erano semplici,
le protezioni si potevano applicare solamente sul
perimetro. Ma se i perimetri non sono più ben definiti,
dove possono essere implementati questi punti di
enforcement?
La risposta è la segmentazione. Rappresenta il nuovo
perimetro. Dividendo un ambiente complesso in piccoli
segmenti basati su profili di sicurezza, ed implementando
un punto di enforcement al limite di ogni segmento,
l’ambiente risulta sicuro!
Control Layer
Elemento successivo dell’architettura SDP è il Control
Layer. E’ qui che vengono generate le protezioni e le
policy di sicurezza distribuite verso i punti di enforcement.
Usando policy di controllo degli accessi e di protezione
dei dati, gli amministratori definiscono policy basate su
regole per controllare le interazioni tra utenti, asset, dati
ed applicazioni. Questo è nella sostanza un firewall, un
firewall di nuova generazione
Qui è dove le policy vengono definite per controllare
l’accesso alle applicazioni ad alto rischio descritte
nel capitolo 4, quali Anonymizer, P2P File Sharing,
File Storage ed anche applicazioni di Amministrazione
Remota. Queste policy controllano anche il flusso dei
dati, in movimento e a riposo, e proteggono dalle perdite
di dati come quelle descritte nel capitolo 5.
Ma le policy di controllo degli accessi e di protezione
dei dati non sono sufficienti; c’è anche la necessità
di salvaguardare le organizzazioni dai criminali e dalle
minacce che evolvono. Per raggiungere anche questo
obiettivo, dobbiamo implementare protezioni in grado
di identificare attacchi noti e sconosciuti come quelli
descritti nei capitoli 2 e 3.
E’ quanto viene fatto dal Threat Prevention, la
seconda parte del Control Layer. Qui, le protezioni
dalle minacce vengono aggiornate in tempo reale, e
protette automaticamente dai punti di enforcement in
modo che non ci sia necessità di definire alcuna policy
specifica, ma piuttosto che basti abilitare il meccanismo
di Threat Prevention.
La chiave per una prevenzione efficace dalle minacce
sono le informazioni. Informazioni sulle minacce che
dovrebbero essere raccolte dal più elevato numero di
risorse possibile. Elaborate e traslate in nuove protezioni
di sicurezza e trasmesse in tempo reale a tutti i punti di
enforcement.
Management Layer
Il terzo livello è rappresentato dal Management Layer,
che rappresenta la linfa vitale dell’architettura SDP
ed è cruciale per la gestione dell’intera architettura. Il
Managememt Layer ha tre caratteristiche fondamentali:
modularità, automazione e visibilità
La modularità consente una policy su più livelli con la
possibilità di differenziare i doveri amministrativi per
una flessibilità ottimale della gestione. L’automazione e
l’apertura permettono l’integrazione con sistemi di terze
parti per creare policy e protezione in tempo reale. Ed
infine la visibilità, la capacità di raccogliere informazioni
di sicurezza da tutti i punti di enforcement, fornendo
una visione complessiva della situazione di sicurezza
dell’organizzazione.
La Software-defined Protection offre un’infrastruttura
modulare e dinamica in grado di adattarsi velocemente
alle variazioni del panorama IT e dello scenario delle
minacce.
64
2014 CHECK POINT ANNUAL SECURITY REPORT
07 ABOUT CHECK POINT SOFTWARE TECHNOLOGIES
65
2014 CHECK POINT ANNUAL SECURITY REPORT
07 ABOUT CHECK POINT SOFTWARE TECHNOLOGIES
07
CHECK POINT
SOFTWARE
TECHNOLOGIES
66
2014 CHECK POINT ANNUAL SECURITY REPORT
07 ABOUT CHECK POINT SOFTWARE TECHNOLOGIES
67
2014 CHECK POINT ANNUAL SECURITY REPORT
07 ABOUT CHECK POINT SOFTWARE TECHNOLOGIES
07
check point
software technologies
Da 20 anni, la mission di Check Point è quella di
rendere sicura Internet. Dall’invenzione del Firewall
alla leadership nel mercato della Network Security,
Check Point si focalizza sullo sviluppo delle tecnologie
necessarie a rendere sicure le aziende man mano che
Internet continua a evolvere.
Oggi Internet non è solo una piattaforma consolidata
per le aziende, è anche un terreno libero per i criminali
informatici. Partendo da questo ambiente, Check
Point ha sviluppato un’architettura che rende possibile
l’implementazione di una protezione multilivello dalle
minacce, in grado di offrire massima protezione da tutte
le minacce, compresi gli attacchi zero-day.
Check Point offre una grande varietà di punti di
enforcement, tra cui: appliance di network security
ad alte prestazioni, gateway virtuali, software host per
gli endpoint ed applicazioni per dispositivi mobili. Può
essere implementata nella rete aziendale o nel cloud.
A livello di Control Layer, Check Point vanta il più
avanzato firewall di nuova generazione del mercato, ed
il nostro ThreatCloud è la più ampia base di conoscenze
sulle minacce in tempo reale, aperta e basata sui big
data.
Ed infine, l’architettura Check Point viene gestita da
una console di sicurezza unificata che è modulare,
estremamente scalabile e aperta a sistemi di terze parti.
Check Point SDP
Check Point ha definito e adottato l’architettura SDP ed
offre la flessibilità necessaria per essere all’altezza delle
nuove minacce ed abbracciare le nuove tecnologie.
Check Point offre l’architettura di sicurezza di cui le
aziende oggi necessitano per proteggersi verso le
minacce future.
Ulteriori informazioni sull’architettura SDP
disponibili su : www.checkpoint.com/sdp
sono
Check Point combina questo approccio olistico alla
sicurezza con le sue innovative soluzioni tecnologiche
per rispondere alle sfide delle minacce di oggi e definire
la sicurezza come un abilitatore di business.
Regolarmente indicata dagli analisti come leader di
mercato nella sicurezza di rete, Check Point Software
fornisce ormai da oltre 20 anni ai propri clienti
best practice e innovative soluzioni di sicurezza di
livello enterprise. Tra i clienti Check Point vi sono oltre
100.000 organizzazioni di ogni dimensione, tra cui tutte
le aziende delle liste Fortune e Global 100s.
Check Point SDP
68
2014 CHECK POINT ANNUAL SECURITY REPORT
FONTI
08 Appendix
fonti
Stoll, Cliff. (2005). The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage. New York, NY: Pocket Books.
1
http://resources.infosecinstitute.com/hacktivism-means-and-motivations-what-else/
2
http://www.entrepreneur.com/article/231886
3
http://www.darkreading.com/advanced-threats/mass-customized-attacks-show-malware-mat/240154997
4
http://www.checkpoint.com/campaigns/securitycheckup/index.html
5
http://www.checkpoint.com/products/threat-emulation/
6
http://www.checkpoint.com/threatcloud-central/index.html
7
https://supportcenter.checkpoint.com/supportcenter/portal/role/supportcenterUser/page/default.psml/media-type/html?action=portlets.DCFileAction&eventSubmit_
doGetdcdetails=&fileid=20602
8
https://www.checkpoint.com/products/softwareblades/architecture/
9
10
http://www.checkpoint.com/products/index.html#gateways
11
Huxley, Thomas Henry (1887). On the Reception of the Origin of Species, http://www.todayinsci.com/H/Huxley_Thomas/HuxleyThomas-Quotations.htm
12
http://www.checkpoint.com/threatcloud-central/downloads/check-point-himan-malware-analysis.pdf
http://usa.kaspersky.com/
13
http://msdn.microsoft.com/en-us/magazine/cc164055.aspx
14
http://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon
15
http://news.cnet.com/Code-Red-worm-claims-12,000-servers/2100-1001_3-270170.html
16
http://www.cnn.com/2004/TECH/internet/05/03/sasser.worm/
17
http://support.microsoft.com/kb/2664258
18
http://www.pcmag.com/article2/0,2817,2370016,00.asp
19
https://www.virustotal.com/
20
http://www.av-test.org/en/home/
21
http://www.checkpoint.com/threatcloud-central/downloads/10001-427-19-01-2014-ThreatCloud-TE-Thwarts-DarkComet.pdf
22
23
http://contextis.com/research/blog/malware-analysis-dark-comet-rat/
24
http://www.princeton.edu/~achaney/tmve/wiki100k/docs/Portable_Executable.html
25
http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/
26
Mariotti, John. (2010). The Chinese Conspiracy. Bloomington, IN: iUniverse.com
27
http://www.checkpoint.com/campaigns/security-report/download.html?source=google-ngfw-us-sitelink-report&gclid=CIfK-JuOhrwCFZFxQgodsBYA_w
28
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/3/html/Security_Guide/ch-risk.html
29
Anderson, Chris. (2006). The Long Tail: Why the Future of Business is Selling Less of More. New York, NY: Hyperion.
30
http://www.fbi.gov/about-us/history/famous-cases/willie-sutton
http://searchwindowsserver.techtarget.com/definition/remote-code-execution-RCE
31
32
http://searchsoa.techtarget.com/definition/Remote-Procedure-Call
69
2014 CHECK POINT ANNUAL SECURITY REPORT
08 Appendix
FONTI
fonti Cont.
33
https://www.checkpoint.com/threatcloud-central/articles/2013-11-25-te-joke-of-the-day.html
34
http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html
35
http://www.checkpoint.com/threatcloud-central/articles/2013-11-14-defeating-cryptocker.html
36
http://www.apwg.org/
37
http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html
38
http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_1H2013.pdf
39
http://newgtlds.icann.org/en/program-status/delegated-strings
40
Stephenson, Neal. (2002). Cryptonomicon. New York, NY: Avon.
41
Orwell, George. (1956). Animal Farm. New York, NY: Signet Books.
42
https://www.torproject.org/
43
http://www.pcworld.com/article/2046227/meet-darknet-the-hidden-anonymous-underbelly-of-the-searchable-web.html
44
http://www.huffingtonpost.com/tag/silk-road-arrest
45
http://www.pcworld.com/article/2093200/torenabled-malware-stole-credit-card-data-from-pos-systems-at-dozens-of-retailers.html
46
http://www.britannica.com/EBchecked/topic/278114/Hydra
47
http://msdn.microsoft.com/en-us/library/aa383015(v=vs.85).aspx
48
http://www.securityweek.com/poison-ivy-kit-enables-easy-malware-customization-attackers
49
http://www.checkpoint.com/defense/advisories/public/2005/cpai-20-Decf.html
50
http://www.emea.symantec.com/web/ShadowIT-enduser/
51
http://www.techrepublic.com/blog/it-security/dropsmack-using-dropbox-to-steal-files-and-deliver-malware/
http://vote-il.org/politicianissue.aspx?state=il&id=ilbeanmelissa&issue=buscrime
52
http://www.scmagazine.com/florida-health-department-employees-stole-data-committed-tax-fraud/article/318843/
53
http://www.islingtongazette.co.uk/news/data_leak_lands_islington_council_with_70_000_fine_1_2369477
54
http://healthitsecurity.com/2013/11/12/rotech-healthcare-reports-three-year-old-patient-data-breach/
55
http://www.dailypost.co.uk/news/north-wales-news/anglesey-council-under-fire-over-6330304
56
http://www.informationweek.com/attacks/heartland-payment-systems-hit-by-data-security-breach/d/d-id/1075770
57
https://www.pcisecuritystandards.org/documents/DSS_and_PA-DSS_Change_Highlights.pdf
58
http://ec.europa.eu/justice/newsroom/data-protection/news/130206_en.htm
59
http://www.computerworld.com/s/article/9245984/Despite_Target_data_breach_PCI_security_standard_remains_solid_chief_says
60
http://www.csoonline.com/article/723630/dexter-malware-infects-point-of-sale-systems-worldwide-researchers-say
61
http://www.darkreading.com/vulnerabilities---threats/securestate-releases-black-pos-malware-scanning-tool/d/d-id/1141216
62
http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alerts-while-bagging-credit-card-data
63
http://www.checkpoint.com/sdp
64
70
2014 CHECK POINT ANNUAL SECURITY REPORT
08 Appendix
71
www.checkpoint.com
Worldwide Headquarters
U.S. Headquarters
5 Ha’Solelim Street, Tel Aviv 67897, Israel
Tel: 972-3-753-4555 | Fax: 972-3-624-1100
Email: [email protected]
959 Skyway Road, Suite 300, San Carlos, CA 94070
Tel: 800-429-4391; 650-628-2000 | Fax: 650-654-4233
©2014 Check Point Software Technologies Ltd. [Protected] – All rights reserved.

REALITY NET - System Solutions

The Fifty Dollar and Up Underground House Book

Portfolio Prodotti

WatchGuard APT Blocker - WatchGuard Technologies

Dear Mrs Peters, Dear Sir or Madam,

Sistemi multimediali di sicurezza e telecontrollo

Dispensa IT Security