Report annuale di Cisco sulla sicurezza 2014 · 3 Report annuale di Cisco sulla sicurezza 2014...
81
Report annuale di Cisco sulla sicurezza 2014
Transcript of Report annuale di Cisco sulla sicurezza 2014 · 3 Report annuale di Cisco sulla sicurezza 2014...
Report annuale di Cisco sulla sicurezza 2014
2 Report annuale di Cisco sulla sicurezza 2014
Riepilogo esecutivoIl problema della fiducia
Gli autori di attacchi online e gli altri utenti malintenzionati sfruttano la fiducia delle persone. Approfittano del fatto che in genere gli utenti si fidano dei sistemi, delle applicazioni, delle persone e delle aziende con cui normalmente interagiscono. Il metodo funziona: sappiamo che gli autori degli attacchi escogitano sempre nuovi metodi per inserire il malware nelle reti, sottrarre dati o mettere fuori uso i sistemi importanti senza essere scoperti per molto tempo.
Dal furto di password e credenziali con metodi di social engineering alle infiltrazioni invisibili e camuffate eseguibili in pochi minuti, gli autori degli attacchi continuano a sfruttare la fiducia degli utenti per danneggiare persone, aziende o organizzazioni. Il problema della fiducia, tuttavia, va oltre la possibilità dei criminali di sfruttare le vulnerabilità o adescare gli utenti tramite tecniche di social engineering. L'incidenza dei crimini informatici di fatto scalfisce la fiducia degli utenti nei confronti delle organizzazioni pubbliche e delle aziende.
Oggi l'affidabilità delle reti viene intaccata sostanzialmente in due modi. In primo luogo i clienti dubitano sempre di più dell'integrità dei prodotti. L'altro aspetto deriva dal fatto che gli autori di crimini informatici sono chiaramente in grado di superare i sistemi di difesa e in questo modo sollevano dubbi sull'affidabilità delle architetture di protezione, autenticazione e autorizzazione delle reti e delle applicazioni.
I dati e i risultati della ricerca forniti in questo report di Cisco riguardano i principali problemi di sicurezza, come i cambiamenti del malware, le tendenze delle vulnerabilità e l'aumento dell'incidenza di attacchi DDoS (Distributed Denial-of-Service). Vengono inoltre esaminate alcune campagne condotte contro organizzazioni, aziende, gruppi e settori specifici, illustrando la crescente sofisticatezza dei tentativi di sottrarre informazioni riservate. Il report si conclude con alcuni consigli per esaminare in modo olistico i modelli di sicurezza e ottenere visibilità su tutte le fasi dell'attacco: prima, durante e dopo un attacco.
gli autori degli attacchi continuano a
sfruttare la fiducia degli utenti per danneggiare
persone, aziende o organizzazioni.
3 Report annuale di Cisco sulla sicurezza 2014
Risultati principali
I risultati principali della ricerca su cui si basa il report annuale di Cisco sulla sicurezza del 2014 sono i seguenti.
Gli attacchi contro l'infrastruttura prendono di mira risorse importanti tramite Internet.
• Gli exploit dannosi consentono di penetrare in server di Web hosting, server dei nomi e data center. Questo suggerisce la formazione di überbot per la ricerca di asset con una buona reputazione e ricchi di risorse.
• Gli errori di buffer sono una delle principali minacce e rappresentano il 21% delle categorie di minacce CWE (Common Weakness Enumeration).
• I rilevamenti di malware stanno aumentando nel settore della produzione di componenti elettronici, in quello agricolo e in quello minerario, con una percentuale media circa sei volte superiore rispetto ai segmenti verticali.
Gli autori degli attacchi utilizzano applicazioni attendibili per sfruttare le vulnerabilità del perimetro.
• Lo spam continua a diminuire, ma la proporzione di spam con finalità dannose rimane invariata.
• Il 91% degli exploit Web riguarda Java. Il 76% delle aziende che utilizzano Cisco Web Security usa Java 6, una versione non supportata e alla fine del ciclo di vita.
• Gli attacchi “watering hole” puntano a siti Web di settori specifici per distribuire il malware.
Le ricerche condotte su aziende multinazionali dimostrano casi di compromissione interna. Dalle loro reti viene generato traffico sospetto che tenta di connettersi a siti con reputazione dubbia (il 100% delle aziende esegue chiamate a host di malware dannoso).
• Gli indicatori delle compromissioni suggeriscono che le penetrazioni nelle reti possono passare inosservate per molto tempo.
• Il numero degli avvisi sulle minacce è cresciuto del 14% rispetto all'anno precedente; i nuovi avvisi (ovvero, quelli che non costituiscono aggiornamenti di avvisi esistenti) stanno aumentando.
• Nel 2013 il 99% di tutto il malware per dispositivi mobili aveva come obiettivo i dispositivi Android. Gli utenti Android fanno anche registrare la più alta percentuale di rilevamento (71%) di tutte le forme di malware diffuso tramite il Web.
4 Report annuale di Cisco sulla sicurezza 2014
Contenuto del report Il report annuale di Cisco sulla sicurezza del 2014 esamina quattro aspetti principali della sicurezza.
La fiducia
Trovare il giusto equilibrio tra fiducia, trasparenza e privacy deve essere una priorità per tutte le aziende e le organizzazioni, perché la posta in gioco è molto alta. A questo proposito, tre fattori rendono ancora più problematici i tentativi dei responsabili della sicurezza di trovare questo equilibrio:
•l'ampiezza della superficie esposta agli attacchi
•la diffusione e la sofisticatezza dei modelli di attacco
•la complessità di minacce e soluzioni.
I dati sulle minacce
Avvalendosi del più vasto insieme di dati di telemetria dei rilevamenti disponibile, Cisco e Sourcefire hanno analizzato i dati relativi alla sicurezza dello scorso anno e sono arrivati alle seguenti conclusioni:
•Gli attacchi contro l'infrastruttura prendono di mira risorse importanti tramite Internet.
•Gli autori degli attacchi utilizzano applicazioni attendibili per sfruttare le falle nella sicurezza del perimetro.
•Gli indicatori delle compromissioni suggeriscono che le penetrazioni nelle reti possono passare inosservate per molto tempo.
5 Report annuale di Cisco sulla sicurezza 2014
La panoramica del settore
In questa sezione, gli specialisti di Cisco Security Intelligence Operations (SIO) esaminano le tendenze del settore della sicurezza che vanno al di là dei dati di telemetria di Cisco, ma che comunque influiscono sulle procedure: i tentativi di accesso “brute-force”, le attività DDoS su vasta scala, la diffusione del ransomware, il maggiore utilizzo del cloud, la carenza di esperti della sicurezza e altre problematiche.
I consigli
Le principali problematiche delle aziende sono la più ampia superficie esposta agli attacchi, la maggiore diffusione e sofisticatezza dei modelli di attacco e l’aumento del livello di complessità della rete. Molte aziende hanno difficoltà a formulare una visione della sicurezza supportata da una strategia efficace, in grado di utilizzare nuove tecnologie, semplificare l'architettura e le operazioni e aumentare l'efficienza dei team responsabili della sicurezza.
Questa sezione spiega come un modello di sicurezza incentrato sulle minacce consenta di tenere sotto controllo tutte le fasi dell’attacco, compresi tutti i vettori di attacco, e di rispondere in qualsiasi momento e in modo continuativo: prima, durante e dopo un attacco.
6 Report annuale di Cisco sulla sicurezza 2014
Metodologia di Cisco per la valutazione del panorama delle minacce
Data la rilevanza delle sue soluzioni e l'ampio spettro delle informazioni sulla sicurezza di cui dispone, Cisco svolge un ruolo chiave nella valutazione delle minacce:
• 16 miliardi di richieste Web sono esaminate ogni giorno tramite Cisco Cloud Web Security
• 93 miliardi di messaggi e-mail sono analizzati ogni giorno tramite la soluzione Cisco per e-mail in hosting
• 200.000 indirizzi IP sono valutati ogni giorno
• 400.000 esempi di malware sono valutati ogni giorno
• 33 milioni di file endpoint sono valutati ogni giorno tramite FireAMP
• 28 milioni di connessioni di rete sono valutate ogni giorno tramite FireAMP
Queste attività permettono a Cisco di rilevare le seguenti minacce:
• 4,5 miliardi di messaggi e-mail vengono bloccati ogni giorno
• 80 milioni di richieste Web vengono bloccate ogni giorno
• 6.450 rilevamenti in file endpoint vengono effettuati ogni giorno in FireAMP
• 3.186 rilevamenti in endpoint vengono effettuati ogni giorno in FireAMP
• 50.000 intrusioni nelle reti vengono rilevate ogni giorno
7 Report annuale di Cisco sulla sicurezza 2014
SommarioLa fiducia .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
I nuovi modi di fare business creano nuove vulnerabilità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Gli effetti negativi sulla fiducia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Le principali problematiche della sicurezza per il 2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Sistemi affidabili e trasparenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
I dati sulle minacce .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Aumento degli avvisi sulle minacce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21Il volume dello spam è in diminuzione, ma lo spam dannoso è ancora una minaccia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24Exploit Web: Java al primo posto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28BYOD e mobilità: il livello di maturità dei dispositivi favorisce i crimini informatici . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Attacchi mirati: liberarsi degli intrusi persistenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Panoramica del malware: tendenze del 2013 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Principali bersagli: i segmenti verticali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Le fratture di un ecosistema fragile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Il traffico dannoso, spesso indizio di attacchi mirati, è rilevato in tutte le reti aziendali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
La panoramica del settore .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Tentativi di accesso brute-force: una delle tattiche più diffuse per compromettere i siti Web . . . . . . . . . . . . . . . . . . . . . . 53Attacchi DDoS: una vecchia tecnica sempre attuale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55DarkSeoul . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57La carenza di esperti della sicurezza e le lacune delle soluzioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Il cloud come nuovo perimetro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61
I consigli . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Obiettivi per il 2014: verificare l'affidabilità e migliorare la visibilità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Appendice .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67I team della sicurezza hanno bisogno di data scientist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
L'ecosistema Cisco SIO .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Cisco SIO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78
Nota sul presente documento Il contenuto di questo documento permette di eseguire ricerche e può essere condiviso.
Questa icona consente di aprire la funzionalità di ricerca in Adobe Acrobat.
Software consigliato Adobe Acrobat 7.0 o versione successiva
Queste icone consentono di condividere il contenuto.[ ]
8 Report annuale di Cisco sulla sicurezza 2014
La fiduciaTrovare il giusto equilibrio tra fiducia, trasparenza e privacy deve essere una priorità per tutte le aziende e le organizzazioni, perché la posta in gioco è molto alta.
9 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La fiducia
I nuovi modi di fare business creano nuove vulnerabilitàGli anelli deboli nella supply chain delle tecnologie sono uno degli aspetti del complesso panorama di minacce e rischi attuale.
Un altro aspetto è l'emergenza dell'infrastruttura “any-to-any”, in cui qualsiasi dispositivo, dovunque si trovi, può connettersi a qualsiasi istanza della rete.1 Inoltre, un numero crescente di dispositivi abilitati alla navigazione su Internet (smartphone, tablet e altri tipi) tenta di connettersi ad applicazioni che potrebbero essere in esecuzione altrove, come un cloud SaaS (Software-as-a-Service) pubblico, un cloud privato o un cloud ibrido.2 Persino i servizi di infrastruttura Internet di base sono diventati un bersaglio per gli hacker, che desiderano sfruttare la reputazione, la larghezza di banda, i tempi di attività e la disponibilità continua di server di Web hosting, server dei nomi e data center per portare avanti campagne di attacco di dimensioni sempre più vaste (vedere “Le fratture di un ecosistema fragile” a pagina 43).
Sebbene le tendenze come il cloud computing e la mobilità stiano riducendo la visibilità e rendendo più complessa la sicurezza, le aziende non possono farne a meno perché sono indispensabili per ottenere un vantaggio competitivo e assicurare il successo del business. Le nuove vulnerabilità si creano perché i team responsabili della sicurezza tentano di allineare soluzioni tradizionali a modi sempre nuovi di fare business. Nel frattempo, i criminali informatici agiscono velocemente per sfruttare le vulnerabilità che le singole soluzioni non integrate non possono risolvere. E ci riescono, perché dispongono delle risorse necessarie per essere più veloci.
La rete dei criminali informatici si sta espandendo e rafforzando, operando sempre più spesso come una sofisticata rete aziendale legittima. La gerarchia dei criminali informatici è simile a una piramide (vedere la figura 1). La base è composta da opportunisti non tecnici e utenti di “Crimeware-as-a-Service”, le cui campagne hanno come scopo guadagni, rivendicazioni o entrambe le cose. Al livello intermedio della piramide vi sono rivenditori e responsabili della manutenzione dell'infrastruttura: gli “intermediari”. Il vertice è costituito dagli innovatori tecnici: le figure più importanti e più ricercate dalle forze dell'ordine.
L'infrastruttura Internet di base è diventata un
bersaglio per gli hacker.
[
]
10 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La fiducia
Quando lanciano i propri attacchi, gli attuali criminali informatici hanno in genere dei chiari obiettivi di business. Sanno di quali informazioni sono alla ricerca o quali risultati intendono raggiungere e conoscono il percorso da seguire per perseguire questi obiettivi. Svolgono ricerche approfondite sui propri bersagli, spesso tramite informazioni pubblicamente disponibili nei social network, e pianificano gli obiettivi in modo strategico.
Molti dei soggetti che operano nella cosiddetta “economia sommersa” oggi inviano anche malware di sorveglianza per raccogliere informazioni su un ambiente, incluse le tecnologie di sicurezza implementate, in modo da poter condurre attacchi mirati. La ricognizione prima di un attacco è il metodo che consente ad alcuni autori di malware di avere la certezza che il loro malware funzionerà. Una volta penetrato nella rete, questo malware sofisticato può comunicare con i server di comando e controllo all'esterno e diffondersi nell'infrastruttura per portare a termine la propria missione, sia essa il furto di dati vitali o l'interruzione di sistemi critici.
FIGURA 1
La gerarchia dei criminali informatici
Innovatoritecnici
Rivenditori/responsabili della manutenzione dell'infrastruttura
Opportunisti non tecnici/utenti di Crimeware-as-a-Service
[
]
11 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La fiducia
Gli effetti negativi sulla fiduciaLe minacce che sfruttano la fiducia nei sistemi, nelle applicazioni, nelle persone, nelle aziende e nelle organizzazioni conosciute sono diventate una costante nel mondo digitale.
Alla base di qualsiasi crimine c’è sempre un tentativo di sfruttamento della fiducia: il malware trasmesso agli utenti che esplorano legittimamente siti Web conosciuti; messaggi spam che sembrano inviati da aziende ben note, ma contengono link a siti dannosi; le applicazioni per dispositivi mobili di terze parti scaricate da marketplace noti e che nascondono malware; i dipendenti che sfruttano i propri privilegi di accesso alle informazioni riservate per impossessarsi della proprietà intellettuale delle aziende.
Tutti gli utenti dovrebbero partire dal presupposto che nel mondo digitale non ci si possa fidare di nulla e nessuno. Gli esperti della sicurezza agirebbero nell'interesse delle proprie aziende se diffidassero di qualsiasi tipo di traffico di rete3 e non si fidassero ciecamente delle procedure di sicurezza dei loro fornitori o delle supply chain a cui le imprese si rivolgono per le tecnologie. Ciò nonostante le organizzazioni del settore pubblico e privato, i singoli utenti e perfino gli stati vogliono avere la certezza di potersi fidare delle tecnologie che utilizzano ogni giorno.
Questa esigenza di fiducia nella sicurezza ha contribuito al miglioramento dei Common Criteria for Information Technology Security Evaluation (Common Criteria), il linguaggio e il framework che consentono ad agenzie governative e ad altri gruppi di definire i requisiti che i prodotti tecnologici devono soddisfare per dimostrare la propria affidabilità. Oggi 26 paesi, tra cui gli Stati Uniti, partecipano al Common Criteria Recognition Arrangement, un accordo multilaterale che garantisce il riconoscimento reciproco dei prodotti valutati da parte degli stati membri.
Tuttavia, nel 2013 la fiducia in generale ha subito una battuta d'arresto. Il catalizzatore di questo fenomeno è stato Edward Snowden. L'ex consulente del governo degli Stati Uniti ha rivelato pubblicamente al quotidiano britannico Guardian informazioni riservate ottenute mentre lavorava per la National Security Agency (NSA) statunitense.4
Tutti gli utenti dovrebbero partire dal presupposto che nel
mondo digitale non ci si possa fidare di nulla
e nessuno.
12 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La fiducia
Le rivelazioni di Snowden ai media finora includono dettagli sul piano per la sorveglianza elettronica e la raccolta dei dati della NSA, PRISM,5 nonché su un programma distinto NSA-GCHQ6 denominato MUSCULAR, tramite il quale sarebbero state intercettate le reti in fibra ottica che trasportano il traffico dai data center oltreoceano di importanti aziende di servizi Internet.7
Queste e altre rivelazioni di Snowden sulle procedure di sorveglianza da parte del governo statunitense hanno minato i rapporti di fiducia a diversi livelli: tra gli stati, tra l’amministrazione pubblica e le aziende private, tra i cittadini e l’amministrazione pubblica, nonché tra i cittadini e le aziende. Inoltre, hanno naturalmente generato preoccupazione in merito alla presenza, e ai potenziali rischi, sia di vulnerabilità non intenzionali che di “backdoor” intenzionali nei prodotti tecnologici, oltre che rispetto alle procedure adottate dai fornitori per prevenire questi punti deboli e proteggere gli utenti finali.
Le principali problematiche della sicurezza per il 2014Lo sgretolarsi della fiducia e la sempre maggiore difficoltà a distinguere i sistemi e le relazioni affidabili da quelli che non lo sono, obbligano le aziende ad affrontare le problematiche che minacciano la loro capacità di gestire la sicurezza:
1 | l'ampiezza della superficie esposta agli attacchi2 | la diffusione e la sofisticatezza dei modelli di attacco3 | la complessità di minacce e soluzioni.
La combinazione di questi problemi genera e aggrava le vulnerabilità che consentono agli autori degli attacchi di lanciare exploit a una velocità superiore a quella con cui le aziende riescono a risolvere i propri punti deboli.
Queste minacce e questi rischi sono esaminati più in dettaglio nelle pagine seguenti.
[
]
13 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La fiducia
1 | L'ampiezza della superficie esposta agli attacchi
Oggi la superficie esposta agli attacchi presenta possibilità illimitate per chi abbia intenzione di violare un ecosistema di sicurezza vasto e fragile. La superficie è aumentata in modo esponenziale ed è destinata a espandersi ulteriormente: non sono mai stati così tanti gli endpoint, i punti d'ingresso e i dati che sfuggono al controllo delle aziende.
I dati sono il bottino che la maggior parte degli autori degli attacchi desidera ottenere attraverso le proprie campagne, principalmente per il loro valore economico. Tutti i dati che possono avere un valore sul mercato, si tratti della proprietà intellettuale di un'importante azienda o dei dati sanitari di un singolo individuo, sono desiderabili e pertanto a rischio. Qualsiasi bersaglio il cui valore è superiore ai rischi associati al tentativo di comprometterne la sicurezza è potenzialmente soggetto ad attacchi. Anche le piccole aziende sono a rischio di violazioni. La maggior parte delle imprese, di piccole e grandi dimensioni, è già stata compromessa senza esserne nemmeno consapevole: il 100% delle reti aziendali analizzate da Cisco genera traffico verso siti Web che contengono malware.
FIGURA 2
Caratteristiche della tipica minaccia moderna
App per Internet e cloud
Rete pubblica
Campus
Perimetro
Azienda
Data center
Il punto d'ingresso dell'infezione è all'esterno dell'azienda
Una minaccia avanzata supera la difesa perimetrale
La minaccia si di�onde e tenta di sottrarre dati preziosi
14 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La fiducia
L'analisi delle caratteristiche della tipica minaccia moderna, illustrate nella figura 2, evidenzia come l'obiettivo ultimo di numerose campagne dei criminali informatici sia raggiungere il data center e sottrarre dati preziosi. In questo esempio l’attacco viene eseguito su un dispositivo all'esterno della rete aziendale. Questo causa un'infezione, che si diffonde nella rete di un campus. Questa rete opera come base di attacco verso la rete aziendale, da cui la minaccia può finalmente raggiungere il proprio obiettivo: il data center.
Data l'espansione della superficie esposta agli attacchi e il rischio associato ai dati di valore elevato, per il 2014 gli esperti della sicurezza di Cisco consigliano alle aziende di cercare la risposta a due importanti domande: “Dove risiedono i nostri dati critici?” e “Come possiamo creare un ambiente sicuro per la protezione dei dati, soprattutto quando i nuovi modelli di business come il cloud computing e la mobilità di fatto diminuiscono il potere di controllo?”
2 | La diffusione e la sofisticatezza dei modelli di attacco
L'attuale panorama delle minacce non ha niente in comune con quello di appena un decennio fa. Gli attacchi piuttosto semplici che causavano danni contenibili hanno lasciato il posto alle operazioni di crimine informatico moderne, sofisticate, ben finanziate e in grado di causare gravi danni alle organizzazioni.
Le aziende sono diventate il bersaglio di attacchi mirati. Questi attacchi sono molto difficili da rilevare, rimangono nelle reti per lunghi periodi di tempo e accumulano risorse di rete per lanciare attacchi altrove.
Per coprire tutte le fasi dell’attacco, le aziende devono gestire vari un'ampia gamma di vettori di attacco con soluzioni in grado di operare ovunque la minaccia si manifesti: nella rete, negli endpoint, nei dispositivi mobili e negli ambienti virtuali.
“Dove risiedono i nostri dati critici?” e “Come possiamo creare un ambiente sicuro per la protezione dei dati, soprattutto quando i nuovi modelli di business come il cloud computing e la mobilità di fatto diminuiscono il potere di controllo?”Gli esperti della sicurezza di Cisco
L'obiettivo ultimo di numerose campagne dei criminali informatici
è raggiungere il data center e sottrarre dati
preziosi.
15 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La fiducia
3 | La complessità di minacce e soluzioni
Sono finiti i tempi in cui gli strumenti anti-spam e il software antivirus aiutavano a proteggere dalla maggior parte delle minacce un perimetro di rete ben definito. Oggi le reti vanno oltre i confini tradizionali, si evolvono continuamente e generano nuovi vettori di attacco: i dispositivi mobili, le applicazioni Web e per dispositivi mobili, gli hypervisor, i social media, i browser Web, gli home computer e perfino i veicoli. Le soluzioni troppo specifiche non riescono a stare al passo con l’evoluzione delle tecnologie e delle strategie degli autori degli attacchi. Questo complica ulteriormente il monitoraggio e la gestione della protezione delle informazioni da parte dei team della sicurezza.
L'utilizzo nelle aziende di singole soluzioni disaggregate e di più piattaforme di gestione comporta un aumento delle vulnerabilità. Il risultato è un insieme di tecnologie eterogenee con punti di controllo che non sono stati progettati per lavorare insieme. Questo accresce le probabilità di compromissione delle informazioni sui clienti, della proprietà intellettuale e di altri dati sensibili, mettendo a rischio la reputazione dell'azienda.
È necessaria una soluzione di sicurezza continuativa in grado di fronteggiare le nuove sfide di un panorama di minacce complesso. Gli attacchi più ostinati non si verificano in un singolo momento, ma sono di tipo continuativo. Di conseguenza, anche le difese di un'azienda devono esserlo.
Poiché la complessità delle minacce e delle relative soluzioni ha raggiunto un livello senza precedenti, le aziende devono ripensare la propria strategia di sicurezza. Invece di affidarsi a soluzioni diverse, possono ridurre al minimo la complessità integrando in modo continuativo la sicurezza nell'infrastruttura di rete stessa, per consentire alla rete di:
•monitorare e analizzare in modo continuativo i file e identificare i comportamenti dannosi in qualsiasi momento abbiano inizio;
•favorire la scalabilità della sicurezza, ampliando la superficie in cui è possibile posizionare i dispositivi di rete;
•ridurre i tempi di rilevamento delle minacce grazie alla capacità di controllare più traffico;
•offrire alle aziende la possibilità di aggregare informazioni uniche e sensibili al contesto, che non è possibile ottenere solo con i dispositivi specifici per la sicurezza.
Le soluzioni troppo specifiche non riescono
a stare al passo con l’evoluzione delle tecnologie e delle
strategie degli autori degli attacchi.
16 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La fiducia
Il passaggio verso la mobilità e i servizi cloud sta aumentando il carico di lavoro per la sicurezza sugli endpoint e i dispositivi mobili, che in alcuni casi non entrano mai in contatto con la rete aziendale. Di fatto, i dispositivi mobili introducono un rischio per la sicurezza quando vengono utilizzati per accedere alle risorse aziendali: possono connettersi facilmente ai servizi cloud di terze parti e ai computer con stati di sicurezza potenzialmente sconosciuti e al di fuori del controllo aziendale. Inoltre, la sempre maggiore diffusione del malware per i dispositivi mobili aumenta ulteriormente i rischi. Poiché manca perfino la visibilità di base, la maggior parte dei team della sicurezza IT non ha la capacità di identificare le potenziali minacce associate a questi dispositivi.
Gli approcci più innovativi come la capacità continuativa saranno in grado di fare fronte al malware più avanzato, attraverso analisi di big data che aggregano i dati e gli eventi nella rete estesa per fornire maggiore visibilità, anche dopo lo spostamento di un file nella rete o tra endpoint. Questo modello è diverso dalla sicurezza specifica e mirata degli endpoint, in cui i file vengono analizzati in un determinato momento per determinare la presenza di malware. Il malware avanzato può facilmente sfuggire a questa analisi, penetrare rapidamente negli endpoint e diffondersi nelle reti.
Sistemi affidabili e trasparentiData l'ampiezza della superficie esposta agli attacchi, la diffusione e la sofisticatezza dei modelli di attacco e la complessità di minacce e soluzioni, è fondamentale potersi fidare delle informazioni che utilizziamo, oltre che dei sistemi che le rendono disponibili, indipendentemente dal modo in cui accediamo ai servizi in rete.
Creare un ambiente di rete realmente sicuro diventa ancora più complesso a causa degli investimenti della pubblica amministrazione e delle aziende nella mobilità, nella Collaboration, nel cloud computing e in altre forme di virtualizzazione. Queste capacità contribuiscono a migliorare la flessibilità, ad aumentare l'efficienza e a ridurre i costi, ma possono anche
i dispositivi mobili introducono un rischio
per la sicurezza quando vengono utilizzati per accedere alle risorse
aziendali
17 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La fiducia
introdurre ulteriori rischi. Oggi è a rischio anche la sicurezza dei processi di produzione dell’IT, dal momento che il fenomeno dei prodotti IT contraffatti e manomessi è in aumento. Di conseguenza, i leader delle aziende e della pubblica amministrazione considerano la sicurezza informatica e i problemi di credibilità ad essa associati questioni fondamentali. La domanda che i responsabili della sicurezza dovrebbero porsi è: “Cosa faremmo in modo diverso se sapessimo che stiamo per subire un attacco?”
Gli autori degli attacchi cercano e sfruttano qualsiasi punto debole della sicurezza nella supply chain delle tecnologie. Le vulnerabilità e le backdoor lasciate intenzionalmente nei prodotti tecnologici possono in ultima analisi fornire l'accesso all'intera rete del cliente. Le backdoor da tempo costituiscono un problema di sicurezza e rappresentano un potenziale pericolo per le aziende, perché esistono al solo scopo di consentire attività nascoste o criminali.
Sviluppare sistemi affidabili significa integrare la protezione in modo completo, dall'inizio alla fine del ciclo di vita del prodotto. Cisco Secure Development Life cycle (CSDL)8 propone una metodologia ripetibile e misurabile per integrare la sicurezza fin dalla fase di progettazione, riducendo al minimo le vulnerabilità durante lo sviluppo e aumentando la resistenza dei prodotti in caso di attacco.
Poter contare su sistemi affidabili è fondamentale per adottare un approccio mirato al miglioramento continuo della sicurezza, che anticipi e prevenga le nuove minacce. Tali infrastrutture non solo proteggono le informazioni critiche ma, soprattutto, contribuiscono a evitare le interruzioni dei servizi di importanza strategica. I prodotti affidabili supportati da fornitori di fiducia consentono agli utenti di ridurre al minimo i costi e i danni per la reputazione generati da accessi non autorizzati alle informazioni, interruzioni dei servizi e violazioni della sicurezza dei dati.
I sistemi affidabili, tuttavia, non devono essere confusi con l'immunità dagli attacchi esterni. I clienti e gli utenti dell’IT svolgono un ruolo importante nel mantenere l'efficacia dei sistemi affidabili nella difesa dai tentativi di comprometterne l'operatività. Questo include l'installazione tempestiva degli aggiornamenti e delle patch per la sicurezza, la vigilanza costante per riconoscere i comportamenti anomali dei sistemi e la messa in atto di contromisure efficaci in caso di attacco.
Gli autori degli attacchi cercano e
sfruttano qualsiasi punto debole della sicurezza
nella supply chain delle tecnologie.
18 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La fiducia
Le tecnologie non restano immobili e nemmeno gli autori degli attacchi. Per assicurare l'affidabilità dei sistemi è necessario coprire l'intero ciclo di vita di una rete, dalla progettazione iniziale alla produzione, l'integrazione dei sistemi, le operazioni quotidiane, la manutenzione e gli aggiornamenti, fino alla dismissione della soluzione.
L'esigenza di sistemi affidabili si estende al di là della rete di un'azienda, perché include le reti a cui questa si connette. I team di Cisco Security Research and Operations hanno osservato nell'ultimo anno un aumento dell'utilizzo del “pivoting”. La tecnica di pivoting nei crimini informatici implica l'utilizzo di una backdoor, una vulnerabilità o semplicemente lo sfruttamento della fiducia in una determinata fase della catena di attacco come punto di partenza per l'avvio di una campagna più sofisticata contro bersagli di maggiori dimensioni, come la rete di un'importante azienda di gestione dell’energia o il data center di un istituto finanziario. Alcuni hacker approfittano della fiducia delle aziende per un attacco di pivoting, sfruttando un partner di fiducia per colpire un altro partner commerciale o istituzionale.
La vigilanza svolge un ruolo importante nell'attuale panorama delle minacce. La sicurezza deve adattarsi a tutti gli stati transitori che fanno parte dell'ambiente IT aziendale convalidando in modo misurabile e obiettivo l'affidabilità dei sistemi, in base a dati e processi indipendenti e verificabili. L'approccio più sostenibile è una difesa dinamica e personalizzata in base allo specifico ambiente di un'azienda, che includa controlli di sicurezza che si rinnovano continuamente per garantirne la rilevanza.9
Un ambiente di questo tipo supporta la presenza di sistemi affidabili e la trasparenza è essenziale per il loro sviluppo. “Un sistema affidabile deve essere sviluppato su fondamenta solide: procedure di sviluppo dei prodotti, una supply chain affidabile e un approccio architetturale che comprenda progettazione della rete, implementazione e policy”, afferma
Le principali problematiche dei CISO per il 2014Nell'attuale panorama delle minacce i CISO (Chief Information Security Officer) hanno la responsabilità sempre più pressante di proteggere diversi terabyte di dati, rispettare rigide normative di conformità e valutare i rischi associati alla collaborazione con fornitori di terze parti, il tutto con budget sempre più limitati e team IT ridotti. I CISO devono svolgere sempre più attività e gestire minacce complesse e sofisticate. I responsabili delle strategie di sicurezza dei servizi di sicurezza di Cisco, che forniscono consulenza ai CISO in merito agli approcci alla sicurezza per le loro aziende, hanno raccolto nell'elenco seguente le problematiche e le sfide più pressanti per il 2014:
Gestione della conformità
La sfida che accomuna i CISO è forse l'esigenza di proteggere i dati che risiedono in una rete sempre più permeabile, dovendo dedicare al tempo stesso risorse preziose alla conformità. La conformità di per sé non garantisce la sicurezza: rappresenta semplicemente il rispetto dei requisiti minimi di un ambiente regolato. La sicurezza è invece un approccio completo che riguarda tutte le attività aziendali.
Affidabilità del cloud
I CISO devono prendere decisioni su come gestire le informazioni in
Continua alla pagina successiva
19 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La fiducia
John N. Stewart, vicepresidente senior e Chief Security Officer di Cisco. “Tuttavia, la caratteristica più importante è la trasparenza dei fornitori”.
Il prezzo da pagare per godere di maggiore trasparenza è la riduzione della privacy dei dati, ma è possibile trovare il giusto equilibrio attraverso la cooperazione per allineare meglio i dati sulle minacce e le best practice per la sicurezza. Trovare il giusto equilibrio tra fiducia, trasparenza e privacy deve essere una priorità per tutte le aziende e le organizzazioni, perché la posta in gioco è molto alta.
A lungo termine, è possibile raggiungere una migliore sicurezza informatica per tutti gli utenti e realizzare appieno il potenziale dell'economia emergente di Internet of Everything10. Tuttavia, il conseguimento di questi obiettivi dipende da policy di tutela della privacy efficaci e da difese della rete efficienti, che distribuiscano in modo intelligente il carico della sicurezza tra gli endpoint e la rete. A breve termine, e forse con conseguenze più immediate, qualsiasi azienda moderna ha l'esigenza di utilizzare i migliori metodi e le migliori informazioni disponibili per proteggere le proprie risorse più preziose, evitando di essere a sua volta fonte di nuove problematiche per la sicurezza informatica.
Oggi le aziende devono considerare l'impatto delle loro procedure di sicurezza sull'ecosistema di sicurezza informatica più ampio, sempre più evoluto e interconnesso. Un'azienda che decida di non adottare quest'ottica globale può essere valutata negativamente dal punto di vista della reputazione, con il risultato che nessuno dei principali provider di sicurezza consentirà agli utenti di accedere al suo sito. L'inserimento in una blacklist è una situazione difficile da superare per un'impresa e in alcuni casi una completa ripresa potrebbe risultare impossibile.
Per informazioni sulle procedure Cisco Trustworthy Systems, visitare l'indirizzo www.cisco.com/go/trustworthy.
modo sicuro ed entro i limiti di budget e tempo assegnati. Ad esempio, il cloud rappresenta una soluzione flessibile e conveniente per gestire archivi di dati in continua crescita, ma genera nuove preoccupazioni per i CISO. I direttori generali e i consigli di amministrazione considerano il cloud come una panacea per eliminare le spese dell'hardware. Vogliono sfruttare i vantaggi della gestione dei dati nel cloud e si aspettano che i CISO li realizzino in modo sicuro e rapido.
Affidabilità dei fornitori
Come nel caso del cloud, le aziende si affidano ai fornitori per ottenere soluzioni specializzate. Il risparmio giustifica il ricorso a terze parti. Tuttavia, questi fornitori sono bersagli dei criminali informatici, che sono consapevoli che le difese di una terza parte potrebbero non essere troppo solide.
Riprendersi dopo una violazione della sicurezza
Tutte le aziende dovrebbero dare per scontato di aver subito almeno una violazione. Non si tratta di determinare se si subirà un attacco, ma piuttosto quando si verificherà. I recenti attacchi come l'Operazione Night Dragon, la violazione della RSA e l'attacco Shamoon contro un'importante compagnia petrolifera nel 2012 sono ben noti a molti CISO (vedere l'analisi di Cisco sulle attività dannose nelle reti aziendali a pagina 48).
Continua dalla pagina precedente
[
]
20 Report annuale di Cisco sulla sicurezza 2014
I dati sulle minacceAvvalendosi del più vasto insieme di dati di telemetria dei rilevamenti disponibile, Cisco e Sourcefire hanno analizzato i dati relativi alla sicurezza dello scorso anno e ne hanno tratto risultati importanti.
21 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Aumento degli avvisi sulle minacceLe vulnerabilità e le minacce segnalate da Cisco IntelliShield® hanno mostrato un aumento costante nel 2013: a ottobre 2013, il numero totale di avvisi rilasciati annualmente ha fatto registrare un aumento del 14% rispetto al 2012 (figura 3).
A ottobre 2013 gli avvisi hanno raggiunto il livello più alto da quando IntelliShield ha iniziato a registrarli, nel maggio del 2000.
È anche interessante osservare il significativo aumento dei nuovi avvisi rispetto a quelli aggiornati, in base ai dati registrati da IntelliShield (figura 4). Il numero crescente di nuove vulnerabilità scoperte dai fornitori di tecnologie e dai ricercatori (figura 5) è il risultato di una maggiore attenzione alla sicurezza sia durante il ciclo di vita dello sviluppo, che nei prodotti stessi. L'aumento delle nuove vulnerabilità potrebbe anche indicare che i fornitori analizzano il codice dei propri prodotti e correggono le vulnerabilità prima che i prodotti vengano rilasciati e che le vulnerabilità possano essere sfruttate.
FIGURA 3
Il numero complessivo di avvisi rilasciati annualmente nel periodo 2010-2013
0Gen DicNovOttSetAgoLugGiuMagAprMarFeb
1.000
2.000
3.000
4.000
5.000
6.000
7.000
Mese
2013
2012
2011
2010
22 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
FIGURA 4
Gli avvisi nuovi e aggiornati nel 2013
Gen NovOttSetAgoLugGiuMagAprMarFeb
Avvisonuovo
Avvisoaggiornato
Mese
224
303
386
212
333
281
387
256
221
32436
629
1
293
391
215
286
278
437
320
517
0
400
200
800
600
1.000
211
347
Una maggiore attenzione alla sicurezza nello sviluppo del software può contribuire ad aumentare la credibilità delle soluzioni dei fornitori. Un ciclo di vita di sviluppo sicuro non solo riduce i rischi di vulnerabilità e consente ai fornitori di rilevare i potenziali difetti fin dalle prime fasi di sviluppo, ma è anche una conferma per gli acquirenti del fatto che possono fare affidamento su queste soluzioni.
23 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
FIGURA 5
Le categorie di minacce più frequenti registrate da Cisco IntelliShield NOTA: queste categorie di minacce CWE (Common Weakness Enumeration), come definite dal National Vulnerability Database (https://nvd.nist.gov/cwe.cfm), sono associate ai metodi utilizzati per gli attacchi alle reti.
1
1 5
2
3
4
6
7
8
2
34
5
6
7
8
9
CWE-119: errori di buer
Altri avvisi di IntelliShield (attività, problemi, CRR, AMB)
CWE-399: errori di gestione delle risorse
CWE-20: convalida dell'input
9
CWE: errore di progettazione
CWE-310: problemi di crittogra�a
CWE-287: problemi di autenticazione
CWE-352: CSRF (Cross-Site Request Forgery)
CWE-22: Path Traversal
CWE-78: inserimento di comandi del sistema operativo
CWE-89: SQL injection
CWE-362: race condition
CWE-255: gestione di credenziali
CWE-59: visita di collegamenti
CWE-16: con�gurazione
CWE: informazioni insu�cienti
CWE: altro
CWE-189: errori numerici
CWE-264: autorizzazioni, privilegi e controllo di accesso
CWE-200: perdita/divulgazione di informazioni
CWE-79: XSS (Cross-Site Scripting)
CWE-94: inserimento di codice
24 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Il volume dello spam è in diminuzione, ma lo spam dannoso è ancora una minacciaNel 2013 il volume dello spam ha fatto registrare un calo a livello mondiale. Tuttavia, anche se il volume complessivo è diminuito, la proporzione di spam con finalità dannose è rimasta costante.
Gli spammer agiscono con la massima velocità per approfittare della fiducia degli utenti di e-mail, distribuendo grandi quantità di spam quando particolari eventi o tendenze abbassano la soglia di attenzione dei destinatari nei confronti delle truffe.
Subito dopo l'attentato alla maratona di Boston del 15 aprile 2013 sono iniziate due campagne di spam su vasta scala, una il 16 aprile e l'altra il 17 aprile, per attirare gli utenti di e-mail interessati a ricevere notizie sull'evento. I ricercatori di Cisco hanno rilevato la registrazione di centinaia di nomi di domini relativi all'attentato già poche ore dopo gli attacchi.11
In entrambe le campagne di spam, l'oggetto faceva riferimento a notiziari sull'attentato, mentre i messaggi contenevano link per visualizzare video delle esplosioni o notizie pubblicate da media autorevoli. I link indirizzavano i destinatari a pagine Web che includevano link ad articoli o video autentici, ma anche sospetti iframe progettati per infettare i computer dei visitatori. Nel momento di picco, lo spam originato in seguito all'attentato alla maratona di Boston ha raggiunto una percentuale equivalente al 40% di tutti i messaggi di spam recapitati a livello mondiale il 17 aprile 2013.
La figura 6 illustra uno dei messaggi delle campagne di spam della botnet, mascherato come un messaggio inviato dalla CNN.12 La figura 7 mostra il codice HTML sorgente di un messaggio di spam relativo all'attentato alla maratona di Boston. L'iframe finale (offuscato) rimanda a un sito Web dannoso.13
In questi casi lo spam si riferisce a eventi appena accaduti, quindi gli utenti di e-mail sono più portati a credere che i messaggi siano legittimi. Gli spammer fanno leva sul desiderio delle persone di avere maggiori informazioni in seguito a un evento importante. Offrendo agli utenti quello che vogliono, gli spammer possono indurli più facilmente a eseguire l'azione desiderata, come fare clic su un link infetto. È anche molto più facile ingannarli sull'autenticità dei messaggi.
Gli spammer fanno leva sul desiderio delle
persone di avere maggiori informazioni in seguito a un evento
importante.
25 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
FIGURA 6
Spam relativo alla maratona di Boston
FIGURA 7
Codice HTML sorgente per un messaggio di spam relativo all'attentato alla maratona di Boston
<iframe width="640" height="360"src="https://www.youtube.com/embed/H4Mx5qbgeNo"><iframe>
<iframe width="640" height="360"src="https://www.youtube.com/embed/JVU7rQ6wUcE"><iframe>
<iframe width="640" height="360"src="https://bostonmarathonbombing.html"><iframe>
26 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Le cifre dello spam
In base ai dati raccolti da Cisco Threat Research Analysis and Communications (TRAC)/SIO, il volume dei messaggi spam a livello mondiale è in calo (figura 8), anche se le tendenze variano a seconda del paese (figura 9).
FIGURA 8
Volume dei messaggi spam a livello mondiale nel 2013Fonte: Cisco TRAC/SIO
0Gen OttSetAgoLugGiuMagAprMarFeb
20
40
60
80
100
120
140
160
Mese
Mili
ardi
al g
iorn
o
FIGURA 9
Le tendenze relative ai volumi nel 2013Fonte: Cisco TRAC/SIO
0Gen OttSetAgoLugGiuMagAprMarFeb
5
10
15
20
25
Mese
Volu
me
in p
erce
ntua
le
Stati Uniti
Corea del Sud
Cina
Italia
Spagna
27 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
FIGURA 10
I principali argomenti dei messaggi di spam a livello mondiale
1.Noti�che di pagamenti/depositi bancariNoti�che di depositi, trasferimenti, pagamenti, assegni ri�utati, segnalazioni di frodi.
2. Acquisti di prodotti onlineConferme di ordini di prodotti, richieste di ordini di acquisto, preventivi, versioni di valutazione.
3. Foto allegate Foto dannose ricevute come allegati.
4. Noti�che di spedizioneFatture, consegne o prelievi, tracciamento.
5. Incontri personaliSiti di incontri online.
6. FiscoDocumenti �scali, rimborsi, report, informazioni sul debito, dichiarazioni dei redditi online.
7. FacebookStato dell'account, aggiornamenti, noti�che e software di sicurezza.
8. Buoni regaloAvvisi da vari store (quello di Apple è stato il più utilizzato).
9. PayPalAggiornamenti sul conto, conferme, noti�che di pagamento, contestazioni di pagamenti.
28 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Exploit Web: Java al primo postoSecondo i dati di Cisco, tra tutte le minacce per la sicurezza basate sul Web, le vulnerabilità nel linguaggio di programmazione Java continuano a essere il bersaglio sfruttato più di frequente dai criminali online.
Gli exploit Java superano nettamente quelli rilevati in Flash o nei documenti PDF di Adobe, anch'essi comuni vettori di attività criminali (figura 11).
I dati di Sourcefire, ora acquisita da Cisco, mostrano anche che gli exploit Java costituiscono la grande maggioranza (91%) degli indicatori di compromissione (IoC) monitorati dalla soluzione FireAMP di Sourcefire per l'analisi e la protezione avanzata dal malware (figura 12). FireAMP rileva in tempo reale le compromissioni negli endpoint, quindi registra il tipo di software che ha causato ciascuna compromissione.
FIGURA 11
Gli attacchi dannosi generati tramite PDF, Flash e Java nel 2013Fonte: report di Cisco Cloud Web Security
NovOttSetAgoLugGiuMagAprMarFeb
Flash
Mese
Java
Gen0
2%
4%
6%
10%
8%
14%
12%
16%
29 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Per le minacce come gli exploit Java, la difficoltà per i responsabili della sicurezza è riuscire a individuare come il malware penetri nell'ambiente di rete e dove applicare le misure per ridurre al minimo le infezioni. Le singole azioni potrebbero apparire innocue, ma l’analisi della sequenza degli eventi può aiutare a comprendere la storia del malware. La ricostruzione della sequenza degli eventi è un'analisi retrospettiva dei dati per determinare le azioni eseguito dagli autori degli attacchi per superare la sicurezza del perimetro e infiltrarsi nella rete.
Di per sé, gli indicatori di compromissione possono indicare che visitare un determinato sito Web è sicuro. A sua volta, l'esecuzione di Java potrebbe essere un'azione sicura, ad esempio l'avvio di un file eseguibile. Tuttavia, un'azienda è a rischio se un utente visita un sito Web contenente un iframe nascosto che avvia Java che a sua volta scarica un file EXE che esegue azioni dannose.
FIGURA 12
I tipi di indicatori di compromissioneFonte: Sourcefire (soluzione FireAMP)
3%Microsoft Excel
1%Microsoft PowerPoint
3%Adobe Reader
2%Microsoft Word
91%Compromissioni Java
30 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
La diffusione pressoché universale di Java fa sì che resti in cima alla lista degli strumenti preferiti dai criminali. Questo spiega perché le compromissioni Java abbiano rappresentato di gran lunga l’attività più dannosa nelle sequenze di eventi nel 2013. Come riportato nella pagina Web “Informazioni sulla tecnologia Java”, Java è utilizzato dal 97% dei desktop aziendali e dall'89% dei computer desktop negli Stati Uniti.14
Java rappresenta una superficie di attacco troppo ampia perché possa essere ignorata dai criminali. Questi tendono a creare soluzioni che eseguono gli exploit in sequenza, ad esempio tentano di violare la rete o di sottrarre dati utilizzando la vulnerabilità più semplice o più nota prima di passare ad altri metodi. In molti casi, Java è l'exploit che i criminali scelgono per primo, perché garantisce il miglior ritorno sull'investimento.
Ridurre i rischi del problema Java
Anche se gli exploit basati su Java sono comuni e le vulnerabilità sono difficili da eliminare, esistono metodi per ridurne l'impatto:
•quando possibile, disabilitare la disabilitazione di Java nei browser a livello di rete può impedire l'esecuzione di questi exploit.
•Gli strumenti di telemetria come Cisco NetFlow, integrati in numerose soluzioni di sicurezza, possono monitorare il traffico associato a Java, consentendo agli esperti della sicurezza di comprendere meglio le origini delle minacce.
•Una gestione completa delle patch può risolvere molte vulnerabilità.
•Il monitoraggio degli endpoint e gli strumenti di analisi che tracciano e analizzano in modo continuo i file che entrano nella rete permettono di rilevare e bloccare in un secondo momento le minacce che inizialmente superano i controlli, ma che in seguito dimostrano un comportamento dannoso.
•Un elenco dei dispositivi potenzialmente compromessi con le relative priorità può essere generato utilizzando gli indicatori di compromissione per associare le informazioni sul malware (perfino eventi apparentemente innocui) e identificare un'infezione zero-day senza firme antivirus esistenti.
Anche l'aggiornamento alla versione più recente di Java consente di evitare le vulnerabilità. Secondo le ricerche di Cisco TRAC/SIO, il 90% dei clienti Cisco utilizza una versione di Java 7 Runtime Environment, la versione più recente del programma. Questo è positivo dal punto di vista della sicurezza, poiché tale versione dovrebbe offrire una maggiore protezione dalle vulnerabilità.
31 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Tuttavia, le ricerche di Cisco TRAC/SIO mostrano anche che il 76% delle aziende che utilizzano soluzioni Cisco impiega Java 6 Runtime Environment in aggiunta a Java 7. Java 6 è una versione precedente che, avendo raggiunto la fine del proprio ciclo di vita, non è più supportata. Spesso le aziende installano entrambe le versioni di Java Runtime Environment perché applicazioni diverse possono utilizzare versioni differenti per l'esecuzione del codice Java. In ogni caso, poiché più di tre quarti delle aziende intervistate da Cisco utilizzano una soluzione al termine del ciclo di vita, con vulnerabilità per cui potrebbero non essere mai rese disponibili patch, i criminali hanno numerose opportunità di sfruttare i punti deboli.
I rilevamenti di malware Web Java nel 2013 hanno raggiunto il picco nel mese di aprile, arrivando al 14% di tutto il malware Web rilevato. Tali rilevamenti hanno fatto registrare il livello più basso a maggio e giugno 2013, scendendo a circa il 6% e il 5% di tutto il malware Web rilevato, rispettivamente (figura 13).
Nei mesi scorsi, Oracle ha annunciato che non inserirà più gli aggiornamenti di Java SE 6 nel proprio sito di download pubblico, anche se gli aggiornamenti esistenti di Java SE 6 saranno disponibili nell'archivio relativo a Java in Oracle Technology Network.
Per gli esperti della sicurezza che dispongono di tempo limitato da dedicare agli exploit Web, concentrare l'attenzione su Java è sicuramente un approccio efficiente.
FIGURA 13
I rilevamenti di malware Web Java nel 2013Fonte: Cisco TRAC/SIO
NovOttSetAgoLugGiuMagAprMarFeb
Mese
Gen
7,50
%
6,75
%
9,00
%
14,0
0%
6,00
%
5,00
%
12,2
5%
7,50
%
6,25
%
9,50
%
6,50
%
0
2%
4%
6%
10%
8%
12%
14%
32 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
BYOD e mobilità: il livello di maturità dei dispositivi favorisce i crimini informaticiGli autori di crimini informatici e i loro bersagli affrontano lo stesso problema: entrambi vogliono sfruttare al meglio le tendenze BYOD (Bring Your Own Device) e della mobilità per ottenere un vantaggio di business.
Due fattori sembrano favorire i criminali a mantenere il proprio vantaggio. Il primo è il livello di maturità delle piattaforme mobili. Gli esperti della sicurezza Cisco osservano che più gli smartphone, i tablet e gli altri dispositivi offrono prestazioni simili a quelle dei computer desktop e laptop tradizionali, più risulta facile progettare malware per tali dispositivi.
Il secondo fattore è la diffusione delle app per dispositivi mobili. Quando gli utenti scaricano le app per dispositivi mobili, essenzialmente installano un client leggero nell'endpoint ed eseguono il download di codice. Un altro problema è dato dal fatto che molti utenti scaricano regolarmente le app senza preoccuparsi della sicurezza.
Al tempo stesso, oggi i team della sicurezza devono affrontare il cosiddetto problema “any-to-any”: come proteggere qualsiasi utente, su qualsiasi dispositivo, ovunque si trovi, durante l'accesso a qualsiasi applicazione o risorsa della rete.15 La tendenza BYOD non fa altro che complicare le cose. È difficile gestire tutti questi tipi di apparecchiature, in particolare con un budget IT limitato. In un ambiente BYOD, per il CISO è particolarmente importante avere la certezza che i dati siano strettamente controllati.
La mobilità offre nuovi metodi per compromettere utenti e dati. I ricercatori Cisco hanno osservato i casi di utilizzo dei canali wireless per intercettare e ottenere l'accesso ai dati scambiati tramite questi canali. La mobilità presenta anche numerosi problemi di sicurezza per le aziende, inclusa la perdita di proprietà intellettuale e di altri dati sensibili, in caso di furto o smarrimento del dispositivo non protetto di un dipendente.
Molti utenti scaricano regolarmente le app senza preoccuparsi
della sicurezza.
33 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Secondo gli esperti di Cisco, una soluzione per migliorare la sicurezza nelle imprese è l'istituzione di un programma formale per verificare la protezione dei dispositivi mobili prima di consentire loro l'accesso alla rete aziendale. Come minimo, deve essere richiesto il blocco tramite codice PIN (Personal Identification Number) per l'autenticazione degli utenti e il team di sicurezza deve essere in grado di disattivare il dispositivo o cancellarne i dati in remoto in caso di furto o smarrimento.
Le tendenze del malware per dispositivi mobili nel 2013
La seguente ricerca sulle tendenze del malware per dispositivi mobili nel corso del 2013 è stata condotta da Cisco TRAC/SIO e Sourcefire, ora acquisita da Cisco.
Il malware destinato a dispositivi mobili specifici costituisce appena l'1,2% di tutti i rilevamenti di malware Web nel 2013. Anche se non costituisce una percentuale significativa, vale comunque la pena sottolineare questo aspetto perché il malware per dispositivi mobili rappresenta senza dubbio un nuovo territorio da esplorare per gli sviluppatori di malware.
Secondo i ricercatori di Cisco TRAC/SIO, tra tutto il malware progettato per compromettere un dispositivo mobile, il 99% dei rilevamenti riguarda i dispositivi Android. Al secondo posto nel 2013 si sono posizionati i trojan destinati ai dispositivi con Java Micro Edition (J2ME), con lo 0,84% sul totale dei rilevamenti di malware per dispositivi mobili.
Tuttavia, non tutto il malware per dispositivi mobili è progettato per dispositivi specifici. Numerosi rilevamenti riguardano phishing, likejacking o altri espedienti di social engineering oppure reindirizzamenti forzati a siti Web diversi da quelli previsti. Un'analisi degli agenti utente da parte di Cisco TRAC/SIO rivela che gli utenti di Android fanno registrare le percentuali di rilevamento più elevate di tutte le forme di malware diffuso tramite il Web (71%), seguiti dagli utenti di Apple iPhone con il 14% di tutti i rilevamenti di malware Web (figura 14).
I ricercatori di Cisco TRAC/SIO hanno anche evidenziato tentativi di trarre profitto dalle compromissioni di Android nel 2013, inclusa la diffusione di adware e spyware per le aziende di piccole e medie dimensioni (PMI).
In base alle ricerche di Cisco TRAC/SIO, Andr/Qdplugin-A è stato il tipo di malware per dispositivi mobili rilevato più di frequente, con una percentuale del 43,8%. In genere la diffusione ha avuto luogo attraverso copie di app legittime, realizzate tramite la ricreazione dei pacchetti e distribuite attraverso marketplace non ufficiali (figura 15).
Il malware destinato a dispositivi mobili specifici costituisce
appena l'1,2% di tutti i rilevamenti di malware
Web nel 2013.
34 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
FIGURA 14
I rilevamenti di malware Web per tipo di dispositivo mobileFonte: report di Cisco Cloud Web Security
Andr
oid
iPho
ne
iPad
Blac
kBer
ry
Noki
a
Sym
bian
iPod
Huaw
ei
Win
dow
sPh
one
Mot
orol
a
Play
stat
ion
Nook
Zune
WP
Kind
le
Win
dow
s CE
0
40%
20%
80%
60%
100%
FIGURA 15
I primi dieci rilevamenti di malware Web per dispositivi mobili nel 2013 Fonte: report di Cisco Cloud Web Security
Andr
/Qdp
lugi
n-A
Andr
/New
year
L-B
Andr
/Sm
sSpy
-J
Andr
/SM
SSen
d-B
Andr
/Spy
-AAH
Troj
an.A
ndro
idO
S.Pl
angt
on.a
Andr
/Dro
idRt
-A
Andr
/Gm
aste
r-E
Andr
oidO
S.W
oobo
o.a
Troj
an-S
MS.
Andr
oidO
S.Ag
ent.a
o
Andr
/Dro
idRt
-C
0
20%
10%
40%
30%
50%
35 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
FIGURA 16
Le principali famiglie di malware per Android registrate nel 2013NOTA: SMSSend corrisponde al 98% di tutto il malware per Android; il 2% rimanente è illustrato in proporzione. Fonte: Sourcefire
16%
14%11% 10% 7%
7%
6% 4% 4%4%
4%
Andr.T
rojan
DroidK
ungF
u
Andr
.Tro
jan.
Opfa
ke
Andr
.Tro
jan.
Anse
rver
Andr
.Exp
loit.
Gin
gerb
reak
Andr
.Exp
loit.
Ratc
BC.E
xplo
it.An
drAn
dr.E
xplo
it.Ex
ploi
dAn
dr.T
roja
n.St
els
Andr
.Tro
jan.
Gein
imi
Adnr
.Troj
an.D
roid
Drea
mLig
ht
(>1%
) And
r.Tro
jan.
NotC
ompa
tible
(>1%
) And
r.Tro
jan.
Rogu
eSPP
ush
(>1%
) And
r.Tro
jan.
TGLo
ader
(>1%
) And
r.Tro
jan.
Ackp
osts
(>1%
) And
r.Tro
jan.
OBa
d
(>1%
) And
r.Tro
jan.
Chu
li
(>1%
) And
r.Tro
jan.
Gin
gerM
aste
r
(>1%
) And
r.Tro
jan.
Badn
ews
(>1%
) And
r.Tro
jan.
Fake
Tim
er
(1%
) And
r.Tro
jan.
Gon
esix
ty(1
%) A
ndr.T
roja
n.Km
in(1
%) A
ndr.T
roja
n.Zs
one
(1%
) And
r.Tro
jan.
Plan
kton
Andr
.Troj
an.A
drd
Andr.T
rojan
.Gold
drea
m
Andr.T
rojan
.And
rora
t
(2%) And
r.Tro
jan.P
japps
(2%) And
r.Troj
an.YZHC
3%3%
3%
98%Andr.SMSSend
36 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Attacchi mirati: liberarsi degli intrusi persistentiÈ molto probabile che la rete di ogni azienda abbia già subito infiltrazioni attraverso attacchi mirati.
Quando penetrano in una rete, gli intrusi tendono a restarci, sottraendo dati senza farsi scoprire o utilizzando risorse di rete per eseguire il “pivoting” e quindi attaccare altre entità (per ulteriori informazioni sul pivoting, vedere pagina 18). I danni vanno al di là del furto di dati o dell'interruzione delle attività aziendali: la credibilità agli occhi di partner e clienti può venir meno se questi attacchi non vengono contrastati in modo tempestivo.
Gli attacchi mirati minacciano la proprietà intellettuale, i dati sui clienti e le informazioni sensibili della pubblica amministrazione. I loro autori utilizzano strumenti sofisticati che aggirano l'infrastruttura di sicurezza delle aziende. I criminali si impegnano al massimo per far sì che le violazioni non vengano rilevate, utilizzando metodi che lasciano tracce quasi impercettibili in termini di “indicatori di compromissione” (IoC). Il loro approccio metodico per ottenere l'accesso alle reti e portare a termine la propria missione si basa su una sequenza di attacco, ovvero: una serie precisa di eventi per preparare e portare a termine un attacco.
Dopo aver trovato una posizione in rete in cui nascondersi, gli strumenti usati in questi attacchi mirati eseguono le proprie attività in modo efficiente e, in genere, senza farsi notare.
I criminali si impegnano al massimo per far sì che le violazioni non vengano
rilevate.
37 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
FIGURA 17
La sequenza di attacco Per comprendere la varietà delle minacce esistenti e difendere la rete in modo efficace, gli esperti della sicurezza IT devono adottare lo stesso punto di vista degli autori degli attacchi. Una conoscenza approfondita dell'approccio metodico utilizzato dai criminali per raggiungere i propri obiettivi permette alle aziende potenziare le proprie difese. La sequenza di attacco, una versione semplificata della “cyber kill chain”, descrive gli eventi preparatori di un attacco e quelli che si verificano nelle sue varie fasi.
1. SondaggioSi ottiene un quadro d'insieme dell'ambiente: rete, endpoint, dispositivi mobili e ambienti virtuali, incluse le tecnologie implementate per la sicurezza.
2. SviluppoViene creato il malware mirato e sensibile al contesto.
3. TestSi veri�ca che il malware funzioni come previsto, soprattutto al �ne di eludere gli strumenti di sicurezza.
4. EsecuzioneCi si muove all'interno della rete estesa, prestando attenzione all'ambiente, evitando il rilevamento e muovendosi lateralmente �no a raggiungere il bersaglio.
5. Raggiungimento dell'obiettivoVengono raccolti i dati, provocate interruzioni dei servizi o danni.
38 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Panoramica del malware: tendenze del 2013Gli esperti della sicurezza di Cisco ricercano e analizzano continuamente il traffico del malware e delle altre minacce rilevate per poter prevedere eventuali attacchi futuri e individuare le nuove minacce.
FIGURA 18
Le categorie principali di malware In questa figura sono illustrate le categorie principali di malware. I trojan sono il tipo di malware più comune, seguiti dall'adware. Fonte: Sourcefire (soluzioni ClamAV e FireAMP)
Troj
an
Adw
are
Wor
m
Viru
s
Dow
nloa
der
Drop
per (
0%)
64% 20% 8% 4% 4%
FIGURA 19
Le famiglie principali di malware per Windows In questa figura sono illustrate le famiglie principali di malware per Windows. La più vasta, Trojan.Onlinegames, comprende principalmente password stealer. Viene rilevata dalla soluzione antivirus ClamAV di Sourcefire. Fonte: Sourcefire (soluzione ClamAV)
Onl
ineg
ames
Mul
tiplu
g(A
dwar
e)
Syfr
o
Meg
asea
rch
Zeus
bot
Gam
evan
ce
Blac
khol
e
Hupi
gon
Spye
ye (>
1%)
41% 14% 11% 10% 10% 7% 4% 3%
39 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
FIGURA 20
Le prime dieci categorie di host di malware Web nel 2013 In questa figura sono illustrati gli host di malware più frequenti, in base alle ricerche di Cisco TRAC/SIO. Fonte: report di Cisco Cloud Web Security
0Gen OttSetAgoLugGiuMagAprMarFeb
5%
10%
15%
20%
25%
30%
35%
40%
Mese
Annunci
Aziende e settore
Community online
Computer e Internet
Infrastruttura
NotizieAcquisti
Motori di ricerca e portali
Web hosting
Non classi�cato
Altro
Nov
45%
FIGURA 21
Le categorie di malware per percentuale di rilevamenti totali nel 2013Fonte: Cisco TRAC/SIO
Troj
an m
ultif
unzi
one
iFra
me
ed e
xplo
it
Troj
an p
er il
furt
o di
dat
i
Dow
nloa
der
e dr
oppe
r
Rans
omw
are
e sc
arew
are
Wor
m e
viru
s
(1%
)SM
S, p
hish
ing
e lik
ejac
king
(1%
)C
ostr
utto
rie
stru
men
ti di
hac
king
27% 23% 22% 17% 5% 3%
40 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
FIGURA 22
Gli host e gli indirizzi IP univoci di malware nel 2013 Fonte: report di Cisco Cloud Web Security
NovOttSetAgoLugGiuMagAprMarFeb
Hostunivoci
Mese
IPunivoci
Gen0
10.000
30.000
20.000
50.000
40.000
60.000
Le ricerche di Cisco TRAC/SIO mostrano che il malware diffuso tramite il Web e rilevato più di frequente nel 2013 è rappresentato dai trojan multifunzione, con il 27% dei rilevamenti. Gli script dannosi, come exploit e iframe, sono la seconda categoria rilevata più di frequente, con il 23% dei rilevamenti. I trojan per il furto di dati, come password stealer e backdoor, rappresentano il 22% dei rilevamenti di malware Web, mentre i downloader e i trojan dropper sono al quarto posto, con il 17% dei rilevamenti (vedere la figura 21).
La diminuzione costante del numero di host e indirizzi IP univoci di malware (una diminuzione del 30% tra gennaio 2013 e settembre 2013) suggerisce che attualmente il malware si concentra in meno host e meno indirizzi IP (figura 22). Nota: un indirizzo IP può ospitare siti Web per più domini. Poiché il numero di host è in diminuzione, mentre il totale del malware rimane costante, il valore e la reputazione di questi host assumono una maggiore importanza, perché il loro utilizzo favorisce le attività criminali.
41 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Principali bersagli: i segmenti verticaliSecondo le ricerche di Cisco TRAC/SIO, le aziende in segmenti verticali con profitti elevati, come il settore chimico e farmaceutico e la produzione di componenti elettronici, fanno registrare percentuali superiori di rilevamenti di malware Web.
La percentuale aumenta o diminuisce parallelamente all'aumento o alla diminuzione del valore di beni e servizi di un particolare segmento verticale.
I ricercatori di Cisco TRAC/SIO hanno osservato un notevole aumento dei rilevamenti di malware nel settore agricolo e in quello minerario, in precedenza considerati relativamente a basso rischio. L'aumento dei rilevamenti di malware in questi settori viene attribuito al tentativo da parte dei criminali informatici di approfittare di tendenze come la minore disponibilità di risorse di metalli preziosi e la riduzione delle forniture alimentari dovuta a fattori climatici.
In continuo aumento sono anche i rilevamenti di malware nel settore dell'elettronica. Gli esperti della sicurezza di Cisco indicano che il malware destinato a questo segmento verticale in genere è progettato per consentire ai criminali di impadronirsi di proprietà intellettuale, che viene quindi usata per ottenere un vantaggio sulla concorrenza o venduta al migliore offerente.
Per determinare le percentuali di rilevamento di malware per gli specifici settori, i ricercatori di Cisco TRAC/SIO confrontano la percentuale di rilevamento mediana per tutte le aziende che utilizzano Cisco Cloud Web Security con la percentuale di rilevamento mediana per tutte le aziende in uno specifico settore che utilizzano il servizio. Una percentuale di rilevamenti superiore al 100% indica un rischio
Watering hole: nessuna tregua per le aziende colpite
Uno dei modi in cui i criminali tentano di diffondere il malware nelle aziende di specifici segmenti verticali è l'utilizzo di attacchi “watering hole”. Come un cacciatore che osserva la preda, gli autori di crimini informatici che desiderano colpire un particolare gruppo (ad esempio, le persone che lavorano nel settore dell'aviazione) monitorano i siti Web frequentati dal gruppo, infettano con malware uno o più di questi siti e quindi attendono che almeno un utente del gruppo visiti il sito e venga compromesso.
Un attacco watering hole sfrutta la fiducia degli utenti attraverso l’uso di siti Web legittimi. Rappresenta anche una forma di spear phishing. Tuttavia, mentre lo spear phishing è rivolto contro singoli individui selezionati, gli attacchi watering hole sono studiati colpire gruppi di persone con interessi comuni. Gli attacchi watering hole non fanno distinzione: chiunque visiti un sito infetto è un potenziale bersaglio.
Alla fine di aprile, è stato lanciato un attacco watering hole da specifiche pagine con contenuti relativi all'energia nucleare nel sito Web del Dipartimento del Lavoro degli Stati Uniti.16 A partire dall'inizio di maggio 2013, i ricercatori di Cisco TRAC/SIO hanno osservato un ulteriore attacco watering hole originato da
Continua alla pagina successiva
42 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
diversi altri siti del settore energetico e petrolifero. Alcune analogie, come il modo specifico in cui è stato predisposto un exploit utilizzato in entrambi gli attacchi, hanno fatto pensare a una possibile relazione tra i due episodi. Le ricerche di Cisco TRAC/SIO hanno anche riscontrato l'utilizzo dello stesso strumento di progettazione Web e del medesimo provider di hosting per molti dei siti. Questo potrebbe implicare che la compromissione abbia avuto inizio attraverso attività di phishing o con un furto per impossessarsi delle credenziali di tale provider.17
Per proteggere gli utenti da questi attacchi, è necessario mantenere sempre aggiornati computer e browser Web, in modo da ridurre al minimo il numero di vulnerabilità che possono essere sfruttate. È anche essenziale filtrare il traffico Web e verificare che non contenga malware prima che raggiunga il browser dell'utente.
Continua dalla pagina precedente
di rilevamenti di malware Web superiore alla norma, mentre una percentuale inferiore al 100% indica un rischio minore. Ad esempio, un'azienda con una percentuale di rilevamenti del 170% presenta un rischio maggiore del 70% rispetto alla mediana. Un'azienda con una percentuale di rilevamento del 70% presenta invece un rischio inferiore del 30% rispetto alla mediana (figura 23).
FIGURA 23
I rilevamenti di malware Web e i rischi per settore nel 2013 Fonte: report di Cisco Cloud Web Security
Contabilità
Agricoltura e settore minerario
Settore automobilistico
Aviazione
Banche e �nanza
Istituzioni bene�che e ONG
Associazioni e organizzazioni
Istruzione
Elettronica
Energia, petrolio e gas
Ingegneria ed edilizia
Intrattenimento
Servizi di ristorazione
Pubblica amministrazione
SanitàSistemi di riscaldamento,
idraulici e di condizionamentoIT e telecomunicazioni
Industria
Assicurazioni
Legale
Settore manifatturiero
Media ed editoria
Settore farmaceutico e chimico
Servizi professionali
Gestione immobiliare
Vendita al dettaglio e all'ingrosso
Trasporti e spedizioni
Viaggi e tempo libero
Servizi pubblici
0 100% 200% 300% 400% 500% 600% 700%
43 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Le fratture di un ecosistema fragile I criminali informatici si rendono conto che riuscire a sfruttare la potenza dell'infrastruttura Internet comporta molti più vantaggi che ottenere l'accesso ai singoli computer.
La tendenza più recente degli exploit dannosi è ottenere l'accesso a server di Web hosting, server dei nomi e data center, con l'obiettivo di trarre vantaggio dall'enorme potenza di elaborazione e larghezza di banda che forniscono. Attraverso questo approccio, gli exploit possono raggiungere molti più utenti di computer inconsapevoli e produrre un impatto molto più vasto sulle aziende colpite, indipendentemente da quale sia l'obiettivo: rivendicare una posizione politica, indebolire un avversario o realizzare guadagni.
FIGURA 24
La strategia di infezione efficiente
Server host compromesso
Sito Webcompromesso
Sito Webcompromesso
Sito Webcompromesso
Sito Webcompromesso
Sito Webcompromesso
44 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Questa tendenza agli attacchi contro l'infrastruttura Internet sostanzialmente rende il Web inaffidabile. I metodi utilizzati per ottenere l'accesso ai server host possono variare e includono tattiche come trojan su workstation di gestione che rubano credenziali di accesso, vulnerabilità negli strumenti di gestione di terze parti utilizzati sui server e tentativi di accesso brute-force (vedere pagina 53). Anche eventuali vulnerabilità sconosciute nello stesso software del server possono fornire punti d'ingresso.
Un solo server host compromesso può infettare migliaia di siti Web e proprietari di siti in tutto il mondo (figura 24).
I siti Web ospitati nei server compromessi agiscono sia come redirector (l'elemento intermedio nella catena di infezione) che come archivio di malware. Invece di molti siti compromessi che caricano malware da pochi domini dannosi, oggi i domini dannosi si moltiplicano rendendo molto più complicate le azioni di contrasto.
I server dei nomi di dominio sono i principali bersagli in questa nuova generazione di attacchi, con metodi che sono ancora in fase di studio. Gli indicatori dimostrano che, oltre ai singoli siti Web e server host, è in corso la compromissione anche dei server dei nomi di determinati provider di hosting. Secondo i ricercatori di Cisco che si occupano di sicurezza, questa tendenza verso gli attacchi contro l'infrastruttura Internet determina un cambiamento notevole nel panorama delle minacce, perché cede ai criminali informatici il controllo di una porzione significativa del Web.
“I crimini informatici sono diventati tanto redditizi e diffusi da richiedere un'infrastruttura potente per continuare a perpetrarli”, spiega Gavin Reid, direttore di Cisco per i dati sulle minacce.
“Compromettendo i server host e i data center, gli autori degli attacchi non solo ottengono l'accesso a grandi quantità di larghezza di banda, ma possono anche sfruttare i vantaggi offerti da tali risorse in termini di disponibilità continua”.
“I crimini informatici sono diventati tanto redditizi e diffusi da richiedere un'infrastruttura potente per continuare a perpetrarli”.Gavin Reid, direttore di Cisco per i dati sulle minacce
[
]
45 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Trovare le connessioni tra gli attacchi: DarkLeech e Linux/CDorked
La campagna di attacco DarkLeech segnalata da Cisco nel 201318 mostra che la compromissione dei server host può rappresentare il punto di partenza per una campagna di maggiori dimensioni. Secondo le stime, gli attacchi DarkLeech hanno compromesso, in un breve periodo di tempo, almeno 20.00019 siti Web legittimi di tutto il mondo che utilizzano il software server HTTP Apache. I siti sono stati infettati tramite una backdoor di Secure Shell Daemon (SSHD) che ha consentito agli autori dell'attacco di caricare e configurare moduli Apache dannosi. La compromissione ha consentito di inserire dinamicamente iframe (elementi HTML) in tempo reale nei siti Web ospitati, che distribuivano il codice dell'exploit e altro contenuto dannoso tramite il kit di exploit Blackhole.
Poiché gli inserimenti di iframe DarkLeech avvengono solo al momento della visita a un sito, i segni dell'infezione potrebbero non risultare immediatamente evidenti. Inoltre, per evitare il rilevamento della compromissione, i criminali utilizzano una sofisticata matrice di criteri
FIGURA 25
Le compromissioni di server DarkLeech per paese nel 2013Fonte: Cisco TRAC/SIO
58% Stati Uniti
2% Italia
0,5% Turchia
0,5% Cipro
1% Svizzera
0,5% Altri
2% Spagna
1% Australia
1% Giappone
0,5% Malesia
1% Lituania
0,5% Danimarca
1% Paesi Bassi
9% Germania 1% Belgio
2% Singapore
2% Thailandia
3% Canada
10% Regno Unito
2% Francia
0,5% Irlanda
46 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
FIGURA 26
Le risposte dei server compromessi da DarkLeechFonte: Cisco TRAC/SIO
0.5% Apache/CentOS
43% Apache/2.2.3 CentOS
39% Apache - non speci�cato
8% Apache/2.2.3 RedHat
7% Apache/2.2.22
2% Apache/2.2.8
condizionali, ad esempio inserendo l'iframe solo se il visitatore proviene dalla pagina dei risultati di un motore di ricerca, evitando di inserire l'iframe se l'indirizzo IP del visitatore corrisponde a quello del proprietario del sito o del provider di hosting e inserendo l'iframe solo una volta ogni 24 ore per i singoli visitatori.
Le indagini di Cisco TRAC/SIO hanno rivelato che le compromissioni DarkLeech hanno avuto luogo in tutto il mondo. Naturalmente, i paesi con il maggior numero di provider di hosting hanno fatto registrare le percentuali di infezione più alte.
I ricercatori di Cisco SIO/TRAC hanno eseguito query su migliaia di server compromessi per verificare la distribuzione delle versioni del software server interessate.
Nel mese di aprile 2013 è stata rilevata un'altra backdoor dannosa con cui sono stati infettati centinaia di server che eseguivano il software server HTTP Apache. Linux/CDorked20 ha sostituito il file binario HTTPD nelle versioni di Apache installate tramite cPanel. Sono state
47 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
anche rilevate backdoor analoghe destinate a Nginx e Lighttpd. Con metodi di attacco altrettanto selettivi di quelli di DarkLeech, anche CDorked utilizza criteri condizionali per inserire in modo dinamico gli iframe nei siti Web ospitati sul server interessato. A qualsiasi visitatore che esplora un sito Web infetto viene distribuito contenuto pericoloso da un altro sito Web dannoso, dove un toolkit crimeware tenta di compromettere ulteriormente il PC dell'utente.21
Una caratteristica unica di Linux/CDorked è il fatto che cambia periodicamente i domini dei siti Web, in media ogni 24 ore. I pochi siti compromessi vengono utilizzati per un periodo di tempo superiore. Pertanto, anche se viene segnalato un dominio malware, gli autori dell'attacco si sono già spostati. Inoltre, con Linux/CDorked i provider di hosting vengono cambiati di frequente (ogni due settimane circa), cambiando periodicamente gli host compromessi per evitare il rilevamento. I server dei nomi compromessi presso questi stessi provider di hosting consentono agli autori degli attacchi di spostarsi da un host all'altro senza perdere il controllo dei domini durante il passaggio. Una volta penetrati in un nuovo host, gli autori degli attacchi iniziano un ciclo di nuovi domini, spesso utilizzando nomi di dominio secondo lo stile typosquatting22 nel tentativo di apparire legittimi a un osservatore distratto.
Le analisi dei modelli di traffico eseguite da Cisco TRAC/SIO per CDorked sembrano indicare una probabile connessione con DarkLeech. In particolare, l'URL referrer opportunamente codificato impiegato da CDorked rivela traffico da DarkLeech. Tuttavia, non è questo il cambiamento più interessante in relazione al malware: sia CDorked che DarkLeech sembrano elementi di una strategia più complessa e di ampia portata.
“La sofisticatezza di queste compromissioni suggerisce che i criminali informatici abbiano ottenuto un notevole controllo su migliaia di siti Web e più server host, inclusi i server dei nomi impiegati da tali host”, spiega Gavin Reid, direttore di Cisco per i dati sulle minacce. “In combinazione con la recente ondata di attacchi con accesso brute-force contro singoli siti Web, sembra che stiamo assistendo a un cambiamento di direzione, in cui l'infrastruttura del Web viene utilizzata per formare quella che può solo essere descritta come una grande, e potente, botnet. Questa überbot può essere utilizzata per inviare spam, distribuire malware e lanciare attacchi DDoS su una scala senza precedenti”.
CDorked e DarkLeech sembrano elementi di una strategia più complessa
e di ampia portata.
48 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Il traffico dannoso, spesso indizio di attacchi mirati, è rilevato in tutte le reti aziendaliUn'analisi condotta da Cisco sulle tendenze dei dati sulle minacce indica che nel 100% delle reti aziendali viene rilevato traffico dannoso. Questo dimostra che i criminali particolarmente preparati o altri soggetti sono riusciti a penetrare nelle reti e potrebbero operare di nascosto e indisturbati a lungo.
Tutte le aziende dovrebbero dare per scontato di aver subito almeno una violazione. Non si tratta di determinare se si subirà un attacco, ma piuttosto quando si verificherà e quanto tempo durerà.
In un recente progetto in cui sono state esaminate le ricerche di DNS (Domain Name Service) originate dall'interno delle reti aziendali, gli esperti di Cisco che si occupano dei dati sulle minacce hanno constatato, nella totalità dei casi, l'utilizzo inappropriato o la compromissione delle reti (figura 27). Ad esempio, il 100% delle reti aziendali analizzate da Cisco presenta traffico destinato a siti Web che contengono malware, mentre il 92% genera traffico verso pagine Web prive di contenuto, che in genere mascherano attività dannose. Il 96% delle reti prese in esame rivela traffico verso server manomessi.
Cisco ha anche rilevato traffico diretto verso siti Web della pubblica amministrazione o di organizzazioni militari all'interno di aziende che normalmente non hanno a che fare con entità di questo tipo, nonché verso siti Web in aree geografiche ad alto rischio, come paesi sottoposti a embargo commerciale da parte degli Stati Uniti. Cisco ha osservato che tali siti potrebbero essere stati utilizzati per via della reputazione generalmente buona di cui godono le organizzazioni pubbliche o governative. Il traffico verso questi siti potrebbe non essere necessariamente il segno di una compromissione, ma per le aziende che non abitualmente non intrattengono rapporti con la pubblica amministrazione o con le organizzazioni militari, questo tipo di traffico potrebbe indicare che le reti sono state compromesse in modo da consentire ai criminali di utilizzarle per violare siti Web e reti militari o della pubblica amministrazione.
[
]
49 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Nonostante gli sforzi per mantenere le minacce al di fuori delle reti, in tutte le aziende esaminate da Cisco nel 2013 sono stati riscontrati segni di traffico sospetto. Il traffico identificato tramite le ricerche di DNS può fornire validi indicatori di compromissione e merita ulteriori indagini da parte delle aziende che desiderano fermare gli autori di queste minacce difficili da rilevare nelle proprie reti. Si tratta di un metodo per aumentare la visibilità su attività criminali che in genere sono molto difficili da individuare.
FIGURA 27
La diffusione del traffico dannoso
100%
100%
96%
92%
88%
79%
71%
50%
Malware molto pericoloso
Connessioni a domini noti come siti di malware o vettori di minacce.
Pubblica amministrazione e organizzazioni militari
Tra co eccessivo e sospetto verso posizioni che in genere non vengono contattate dal pubblico.
Manomissione dell'infrastruttura
Connessioni a siti o infrastruttura noti per essere stati compromessi o manomessi.
Siti privi di contenuto Connessioni a siti vuoti che potrebbero contenere codice per l'inserimento di malware nei sistemi.
Connessioni FTP sospette Connessioni impreviste a siti FTP irregolari.
Connessioni VPN sospette
Connessioni dall'interno di un'azienda/organizzazione a siti VPN sospetti.
Minacce mediante istituti di istruzione
Connessioni a università in posizioni sospette, potenzialmente utilizzabili come punti di pivoting per altri tipi di malware.
Pornogra�a Volume molto elevato di tentativi di connettersi a siti di pornogra�a noti.
50 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
CISCO SECURITY RESEARCH
Le nuove tendenze del bitsquatting e i nuovi metodi per bloccare gli attacchi
Il cybersquatting, ovvero la pratica di registrare nomi di dominio identici o simili a quelli di marchi ben noti in modo da generare confusione, è uno strumento utilizzato da tempo dai criminali informatici. Di recente, il “bitsquatting”, cioè la registrazione di nomi di dominio con un solo numero binario di differenza rispetto al dominio originale, è diventato un altro metodo per reindirizzare il traffico Internet verso siti che contengono malware o truffe.
Il bitsquatting è una forma di cybersquatting che sfrutta gli errori di bit nella memoria dei computer. Un errore di memoria si verifica ogni volta che lo stato di uno o più bit letti dalla memoria cambia rispetto a quello scritto in precedenza. Questi errori di memoria possono essere causati da molti fattori, inclusi i raggi cosmici (particelle energetiche che colpiscono la Terra a una frequenza di 10.000 per metro quadro al secondo), l'utilizzo di un dispositivo al di fuori dei parametri ambientali consigliati, difetti di fabbricazione e perfino esplosioni nucleari a basso rendimento.
Cambiando un singolo bit, un dominio come “twitter.com” può diventare il dominio bitsquat “twitte2.com”. L'autore di un attacco può semplicemente registrare un dominio bitsquat, attendere che si verifichi un errore di memoria e quindi intercettare il traffico Internet.
I ricercatori che si occupano di sicurezza ritengono che gli attacchi di bitsquatting abbiano maggiore probabilità di verificarsi contro i nomi di dominio risolti di frequente, perché è più probabile che questi domini siano presenti in memoria quando si verificano gli errori di bit. Tuttavia, secondo le previsioni formulate in recenti ricerche di Cisco, i domini che in precedenza non venivano considerati sufficientemente “popolari” per un attacco in realtà producono quantità utili di traffico bitsquat. Questo avviene perché sia la quantità di memoria per ogni dispositivo che il numero di dispositivi connessi a Internet sono in aumento: in base alle stime di Cisco, entro il 2020 37 miliardi di “oggetti intelligenti” saranno connessi a Internet.23
I vettori di attacco del bitsquatting
Cisco TRAC/SIO ha identificato alcuni nuovi vettori di attacco per il bitsquatting.
• Bitsquatting dei delimitatori dei sottodomini: in base alla sintassi accettata per le etichette dei nomi di dominio, gli unici caratteri validi in un nome di dominio sono A-Z, a-z, 0-9 e il trattino. Tuttavia, durante il controllo dei domini bitsquat, limitando la ricerca a questi caratteri si trascura un importante carattere che è comunque valido all'interno dei nomi di dominio: il punto. Una nuova tecnica di bitsquatting sfrutta gli errori di bit che determinano la trasformazione della lettera “n” (valore binario 01101110) in un punto “.” (valore binario 00101110) e viceversa.
• Delimitatori di sottodomini in cui “n” diventa “.”: secondo una variazione della tecnica precedente, se un nome di dominio di secondo livello contiene la lettera “n” seguita da due o più caratteri, si è in presenza di un potenziale bitsquat. Ad esempio, “windowsupdate.com” potrebbe diventare “dowsupdate.com”.
• Bitsquat di delimitatori di URL: gli URL rappresentano un contesto molto comune per i nomi di dominio. In un tipico URL le barre “/” operano come delimitatori, che separano lo schema, il nome dell'host e il percorso URL. Cambiando un solo bit, la barra (valore binario 00101111) può diventare la lettera “o” (valore binario 01101111) e viceversa.
Continua alla pagina successiva
51 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I dati sulle minacce
Impedire gli attacchi di bitsquatting con una RPZ bitsquat
Se le due tecniche di mitigazione utilizzate più di frequente per impedire il bitsquatting hanno senz'altro il loro posto tra gli strumenti di sicurezza disponibili, nessuna delle due è ottimale.
• Utilizzare memoria con correzioni degli errori (ECC): per rendere efficace questa soluzione, sarebbe necessario aggiornare simultaneamente l'intera base di dispositivi installati.
• Registrare il dominio bitsquat in modo che non possa essere registrato da terze parti: questo non sempre è possibile, dal momento che molti domini bitsquat sono già stati registrati. A seconda della lunghezza del nome di dominio, questa soluzione può anche rivelarsi costosa.
Fortunatamente, queste tecniche di mitigazione non sono le uniche che gli esperti della sicurezza possono implementare per proteggere gli utenti da reindirizzamenti accidentali del traffico Internet. Con un livello di adozione sufficiente, le nuove tecniche di mitigazione potrebbero eliminare quasi completamente il problema del bitsquatting.
Ad esempio, le RPZ (Response Policy Zone) rappresentano un'opzione di configurazione fin da BIND versione 9.8.1 e sono disponibili patch per le versioni precedenti di BIND (BIND è un software DNS Internet ampiamente utilizzato). Le RPZ sono file di zona locale che consentono al resolver DNS di rispondere a specifiche richieste DNS segnalando che il nome di dominio non esiste (NXDOMAIN), reindirizzando l'utente a un “walled garden” (una piattaforma chiusa) o offrendo altre possibilità.
Per attenuare gli effetti degli errori a singolo bit per gli utenti di un resolver DNS, l'amministratore del resolver può creare una RPZ che garantisca la protezione dai bitsquat dei nomi di dominio risolti di frequente o solo interni. Ad esempio, la RPZ può essere impostata in modo che qualsiasi richiesta effettuata al resolver DNS di varianti bitsquat di questi domini ottenga una risposta NXDOMAIN, “correggendo” silenziosamente gli errori di bit senza alcuna attività da parte del client in cui si verificano.24
Continua dalla pagina precedente
52 Report annuale di Cisco sulla sicurezza 2014
La panoramica del settoreGli specialisti di Cisco SIO analizzano le tendenze di settore che
vanno oltre i dati di telemetria di Cisco.
53 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore
Tentativi di accesso brute-force: una delle tattiche più diffuse per compromettere i siti WebAnche se i tentativi di accesso brute-force non rappresentano assolutamente una tattica nuova per i criminali informatici, il loro utilizzo è aumentato di tre volte nella prima metà del 2013.
Nel corso delle indagini, i ricercatori di Cisco TRAC/SIO hanno scoperto un hub di dati utilizzati per queste attività. Includeva 8,9 milioni di possibili combinazioni di nome utente e password, incluse password complesse (non del tipo “password123”, facile da violare). Le credenziali utente rubate consentono di mantenere questo elenco e altri simili sempre aggiornati.
FIGURA 28
Il funzionamento dei tentativi di accesso brute-force
Il PC contatta il server di comando e controllo e scarica un trojan.
Alle future vittime viene inviato il downloader e il ciclo si ripete.
I siti Web interessati diventa-no quindi relay di spam.
In caso di successo, il PC carica il bot PHP e altri script nel sito Web compromesso.
Il PC attacca il sito utilizzando vari exploit CMS/tentativi di accesso brute-force.
Il PC recupera i nomi dei siti da colpire dal server di comando e controllo.
54 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore
I principali bersagli dei più recenti tentativi di accesso brute-force sono piattaforme per sistemi di gestione del contenuto (CMS) ampiamente utilizzate, come WordPress e Joomla. I tentativi riusciti di accesso non autorizzato tramite una piattaforma CMS offrono agli autori dell'attacco la possibilità di caricare backdoor PHP (Hypertext Preprocessor) e altri script dannosi nei siti Web compromessi. In alcuni casi, la compromissione può consentire di arrivare fino a un server host per impossessarsene (figura 28).
Considerando che nel mondo esistono più di 67 milioni di siti WordPress, e che numerosi editori utilizzano la piattaforma per creare blog, siti di notizie, siti aziendali, riviste, social network, siti sportivi e altro ancora, non sorprende che molti criminali informatici abbiano scelto di ottenere l'accesso tramite questa piattaforma CMS.25 Anche Drupal, una piattaforma CMS in rapida crescita, è stata colpita quest'anno. Ad esempio, a maggio la società ha consigliato agli utenti di cambiare le proprie password perché “è stato effettuato un accesso non autorizzato [a Drupal] tramite software di terze parti installato nell'infrastruttura di server Drupal.org”.26
Tuttavia, non è solo la diffusione di questi sistemi a renderli dei bersagli interessanti. Molti di questi siti, anche se risultano attivi, sono stati abbandonati dai loro proprietari. Vi sono probabilmente milioni di blog abbandonati e domini acquistati inattivi, molti dei quali oggi potrebbero essere diventati di proprietà di criminali informatici. Gli esperti della sicurezza di Cisco prevedono che il problema potrà solo aggravarsi, dato che nei mercati Internet emergenti di tutto il mondo sempre più persone creeranno un blog o un sito Web, molti dei quali finiranno inevitabilmente per restare trascurati.
L'ampio uso di plug-in, progettati per estendere le funzionalità di un sistema CMS e per supportare video, animazioni e giochi, rappresenta una situazione ideale per chi desidera ottenere un accesso non autorizzato a piattaforme come WordPress e Joomla. Numerose compromissioni di CMS osservate dai ricercatori Cisco nel 2013 possono essere fatte risalire a plug-in creati nel linguaggio di scripting Web PHP, progettati in modo poco accurato e senza tenere conto della sicurezza.
Molti criminali informatici scelgono di
ottenere l'accesso tramite la piattaforma CMS
[
]
55 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore
Attacchi DDoS: una vecchia tecnica sempre attualeGli attacchi DDoS (Distributed Denial of Service), che interrompono il traffico da e verso i siti Web colpiti e possono paralizzare i provider di servizi Internet (ISP), sono in aumento sia per volume che per gravità.
Poiché gli attacchi DDoS da tempo non rappresentano più una novità in termini di tecniche per i crimini informatici, molte aziende erano certe che le misure di sicurezza adottate potessero fornire una protezione adeguata. Questa certezza è stata tuttavia messa in discussione dagli attacchi DDoS su vasta scala registrati nel 2012 e nel 2013, inclusa l'Operazione Ababil, diretta contro diversi istituti finanziari, probabilmente con motivazioni politiche.27
“Gli attacchi DDoS dovrebbero rappresentare una delle principali preoccupazioni per la sicurezza delle aziende del settore pubblico e privato nel 2014”, spiega John N. Stewart, vicepresidente senior e Chief Security Officer di Cisco. “In futuro dobbiamo aspettarci campagne ancora più vaste e prolungate. Le aziende, in particolare quelle che operano o hanno interessi in settori che rappresentano già importanti bersagli, come i servizi finanziari e l'energia, devono chiedersi se sono in grado di resistere a un attacco DDoS?”
Secondo una nuova tendenza, alcuni attacchi DDoS vengono probabilmente utilizzati per nascondere altre attività criminali, come truffe legate ai trasferimenti di fondi, durante o dopo una campagna (vedere “DarkSeoul” a pagina 57). Questi attacchi possono interferire con le attività del personale delle
AMPLIFICAZIONE DNS:
tecniche di mitigazione
Secondo gli esperti della sicurezza Cisco, gli attacchi sferrati tramite amplificazione DNS continueranno a rappresentare un rischio anche nel 2014. Open Resolver Project (openresolverproject.org) indica che, nel mese di ottobre 2013, la presenza di 28 milioni di resolver aperti su Internet rappresenta una “minaccia significativa” (si tenga presente che per l'attacco DDoS da 300 Gbps contro Spamhaus sono stati utilizzati solo 30.000 resolver aperti).
Se un resolver è aperto, non filtra le destinazioni a cui invia le risposte. DNS utilizza il protocollo UDP, che è stateless, il che significa che una richiesta può essere effettuata per conto di un'altra parte. Tale parte riceve quindi una quantità di traffico amplificata. Per questo motivo, identificare i resolver aperti (e intervenire per chiuderli) deve diventare una priorità del settore per il prossimo futuro.
Le aziende possono ridurre la possibilità di un attacco lanciato tramite amplificazione DNS in diversi modi, inclusa l'implementazione della BCP (Best Current Practice) 38 di Internet Engineering Task Force per evitare di essere l'origine di attacchi. Questa BCP raccomanda ai provider upstream di connettività IP di filtrare
Continua alla pagina successiva
[
]
56 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore
i pacchetti che entrano nelle loro reti dai clienti downstream ed eliminare qualsiasi pacchetto con un indirizzo di origine non allocato al cliente.30 Alla creazione di questa BCP ha collaborato anche Cisco, che offre linee guida per la distribuzione di uRPF, la propria implementazione.31
Un'altra tecnica di mitigazione è configurare tutti i server DNS autorevoli per l'utilizzo della limitazione della velocità. Il server dei nomi autorevole, che gestisce il dominio di un'azienda, generalmente è aperto a tutte le richieste. DNS Response Rate Limiting (DNS RRL) è una funzionalità che è possibile attivare per impedire che un server DNS risponda troppe volte alla stessa richiesta dalla stessa entità, evitando che l'azienda venga sfruttata come intermediario per attacchi DDoS. DNS RRL è abilitato nei server DNS e offre agli amministratori dei server un modo per limitare l'efficacia con cui un server può essere utilizzato negli attacchi di amplificazione. DNS Response Rate Limiting è una nuova funzionalità e non è supportata da tutti i server DNS; è comunque supportata da ISC BIND, un server DNS molto diffuso.
Inoltre, tutti i server DNS ricorsivi devono essere configurati con un elenco di controllo di accesso (ACL), in modo da rispondere solo alle query dagli host nella propria rete. Un ACL
Continua alla pagina successiva
Continua dalla pagina precedente
banche, impedire l'invio ai clienti di notifiche dei trasferimenti e impedire ai clienti di segnalare frodi. Inoltre, anche quando riesce a riprendersi da un evento del genere, un istituto non è in grado di recuperare le perdite finanziarie. Un attacco di questo tipo, che ha avuto luogo il 24 dicembre 2012 contro il sito Web di un istituto finanziario della California, “ha contribuito a distrarre i funzionari della banca dalla violazione del conto online di uno dei clienti, permettendo ai criminali di sottrarre più di 900.000 dollari”.28
I criminali informatici diventano sempre più competenti per compromettere i server host e in futuro sarà più semplice per loro lanciare attacchi DDoS e mettere a segno furti ai danni delle aziende (vedere “Le fratture di un ecosistema fragile” a pagina 43). Impadronendosi di una parte dell'infrastruttura Internet, gli autori degli attacchi possono trarre vantaggio da grandi quantità di larghezza di banda, trovandosi in una posizione ideale per lanciare un numero illimitato di potenti campagne. Hanno già iniziato: ad agosto 2013, il governo cinese ha reso noto di avere subito un attacco DDoS senza precedenti, che ha mandato fuori uso la rete Internet cinese per circa quattro ore.29
Anche gli spammer utilizzano gli attacchi DDoS per colpire le organizzazioni che ostacolano le loro attività. A marzo 2013, l'organizzazione no-profit Spamhaus, che tiene traccia degli spammer e ha creato Spamhaus Block List, una directory di indirizzi IP sospetti, è stata bersaglio di un attacco DDoS che ha reso temporaneamente non disponibile il suo sito Web e rallentato il traffico Internet a livello mondiale. Gli autori dell'attacco sarebbero affiliati a CyberBunker, un provider di hosting con condizioni di utilizzo particolarmente permissive che ha sede nei Paesi Bassi, e STOPhaus, che ha pubblicamente espresso la propria disapprovazione per l'attività di Spamhaus. L'attacco DDoS è stato sferrato dopo che il servizio Spamhaus, ampiamente utilizzato, ha incluso CyberBunker nella propria blacklist. In quella che appare una vera e propria rappresaglia, i sospetti spammer hanno tentato di portare offline Spamhaus tramite un attacco DDoS.
57 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore
non gestito correttamente può essere un fattore primario negli attacchi DNS, in particolare su server di grandi dimensioni con grandi quantità di larghezza di banda disponibile. Questa tecnica aiuta anche a ridurre la possibilità di operare come intermediari in un attacco DDoS.
“Poiché a livello di settore si sta discutendo della possibilità di consentire ai server dei nomi autorevoli di disabilitare il servizio verso le entità che finiscono per diventare intermediari in attacchi DDoS, per le aziende è consigliabile impiegare le semplici tecniche di mitigazione descritte in precedenza”, afferma Gavin Reid, direttore di Cisco per i dati sulle minacce.
Per ulteriori informazioni sulle best practice relative a DNS, fare riferimento al documento “DNS Best Practices, Network Protections, and Attack Identification”: http://www.cisco.com/web/about/security/intelligence/dns-bcp.html.
Continua dalla pagina precedente
In questo caso, è stato impiegato un attacco di amplificazione DNS, che sfrutta i resolver DNS aperti che rispondono anche alle query all'esterno del proprio intervallo IP. Inviando a un resolver aperto una query molto piccola appositamente progettata con un indirizzo di origine del bersaglio sottoposto a spoofing, gli autori dell'attacco possono generare una risposta significativamente più grande da parte del bersaglio designato. Dopo il fallimento dei tentativi iniziali di portare offline Spamhaus, gli autori dell'attacco hanno impiegato una tecnica di amplificazione DNS contro provider upstream di livello 1 e di altro tipo di Spamhaus.
DarkSeoulCome osservato nella sezione “Attacchi DDoS: una vecchia tecnica sempre attuale”, il nuovo interesse dei criminali informatici a compromettere i server host e la loro preparazione tecnica sempre più approfondita stanno rendendo più semplice lanciare attacchi DDoS e mettere a segno furti ai danni delle aziende.
Secondo i ricercatori di Cisco che si occupano di sicurezza, le future campagne DDoS saranno probabilmente in grado di interrompere i servizi e arrecare danni significativi, come perdite finanziarie dovute a furti.
Gli attacchi DarkSeoul del marzo 2013 includevano malware “wiper” progettato per distruggere i dati nei dischi rigidi di decine di migliaia di PC e server. Gli attacchi prendevano di mira istituti finanziari e aziende multimediali in Corea del Sud, con il payload impostato per attivarsi contemporaneamente. Il malware wiper tuttavia rappresenta solo un aspetto dell'attacco. Nello
58 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore
stesso momento in cui il malware è stato attivato, è stato eseguito il defacing del sito Web del provider di rete coreano LG U+ e le reti di altre aziende colpite hanno iniziato a subire interruzioni, capacità non riproducibili nel malware wiper.32
Alcuni ritengono che gli attacchi siano conseguenza della guerra informatica scatenata dalla Corea del Nord per indebolire economicamente la Corea del Sud o che rappresentino un atto di sabotaggio da parte di un altro stato. Rimane tuttavia la possibilità che gli attacchi DarkSeoul siano stati ideati per nascondere operazioni finanziarie.33
I ricercatori stanno ancora tentando di comprendere questi attacchi e di individuarne i responsabili, ma le prove indicano che la progettazione di DarkSeoul sia iniziata già nel 2011. In quell'anno, il Federal Bureau of Investigation (FBI) ha segnalato per la prima volta la diffusione di trojan per il settore bancario, progettati per nascondere trasferimenti di fondi fraudolenti dai conti delle vittime.34 Quindi, nel 2012, la società di sicurezza RSA ha reso nota la presenza di una nuova generazione di criminali informatici che starebbero ideando una sofisticata campagna trojan da lanciare in un giorno prefissato allo scopo di “prelevare denaro dal maggior numero possibile di conti compromessi prima che le operazioni vengano arrestate dai sistemi di sicurezza”.35 Infine, alla vigilia di Natale del 2012, alcuni criminali online hanno utilizzato un attacco DDoS come copertura durante un furto da un istituto finanziario della California.36
Secondo gli specialisti di Cisco TRAC/SIO, un file binario di malware identificato negli attacchi DarkSeoul contro aziende multimediali e istituti finanziari è un trojan per il settore bancario destinato specificamente ai clienti delle stesse banche coreane. Questo fatto, insieme alla sequenza temporale delle tendenze dei crimini informatici che hanno portato a DarkSeoul, indica che la campagna potrebbe essere un modo per distogliere l'attenzione dai furti.
Ransomware
Per tutto il 2013, gli autori degli attacchi si sono progressivamente allontanati dalle tradizionali infezioni di PC tramite botnet. In parte, questo cambiamento ha comportato un maggiore utilizzo del ransomware come payload malware finale da siti Web compromessi, e-mail dannose e trojan downloader. Il ransomware è una categoria di malware che impedisce il normale funzionamento dei sistemi infetti finché non viene effettuato il pagamento di una somma prestabilita.
Il ransomware assicura agli autori degli attacchi una fonte di entrate diretta, ma al tempo stesso difficile da tracciare senza l'utilizzo di servizi in lease intermedi, come quelli forniti dalle botnet tradizionali. Il successo
Per tutto il 2013, gli autori degli attacchi
si sono progressivamente allontanati dalle
tradizionali infezioni di PC tramite botnet.
[
]
59 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore
di questa nuova forma di crimine riproduce le dinamiche delle economie locali legittime in cui si è assistito a un significativo aumento delle imprese individuali come risultato della perdita di posti di lavoro e della crisi economica, ma in questo caso la motivazione dei criminali informatici è la perdita di disponibilità delle botnet e di kit di exploit accessibili dovuta alle azioni di contrasto.
Nell'autunno del 2013, un nuovo tipo di ransomware, denominato CryptoLocker, ha iniziato a crittografare i file delle vittime con una combinazione di coppie di chiavi a 2048 bit RSA e AES-256, considerate impossibili da violare. Una volta in azione, CryptoLocker non si limita al computer locale ma include i tipi di file corrispondenti in qualsiasi unità scrivibile connessa al sistema. Al termine della routine di crittografia, alle vittime viene presentata una serie di finestre di dialogo che forniscono istruzioni dettagliate per il pagamento del riscatto (figura 29). Viene inoltre visualizzato un timer che indica il tempo concesso per il pagamento (variabile da 30 a 100 ore). La finestra di dialogo segnala inoltre che, se il riscatto non viene pagato entro il periodo di tempo specificato, la chiave privata verrà eliminata dal server di comando e controllo, dopodiché risulterà impossibile decrittografare i file.
CryptoLocker ha raggiunto la massima diffusione a metà ottobre, probabilmente in risposta alla perdita dei kit di exploit Blackhole e Cool in seguito all'arresto del presunto autore di questi framework.
FIGURA 29
Le istruzioni di CryptoLocker per il pagamento del riscatto
60 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore
La carenza di esperti della sicurezza e le lacune delle soluzioniLa sofisticatezza delle tecnologie e delle tattiche utilizzate dai criminali informatici, la quantità degli attacchi e delle minacce richiedono risorse superiori alla capacità dei team IT e della sicurezza. La maggior parte delle aziende non dispone di personale o sistemi sufficienti per monitorare costantemente le reti e determinare in che modo avvengono le infiltrazioni.
La carenza di esperti della sicurezza aggrava ulteriormente il problema: anche quando i budget sono generosi, i CISO faticano a trovare personale qualificato che sia anche aggiornato sugli ultimi sviluppi e le tendenze del settore. Secondo le stime per tutto il 2014 la domanda di esperti della sicurezza resterà ancora insoddisfatta per oltre un milione di professionisti in tutto il mondo. Vi è anche una carenza di esperti della sicurezza con competenze di data science: comprendere e analizzare i dati della sicurezza può contribuire a migliorare l'allineamento agli obiettivi di business (vedere l'appendice a pagina 68, “I team della sicurezza hanno bisogno di data scientist: gli strumenti di base per l'analisi dei dati per i professionisti della sicurezza”).
I CISO faticano a trovare personale
qualificato e aggiornato sugli ultimi sviluppi e le tendenze della
sicurezza.
[
]
61 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore
Il cloud come nuovo perimetroCome riferiscono i CISO agli esperti della sicurezza di Cisco (vedere pagina 18), il trasferimento nel cloud di volumi sempre maggiori di dati aziendali importanti presenta problemi non trascurabili per la sicurezza.
Secondo Michael Fuhrman, vicepresidente dell’engineering di Cisco, la rivoluzione introdotta dal cloud è paragonabile alla diffusione delle soluzioni basate sul Web alla fine degli anni '90.
“Si è trattato di un cambiamento radicale nell'utilizzo delle nuove tecnologie da parte delle aziende e allo stesso tempo abbiamo assistito a un aumento degli attacchi online da parte dei criminali informatici”, spiega Fuhrman. “Oggi il cambiamento è introdotto dal cloud. Non solo le aziende ospitano molte delle loro applicazioni critiche nel cloud, ma stanno anche utilizzando il cloud per utilizzare e analizzare le informazioni aziendali importanti”.
La diffusione del cloud computing è innegabile e inarrestabile. Secondo le previsioni di Cisco, il traffico di rete del cloud aumenterà più di tre volte entro il 2017.37
Dal 2014 in poi, gli esperti della sicurezza possono aspettarsi di vedere l'intero perimetro aziendale spostarsi nel cloud. Negli ultimi anni i confini della rete sono diventati molto meno definiti. Parallelamente alla maggiore disponibilità di applicazioni e dati nel cloud, le aziende stanno rapidamente perdendo la capacità di sapere chi e cosa attraversa i confini aziendali e quali azioni stanno eseguendo gli utenti.
Questa transizione verso il cloud cambia le regole del gioco perché ridefinisce la posizione in cui si archiviano, si spostano e si utilizzano i dati, oltre a offrire maggiori opportunità per gli autori degli attacchi.
Al timore di cedere al cloud il controllo dei dati si aggiunge la mancanza di informazioni sul modo in cui i fornitori di servizi cloud difendono i loro prodotti dalle violazioni della sicurezza. Spesso le aziende non mettono in discussione il contenuto degli SLA (Service-Level Agreement) dei fornitori o non verificano la frequenza con cui questi aggiornano il proprio software di sicurezza o applicano patch alle vulnerabilità.
La diffusione del cloud computing è innegabile e
inarrestabile.
[
]
62 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 La panoramica del settore
Le aziende devono avere la certezza che un fornitore di servizi cloud utilizzi gli strumenti e le strategie più sofisticati attualmente disponibili per contrastare gli attacchi o per rilevarli e fermarli mentre sono in corso. Per i team responsabili della sicurezza delle informazioni, la decisione di passare al cloud spesso si riduce a una sola domanda: “Quali controlli deve effettuare un provider perché possa essere ritenuto affidabile per la gestione e la protezione dei dati?”
Dall'altra parte, i fornitori di servizi cloud hanno difficoltà a identificare e implementare un insieme di controlli gestibile, conforme a un crescente numero di normative internazionali necessarie per affrontare un panorama di minacce sempre più ostile.
“Quando scegliamo i nostri fornitori per la sicurezza e l'infrastruttura critica, spesso ci basiamo sulla reputazione e le qualifiche tecniche”, spiega John N. Stewart, vicepresidente senior e Chief Security Officer di Cisco. “Ultimamente anche i loro processi interni e il nuovo approccio alla sicurezza sono diventati criteri sempre più importanti nella selezione”.
I fattori che rendono il cloud pericoloso, ad esempio la collocazione all'esterno del perimetro di rete e l’uso per dati business-critical, sono gli stessi che consentono alle aziende di prendere decisioni sulla sicurezza più accurate e quasi in tempo reale . Con l’aumento del traffico che attraversa il cloud, le soluzioni di sicurezza che a loro volta impiegano il cloud possono analizzare questo traffico in modo semplice e veloce e ottenere così informazioni aggiuntive. Inoltre, per le imprese più piccole o con budget limitati, un servizio cloud ben protetto e ben gestito può offrire più garanzie di sicurezza rispetto ai server e ai firewall interni all'azienda.
“Quando scegliamo i nostri fornitori per la sicurezza e l'infrastruttura critica, spesso ci basiamo sulla reputazione e le qualifiche tecniche. Ultimamente anche i loro processi interni e il nuovo approccio alla sicurezza sono diventati criteri sempre più importanti nella selezione”.John N. Stewart, vicepresidente senior e Chief Security Officer di Cisco
63 Report annuale di Cisco sulla sicurezza 2014
I consigliMolte aziende hanno difficoltà a formulare una visione della sicurezza supportata da una strategia efficace, in grado di utilizzare nuove tecnologie, semplificare l'architettura e le operazioni e aumentare l'efficienza dei team responsabili della sicurezza.
64 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I consigli
Obiettivi per il 2014: verificare l'affidabilità e migliorare la visibilitàOggi il livello di affidabilità di una rete o un dispositivo deve essere valutato in modo dinamico. Spesso le aziende sono costrette a operare con modelli di sicurezza frammentati e inevitabilmente applicati in modo incoerente, che producono dati isolati sulle minacce e richiedono una moltitudine di fornitori e prodotti da gestire.
Le connessioni tra le aziende, le organizzazioni, i dati e gli attacchi lanciati dai criminali informatici sono semplicemente troppo complesse per essere gestite con una singola appliance. Inoltre, la maggior parte delle aziende non dispone del personale di sicurezza con le competenze e l'esperienza necessari per adattare i modelli di sicurezza alle sfide e alle opportunità specifiche del cloud computing, della mobilità e delle altre nuove tendenze tecnologiche che influenzano le attività aziendali.
Nell'ultimo anno le aziende di tutti i tipi hanno tentato con difficoltà di comprendere come adottare l'innovazione senza creare nuove vulnerabilità o aumentare quelle esistenti. Il 2013 ha anche portato in primo piano il problema della fiducia. Oggi gli utenti di ogni tipo sono più portati a dubitare dell'affidabilità delle tecnologie che utilizzano ogni giorno sul lavoro o nella vita privata. È quindi quanto mai importante per i fornitori di tecnologie garantire ai clienti la sicurezza dei processi di produzione.
“In questa fase di transizione del mercato la fiducia è molto importante e i processi e le tecnologie devono essere parte integrante della progettazione del prodotto, affinché un fornitore sia in grado di soddisfare le esigenze dettate dalle attuali minacce”, afferma il Chief Security Officer di Cisco, John N. Stewart. “La promessa di un'azienda non è sufficiente. Le aziende devono essere sottoposte a verifica attraverso certificazioni dei prodotti, processi di sviluppo integrati, tecnologie innovative e un’ottima reputazione nel proprio settore. Occorre anche verificare l'affidabilità dei prodotti tecnologici che si utilizzano e dei fornitori che li producono”.
[
]
65 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I consigli
Anche un migliore allineamento tra le attività svolte per implementare la sicurezza e gli obiettivi di business è importante per rafforzare la sicurezza aziendale. In un panorama caratterizzato da risorse limitate e budget ridotti, questo allineamento può aiutare i CISO e gli altri responsabili della sicurezza dell'azienda a identificare i principali rischi e gli approcci appropriati per mitigarli. Parte di questo processo è accettare il fatto che non tutte le risorse aziendali possono essere completamente protette in qualsiasi momento. “È necessario definire di comune accordo le priorità dal punto di vista della sicurezza informatica”, spiega Gavin Reid, direttore di Cisco per i dati sulle minacce. “Si tratta di un approccio più produttivo rispetto a sperare di trovare un rimedio universale per tutti i problemi”.
Per affrontare le attuali sfide della sicurezza, le aziende devono esaminare in modo olistico i propri modelli di sicurezza e ottenere la visibilità su tutte le fasi degli attacchi.
•Primadiunattacco: per difendere la propria rete, le aziende devono conoscerne il contenuto: dispositivi, sistemi operativi, servizi, applicazioni, utenti e altro. Inoltre, devono implementare controlli di accesso, applicare policy di sicurezza e controllare le applicazioni e l'accesso complessivo alle risorse critiche. Le policy e i controlli sono tuttavia solo una piccola parte della strategia complessiva. Queste misure possono contribuire a ridurre la superficie di attacco, ma resteranno sempre delle falle che i criminali potrebbero cercare di sfruttare a proprio vantaggio.
•Duranteunattacco: le aziende devono fare fronte a diversi vettori di attacco con soluzioni in grado di operare ovunque la minaccia si manifesti: nella rete, negli endpoint, nei dispositivi mobili e negli ambienti virtuali. L’adozione di soluzioni efficaci facilita il compito degli esperti della sicurezza di bloccare le minacce e contribuire alla difesa dell'ambiente aziendale.
•Dopounattacco: inevitabilmente molti attacchi hanno successo. Per questo motivo, le aziende devono definire un piano di emergenza formale per determinare l'ambito del danno, contenere l'evento, applicare contromisure e riportare le operazioni alla normalità il più velocemente possibile.
“Gli autori degli attacchi e i loro strumenti si sono evoluti in modo da eludere le difese tradizionali. In realtà non si tratta più di determinare se gli attacchi andranno a buon fine, ma piuttosto quando succederà”, afferma Marty Roesch, Chief Security Architect del gruppo Security di Cisco. “È necessario adottare un approccio alla sicurezza basato sulla visibilità e sul controllo delle minacce per proteggere gli utenti in tutte le fasi: prima, durante e dopo un attacco.”
[
]
66 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 I consigli
L'utilità dei servizi per risolvere le sfide della sicurezza
L'ampiezza della superficie esposta agli attacchi, la diffusione e la sofisticatezza dei modelli di attacco e l'aumento della complessità della rete rappresentano ostacoli concreti per le aziende che tentano di formulare una visione della sicurezza in grado di utilizzare nuove tecnologie, semplificare l'architettura e le operazioni e aumentare l'efficienza dei team.
La carenza di esperti della sicurezza, come descritto a pagina 60, complica questi problemi. Inoltre, l'innovazione nel settore della sicurezza avviene a un ritmo superiore a quello con cui le aziende riescono ad adottare e rendere operativi i nuovi strumenti.
Riuscire a trovare i professionisti con le competenze necessarie per gestire efficacemente i continui cambiamenti del panorama della sicurezza non è facile. Avvalendosi della consulenza esterna di professionisti specializzati le aziende non solo possono ridurre le spese, ma anche liberare il personale interno e dedicarlo ad altre attività strategiche.
Rafforzare gli anelli deboli della catena
Prevenire le minacce è naturalmente di vitale importanza per mantenere la sicurezza informatica. Dato l’aumento dei criminali informatici che hanno come obiettivo la compromissione dell'infrastruttura Internet invece dei singoli computer, gli esperti della sicurezza Cisco incoraggiano gli ISP e le società di servizi hosting ad assumere un ruolo più proattivo nella protezione dell'integrità di Internet.
Per riuscire a identificare le minacce difficili da rilevare come DarkLeech e Linux/CDorked (vedere pagina 45) è necessaria una maggiore collaborazione da parte dei provider di servizi hosting, ad esempio con l’indagine approfondita delle segnalazioni degli utenti. Inoltre i provider di servizi dovrebbero implementare procedure di controllo migliori per poter verificare l'integrità delle proprie installazioni dei sistemi operativi server. Secondo gli specialisti di Cisco, nel caso di malware silenzioso come CDorked, i team della sicurezza non sarebbero stati in grado di determinare che il file binario era stato sostituito se non avessero avuto modo di verificare l'integrità dell'installazione.
I sistemi dei singoli utenti sono ovviamente soggetti a compromissioni, ma di solito la catena è già indebolita altrove molto prima che vengano colpiti. Sempre più spesso l'attacco avviene nella parte centrale della catena. Per questo motivo, i provider devono avere una migliore conoscenza delle potenziali minacce che possono colpire l'infrastruttura Internet.
68 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 Appendice
I team della sicurezza hanno bisogno di data scientist Gli strumenti di base per l'analisi dei dati per i professionisti della sicurezza
I team dei Chief Security Officer (CSO) stanno raccogliendo quantità enormi di dati troppo preziosi per non essere sfruttati pienamente. L'analisi dei dati sulla sicurezza fornisce indizi sulle attività degli autori degli attacchi e informazioni concrete su come contrastarli.
L'analisi dei dati non è una novità per i responsabili della sicurezza, che hanno già familiarità anche con le procedure per la generazione e la classificazione dei record. I penetration tester documentano un’indagine dopo una valutazione. I progettisti dei sistemi operativi implementano i sottosistemi di controllo. Gli sviluppatori delle applicazioni progettano le applicazioni che generano i log.
Indipendentemente da come vengono chiamati i record, è chiaro che i responsabili della sicurezza hanno a disposizione una grande quantità di dati, l'analisi dei quali può condurre a importanti scoperte.
Se l'analisi dei dati di per sé non è una novità, l'evoluzione del panorama della sicurezza ha avuto un impatto sul processo di analisi dei dati:
•Il volume di dati generati è enorme;
•la frequenza delle analisi ad hoc dei dati necessarie sta aumentando;
•i report standardizzati, per quanto utili, non sono sufficienti.
I responsabili della sicurezza hanno a
disposizione una grande quantità di dati e la loro analisi può condurre a importanti scoperte.
69 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 Appendice
Fortunatamente, anche in questo ambiente complesso, le difficoltà che presenta l'analisi dei dati ai responsabili della sicurezza non sono insormontabili e l'ecosistema di strumenti di analisi dei dati è molto diversificato. Di seguito viene fornita una panoramica di alcuni degli strumenti disponibili gratuitamente che è possibile utilizzare per le attività di base di analisi dei dati.
L'analisi del traffico con Wireshark e Scapy
Due strumenti eccellenti per l'analisi del traffico sono Wireshark e Scapy. Wireshark non ha bisogno di presentazioni. Scapy è uno strumento basato su Python che può essere utilizzato sia come modulo Python che in modalità interattiva per l'elaborazione o l'ispezione del traffico.
L'ampio set di strumenti da riga di comando e le funzionalità per la scomposizione dei protocolli di cui è dotato, rendono Wireshark indispensabile. Ad esempio, utilizzando il campo di filtro di visualizzazione tcp.stream di Wireshark, un file pcap che contiene più flussi TCP può essere suddiviso in file più piccoli, ognuno dei quali contiene tutti i pacchetti che appartengono a un singolo flusso TCP.
La figura A1 illustra questo comando che restituisce l'indice del flusso TCP dei primi cinque pacchetti TCP in traffic_sample.pcap.
FIGURA A1
Comando tshark per estrarre l'indice tcp.stream
tshark -r tra�c_sample.pcap -T �elds -e tcp.stream tcp | head -n 5
tshark è uno degli strumenti da riga di comando di Wireshark.
tcp.stream fa riferimento al campo di indice del �usso per i �ltri di visualizzazione TCP.
70 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 Appendice
Con queste informazioni, è possibile scrivere uno script che suddivida traffic_sample.pcap in singoli file pcap:
$ cat ~/bin/uniq_stream.sh #!/bin/bash
function getfile_name() {
orig_name=$1 stream=$2 file_name=”$(echo $orig_name | cut -d’.’ -f1)” file_name+=”-${stream}.pcap”
echo “${file_name}”
return 0 }
streams=$(tshark -r ${1} -T fields -e tcp.stream | sort -un | tr ‘\n’ ‘ ‘)
for x in ${streams} do file_name=$(getfile_name ${1} ${x}) echo “Creating ${file_name}...” tshark -r ${1} -w $file_name tcp.stream eq ${x} done $
Lo script crea un singolo file pcap per ognuno dei 147 flussi TCP in traffic_sample.pcap. In questo modo è più semplice eseguire ulteriori analisi su ciascun flusso TCP. Si noti che i pacchetti non TCP in traffic_sample.pcap non saranno contenuti in alcuno dei nuovi file pcap:
$ /bin/uniq_stream.sh traffic_sample.pcap Creating traffic_sample-1,pcap... Creating traffic_sample-2,pcap... … … Creating traffic_sample-146,pcap... Creating traffic_sample-147,pcap...
71 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 Appendice
Scapy offre vantaggi specifici. Essendo sviluppato in Python, è possibile utilizzare tutte le funzionalità del linguaggio Python e altri strumenti Python. Il seguente frammento di codice illustra come Scapy utilizza il sovraccarico degli operatori, consentendo di elaborare il traffico in modo rapido e intuitivo:
# scapy
>>> dns_query = IP()/UDP()/DNS()
>>> from socket import gethostbyname,gethostname
>>> dns_query[IP].src = gethostbyname(gethostname())
>>> dns_query[IP].dst = “8.8.8.8”
>>> import random
>>> random.seed()
>>> dns_query[UDP].sport = random.randint(0, 2**16)
>>> dns_query[DNS].id = random.randint(0, 2**16)
>>> dns_query[DNS].qdcount = 1
>>> dns_query[DNS].qd = DNSQR(qname=“www.cisco.com”)
>>> scapy.sendrecv.sr1(dns_query)
>>> response = scapy.sendrecv.sr1(dns_query)
Begin emission:
............Finished to send 1 packets.
.*
Received 14 packets, got 1 answers, remaining 0 packets
>>> response[DNS].ar[DNSRR].rdata
‘64.102.255.44’
>>>
Questo esempio mostra in che modo è possibile creare i pacchetti e analizzare il traffico in tempo reale. Scapy può comunque essere utilizzato per analizzare i file pcap con altrettanta facilità.
72 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 Appendice
L'analisi dei dati in formato CSV
I file con valori separati da virgole (CSV) rappresentano un formato molto comune per lo scambio di dati. Numerosi strumenti (incluso tshark) consentono all'utente di esportare dati in formato CSV. Generalmente i responsabili della sicurezza utilizzano programmi per fogli di calcolo come Excel per analizzare i dati CSV. Spesso è anche possibile utilizzare strumenti da riga di comando come grep, cut, sed, awk, uniq e sort.
Una possibile alternativa è rappresentata da csvkit. Csvkit fornisce numerose utilità che rendono più semplice l'elaborazione di dati CSV dalla riga di comando. Il seguente esempio dimostra quanto sia facile trovare tutte le righe che contengono l'host tty.example.org nella colonna src:
$ head -n 3 tcp_data.csv src,srcport,dst,dstport “tty.example.org”,“51816”,”vex.example.org”,”443” “vex.example.org”,”443”,”tty.example.org”,”51816”
$ csvgrep -n tcp_data.csv 1: src 2: srcport 3: dst 4: dstport
$ csvgrep -c 1 -r ‘tty\.example\.org’ tcp_data.csv | head -n 5 src,srcport,dst,dstport tty.example.org,51816,vex.example.org,443 tty.example.org,51816,vex.example.org,443 tty.example.org,51427,paz.example.org,5222 tty.example.org,51767,bid.example.org,80
73 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 Appendice
Csvkit include numerosi strumenti. Csvstat è particolarmente utile perché calcola in modo automatico varie statistiche. Ad esempio, è possibile calcolare facilmente la frequenza dei primi cinque host src:
$ csvstat -c 1 tcp_data.csv 1. src <type ‘unicode’> Nulls: False Unique values: 55 5 most frequent values:
tty.example.org: 2866 lad.example.org: 1242 bin.example.org: 531 trw.example.org: 443 met.example.org: 363 Max length: 15
Row count: 6896
Matplotlib, Pandas, IPython e altri
Sono disponibili vari strumenti di analisi e visualizzazione dei dati basati su Python. Un'ottima risorsa per trovare questi strumenti è il sito SciPy (http://www.scipy.org). Di particolare interesse sono i pacchetti Matplotlib, pandas e IPython:
•Matplotlib offre una soluzione di visualizzazione semplice e flessibile.
•Pandas fornisce strumenti per manipolare ed esaminare dati raw.
•IPython aggiunge funzionalità all'interprete Python che agevolano l'analisi interattiva dei dati.
74 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 Appendice
Di seguito viene illustrato come è possibile utilizzare questi tre strumenti per rappresentare in un grafico i primi host src in tcp_data.csv:
In [3]: df = read_csv(“/Users/shiva/tmp/data_analysis/tcp_data.csv”)In [4]: dfOut[4]: <class ‘pandas.core.frame.DataFrame’>Int64Index: 6896 entries, 0 to 6895Data columns (total 4 columns):src 6896 non-null valuessrcport 6896 non-null valuesdst 6896 non-null valuesdstport 6896 non-null valuesdtypes: int64(2), object(2)In [5]: df[‘src’].value_counts()[0:10]Out[5]: tty.example.org 2866lad.example.org 1242bin.example.org 531trw.example.org 443met.example.org 363gee.example.org 240gag.example.org 126and.example.org 107cup.example.org 95chi.example.org 93dtype: int64In [6]: df[‘src’].value_counts()[0:10].plot(kind=“bar”)Out[6]: <matplotlib.axes.AxesSubplot at 0x8479c30>
75 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 Appendice
FIGURA A2
Grafico generato tramite Plot ()
0
1000
500
1500
2000
2500
3000
tty.
exam
ple.
org
lad.
exam
ple.
org
bin.
exam
ple.
org
trw
.exa
mpl
e.or
g
met
.exa
mpl
e.or
g
gee.
exam
ple.
org
gag.
exam
ple.
org
and.
exam
ple.
org
cup.
exam
ple.
org
chi.e
xam
ple.
org
L'aspetto interessante di Pandas è il modo in cui consente agli utenti di esplorare i dati. Ad esempio, è piuttosto semplice trovare il numero di srcport univoche da cui tty.example.org si connette per ogni combinazione univoca di dst e dstport con cui comunica:
In [229]: tty_df = df[df.src == “tty.example.org”] In [230]: num_ports = lambda x: len(set(x)) In [231]: pivot_table(tty_df, rows=[‘dst’,‘dstport’], values=‘srcport’, aggfunc=num_ports) Out[231]: dst dstport add.example.org 80 2 ala.example.org 80 3 and.example.org 80 1 auk.example.org 80 2 bid.example.org 80 1 …
76 Report annuale di Cisco sulla sicurezza 2014Report annuale di Cisco sulla sicurezza 2014 Appendice
Iniziare ad analizzare i dati
Gli esempi delle pagine precedenti illustrano solo alcuni dei possibili usi e non rendono giustizia agli strumenti citati. Sono tuttavia sufficienti per iniziare a condurre analisi significative dei dati.
I Chief Security Officer hanno bisogno di professionisti della sicurezza pronti a indossare il camice degli scienziati. L’analisi approfondita dei dati disponibili consente di ottenere informazioni che non sarebbe possibile acquisire altrimenti. Con il tempo sarà più facile intuire quali parti dei dati esplorare. Alcune aziende potrebbero perfino scoprire che è vantaggioso avere data scientist dedicati nei propri team.
78 Report annuale di Cisco sulla sicurezza 2014 L'ecosistema Cisco SIO
Cisco SIOGestire e garantire la sicurezza delle infrastrutture di rete dinamiche e distribuite di oggi è una sfida sempre più difficile.
I criminali informatici continuano a sfruttare la fiducia degli utenti nelle applicazioni e nei dispositivi disponibili in commercio, presentando rischi maggiori per le aziende e i dipendenti. La sicurezza tradizionale basata sulla stratificazione dei prodotti e sull'utilizzo di filtri diversi, non è più sufficiente come difesa nei confronti del malware di ultima generazione, che si diffonde rapidamente, ha obiettivi a livello mondiale e utilizza vettori diversi per propagarsi.
Cisco anticipa le minacce perché sfrutta le funzioni di rilevamento in tempo reale di Cisco Security Intelligence Operations (SIO). Cisco SIO è il più grande ecosistema di sicurezza basato sul cloud che utilizza più di 75 terabit di feed in tempo reale provenienti dalle soluzioni Cisco e-mail, Web, firewall e dei sistemi di prevenzione delle intrusioni (IPS) implementate.
Cisco SIO valuta ed elabora i dati, classificando automaticamente le minacce e creando regole con più di 200 parametri. I ricercatori raccolgono e forniscono le informazioni sugli eventi di sicurezza che possono avere un impatto significativo su reti, applicazioni e dispositivi. Le regole vengono inviate dinamicamente ai dispositivi di sicurezza Cisco implementati ogni 3/5 minuti.
Inoltre il team Cisco SIO pubblica regolarmente best practice e consigli tattici per contrastare le minacce. Cisco si impegna a fornire soluzioni di sicurezza complete, integrate, tempestive, ed efficaci basate su una strategia di sicurezza olistica adatta alle aziende di tutto il mondo. Con Cisco, le aziende possono risparmiare tempo nella ricerca delle minacce e delle vulnerabilità e concentrarsi sull'adozione di un approccio proattivo alla sicurezza.
Per ulteriori informazioni sugli avvisi di pre-allarme, l’analisi delle minacce e delle vulnerabilità e le soluzioni Cisco per mitigare i rischi, visitare il sito www.cisco.com/go/sio.
La sicurezza tradizionale non è più
sufficiente come difesa nei confronti del
malware di ultima generazione.
79 Report annuale di Cisco sulla sicurezza 2014
Note 1 Per ulteriori informazioni sull'evoluzione verso l'infrastruttura any-to-any, vedere “The Nexus of Devices, Clouds, and
Applications” nel report annuale di Cisco sulla sicurezza del 2013: https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.
2 Ibid.
3 No More Chewy Centers: Introducing The Zero Trust Model Of Information Security, di John Kindervag, Forrester, 12 novembre 2012.
4 “Timeline of Edward Snowden’s Revelations”, Al Jazeera America: http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html.
5 “NSA collecting phone records of millions of Verizon customers daily”, di Glenn Greenwald, The Guardian, 5 giugno 2013: http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order.
6 GCHQ: Government Communications Headquarters, un'agenzia di intelligence britannica.
7 “NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say”, di Barton Gellman e Ashkan Soltani, 30 ottobre 2013, The Washington Post: http://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html.
8 Per ulteriori informazioni, vedere “Cisco Secure Development Life cycle (CSDL)”: http://www.cisco.com/web/about/security/cspo/csdl/index.html.
9 Ibid.
10 Cisco definisce Internet of Everything “la nuova era dello sviluppo di Internet che vedrà confluire persone, processi, dati e oggetti”.
11 “Massive Spam and Malware Campaign Following the Boston Tragedy”, Cisco Security Blog, 17 aprile 2013: http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/.
12 Ibid.
13 Ibid.
14 Pagina Web “Informazioni sulla tecnologia Java”: http://www.java.com/it/about/.
15 Per ulteriori informazioni sull'evoluzione verso l'infrastruttura "any-to-any", vedere il report annuale di Cisco sulla sicurezza del 2013: http://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.
16 “Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities”, di Craig Williams, Cisco Security Blog, 4 maggio 2013: http://blogs.cisco.com/security/department-of-labor-watering-hole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/.
17 “Watering-Hole Attacks Target Energy Sector”, di Emmanuel Tacheau, Cisco Security Blog, 18 settembre 2013: http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/.
18 “Apache DarkLeech Compromises”, di Mary Landesman, Cisco Security Blog, 2 aprile 2013: http://blogs.cisco.com/security/apache-DarkLeech-compromises/.
19 “Ongoing malware attack targeting Apache hijacks 20.000 sites”, di Dan Goodin, Ars Technica, 2 aprile 2013: http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/.
20 “Linux/CDorked FAQS”, di Mary Landesman, Cisco Security Blog, 1 maggio 2013: http://blogs.cisco.com/security/linuxcdorked-faqs/.
21 “DarkLeech Apache Attacks Intensify”, di Matthew J. Schwartz, InformationWeek, 30 aprile 2013: http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922.
22 Il typosquatting è la pratica di registrare domini con nomi che differiscono da quelli di domini molto noti per un solo carattere.
23 “Thanks to IoE, the next decade looks positively ‘nutty’”, di Dave Evans, Cisco Platform Blog, 12 febbraio 2013: http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/.
80 Report annuale di Cisco sulla sicurezza 2014
24 Per ulteriori informazioni sulle strategie di mitigazione per il bitsquatting, consultare il white paper di Cisco Examining the Bitsquatting Attack Surface, 2013: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_Surface-whitepaper.pdf.
25 “WordPress Sites in the World” e “A Look at Activity Across WordPress.com”, WordPress.com: http://en.wordpress.com/stats/.
26 “Important Security Update: Reset Your Drupal.org Password”, Drupal.org, 29 maggio 2013: https://drupal.org/news/130529SecurityUpdate.
27 Un report dettagliato degli schemi e dei payload degli attacchi dell'Operazione Ababil è disponibile in “Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions”: http://www.cisco.com/web/about/security/intelligence/ ERP-financial-DDoS.html.
28 “DDoS Attack on Bank Hid $900.000 Cyberheist,” di Brian Krebs, blog KrebsonSecurity, 19 febbraio 2013: http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
29 “Chinese Internet Hit by Attack Over Weekend”, di Paul Mozer, China Real Time Report, WSJ.com, 26 agosto 2013: http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/.
30 Fonte: Wikipedia: “Ingress Filtering”: http://en.wikipedia.org/wiki/Ingress_filtering.
31 “Understanding Unicast Reverse Path Forwarding”, sito Web di Cisco: http://www.cisco.com/web/about/security/intelligence/unicast-rpf.html.
32 “Your Hard Drive Will Self-Destruct at 2 p.m.: Inside the South Korean Cyberattack”, di Sean Gallagher, Ars Technica, 20 marzo 2013: http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean- cyber-attack/.
33 “Thoughts on DarkSeoul: Data Sharing and Targeted Attackers”, di Seth Hanford, Cisco Security Blog, 27 marzo 2013: http://blogs.cisco.com/tag/darkseoul/.
34 Ibid.
35 “Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks”, di Mor Ahuvia, RSA, 4 ottobre 2012: https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/.
36 “DDoS Attack on Bank Hid $900.000 Cyberheist,” di Brian Krebs, blog KrebsonSecurity, 19 febbraio 2013: http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
37 “Cisco projects data center-cloud traffic to triple by 2017”, ZDNet, 15 ottobre 2013: http://www.zdnet.com/cisco-projects-data-center-cloud-traffic-to-triple-by-2017-7000021985/.
Le sedi Cisco nel mondo sono oltre 200. Gli indirizzi, i numeri di telefono e di fax sono disponibili sul sito Web Cisco all'indirizzo www.cisco.com/go/offices.
Tutti i contenuti sono protetti da Copyright © 2011-2014 Cisco Systems, Inc. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Cisco e il logo Cisco sono marchi registrati di Cisco Systems, Inc. e/o dei relativi affiliati negli Stati Uniti e in altri paesi. L'elenco dei marchi Cisco è disponibile all'indirizzo www.cisco.com/go/trademarks. I marchi commerciali di terze parti citati sono proprietà dei rispettivi titolari. L'utilizzo del termine partner non implica una relazione di partnership tra Cisco e altre aziende. (012114 v1)
Sede centrale Americhe Cisco Systems, Inc. San Jose, CA (USA)
Sede centrale Asia e Pacifico Cisco Systems (USA) Pte. Ltd. Singapore
Sede centrale Europa Cisco Systems International BV Amsterdam, Paesi Bassi
![BROCHURE 12X12 MARCONI 2019 LD · Malta importanza vtene dedicata alle discipline scientific-he, in ... Economica Europea [EBCL]. CISCO CCNA R&5. CISCO CCNA CISCO CCNA Exploratic]n.](https://static.fdocumenti.com/doc/165x107/5c65aac809d3f2916e8d1f18/brochure-12x12-marconi-2019-ld-malta-importanza-vtene-dedicata-alle-discipline.jpg)
