Websense ha presentato alla stampa il nuovo Threat Report sulle minacce informatiche che hanno per obiettivo la violazione delle misure di sicurezza aziendali e la sottrazione di dati, e ha esposto un nuovo tipo di approccio alla protezione dei dati riservati chiamato Data Threat Protection e basato sull’analisi del comportamento degli utenti invece che su una catalogazione dettagliata e preventiva di informazioni, utenti e gruppi.

Il rapporto sulle minacce è stato compilato dai Security Labs di Websense, che contano su 100 ricercatori sparsi in tre centri di ricerca in Stati Uniti, Europa e Asia e che quotidianamente analizzano le minacce in atto, rilevano i comportamenti atti a identificarle e preparano le contromisure che saranno poi utilizzate nei prodotti Websense.

Il report distingue le minacce in due diversi tipi: dipendenti dal comportamento umano (Human Behavioral Threats) e da fattori tecnologici (Technique Based Threats).

Il fattore umano a sua volta si può dividere in minacce derivanti da utenti infedeli che intenzionalmente sottraggono informazioni aziendali, e utenti inconsapevoli, vittime di un attacco.

Emiliano Massa, Sr. Director Regional Sales South EMEA di Websense

Emiliano Massa, Sr. Director Regional Sales South EMEA di Websense

Molto rimane quindi da fare sul fronte della sensibilità e dell’intelligenza dell’utente, quello che Emiliano Massa, Sr. Director Regional Sales South EMEA ha definito il “fattore IQ”. Per Massa, “i prodotti Websense offrono diversi strumenti che mirano a innalzare la consapevolezza e il livello di guardia degli utenti, per esempio quando chiedono conferma dell’intenzione di seguire un link o scaricare un allegato, ma oltre un certo punto ci si scontra con la sensibilità dell’utente”.

Il cybercrime è l’attività illecita con il ROI più alto: rende il 750% dell’investimento

Per quanto riguarda le minacce tecnologiche, il report constata che la trasformazione dell’hacking da attività artigianale in una vera e propria industria del malware, con i suoi marketplace, gruppi di confronto tra utenti e recensione dei prodotti e servizi “Malware as a Service” sta creando una sorta di selezione darwiniana delle minacce.

Si assiste a una diminuzione del numero di exploit e tool, che diventano però sempre più sofisticati (per competere sul mercato nero) e vengono usati da un numero molto maggiore di soggetti. L’economia di scala consente oggi a chiunque di affittare kit di attacco completi con poche centinaia di euro al mese. E l’industria del cybercrime continua a essere tra le attività illecite più redditizie, con un Roi che si aggira sul 750% e supera di gran lunga mercati come quello della droga o dello sfruttamento della prostituzione.

I buchi principali nelle difese delle aziende

Il report ha evidenziato che se da un lato il malware si sta evolvendo in modo molto raffinato, per sfruttare vulnerabilità sempre nuove, dall’altro si assiste al ritorno di tecniche considerate superate da anni, come per esempio i macrovirus di Office, che vengono sfruttati per portare attacchi mirati.

Ora che Office disabilita l’esecuzione delle macro di default, si utilizzano tecniche di ingegneria sociale per convincere l’utente ad autorizzare la macro su un documento apparentemente legittimo.

Luca Mairani, Sr Sales Engineer di Websense

Luca Mairani, Sr Sales Engineer di Websense

“Nelle scorse settimane abbiamo visto un attacco targhettizzato sull’Italia con messaggi email che in perfetto italiano  parlano di temi compatibili con l’attività dell’utente (ordini, fatture…). Diversamente dal passato recente, queste email phishing  ma non avevano allegato un file cab, che gli utenti hanno imparato a riconoscere come pericolosi, ma un file Word, con un invito a disattivare il blocco delle macro per visualizzare le informazioni. Una volta attivate le macro, il documento può scaricare qualsiasi payload malevolo, come Cryptolocker, Cittadel o Zeus”, ha affermato Luca Mairani, Senior Sales Engineer di Websense.

Sul fronte opposto, gli exploit più recenti hanno imparato a riconoscere e aggirare i sistemi di sandboxing in cui vengono confinati dalle difese aziendali prima di essere recapitati al destinatario.  Mairani ha spiegato che “alcuni attacchi prevedono per esempio che il codice malevolo venga eseguito solo al riavvio del computer, al terzo avvio di Word o in presenza di una certa versione di OS o altri componenti. Per queste minacce, il meccanismo del sandboxing è inefficace”.

Un altro metodo banale per evadere le protezioni è portare attacchi (drive-by download, ndr) agendo su connessioni Ssl. “La maggior parte delle aziende non utilizza sistemi di validazione e analisi del traffico ssl, per cui i meccanismi di difesa non intervengono. Sono necessari sistemi in grado di analizzare anche il traffico web cifrato”, ha concluso Mairani.

Molte aziende continuano a usare vecchie versioni di Java, Explorer o programmi Adobe perché quelle nuove non sono compatibili con il software aziendale

Le vulnerabilità più sfruttate sono quelle presenti in vecchie versioni di Java, Internet Explorer e prodotti Adobe, che spesso in azienda non vengono aggiornate per mantenere la compatibilità con applicativi interni e intranet, o per evitare il costo delle nuove licenze.

Quando il danno è fatto

Indipendentemente dagli sforzi che si compiono, una violazione della sicurezza è sempre possibile. Anche perché la giusta soluzione di sicurezza IT è quella che espone al massimo rischio accettabile ma garantisce il fluido funzionamento del business, sia per quanto riguarda le procedure internet, sia nella relazione con i partner.

Molte aziende infatti sono costrette ad abbassare le misure di sicurezza che ritengono ottimali per incontrare quelle, più basse, dei propri interlocutori commerciali (clienti, fornitori, partner…).

Secondo Emiliano Massa, quando la violazione accade, l’azienda deve evitare di investire in troppo tempo in quella che ha definito la “trappola dell’attribuzione”. Individuare il responsabile di un attacco è sempre molto difficile e quasi sempre inutile. Meglio investire tutte le energie per individuare i metodi usati e individuare le misure per evitare che l’incidente si ripeta.

A volte, riuscire ad attribuire la paternità di un attacco non porta comunque ad alcun risultato. Websense ha osservato attacchi commissionati e gestiti da strutture riconducibili a entità governative estere e che, a differenza del passato, non erano indirizzati a sistemi militari o infrastrutture critiche, ma ai principali attori commerciali e industriali del paese bersaglio.

E sugli attacchi non ha senso fare letteratura. Nel tempo necessario a redigere un paper, le tecniche si sono già evolute.

Evoluzione delle contromisure: da DLP a DTP

Dopo aver presentato lo stato delle minacce, Websense ha fatto il punto sulla sua offerta di misure di protezione contro la diffusione di dati sensibili. L’approccio tradizionale alla Data Loss Prevention rimane valido, ma mostra alcune limitazioni.

L’implementazione di un sistema DLP prevede un lungo periodi di analisi e classificazione delle informazioni aziendali e dei diversi livelli di accesso di cui ciascun utente deve disporre per l’accesso o la diffusione di quelle informazioni.  Un procedimento simile può essere applicato quando i dati strategici sono pochi e definiti, ma che fare nell’epoca dei “big data” in cui per definizione i dati non sono strutturati e sono in continuo aggiornamento?

Per Massa, il DLP rimane necessario come ultima linea di sicurezza quando le precedenti difese hanno fallito, ma è necessario individuare le minacce alla sicurezza del dato in altro modo.

Invece di mappare dati e utenti, il Data Threat Protection analizza il comportamento degli utenti per individuare situazioni anomale e potenzialmente pericolose, come l’utilizzo di sistemi di cifratura non convenzionali, connessioni Ssl verso siti che non dovrebbero necessitare di cifratura, flussi di dati anomali per orario o entità dei dati trasmessi eccetera.

Si possono anche identificare gruppi di utenti “deboli” (nuovi assunti, personale in uscita o persone con motivi di risentimento verso l’azienda) e aumentare il livello di monitoraggio, ma si può anche evitare la diffusione di dati effettuate da un manager fino a quel momento integerrimo ma che viene ricattato, intercettando per esempio un’esportazione massiccia di dati.

Si cerca innanzi tutto di utilizzare sistemi che richiedono all’utente di prestare attenzione a quel che sta facendo, e gli chiedono di confermare la scelta. Per Massa, i clienti sono “molto interessati a quelle soluzioni che permettono di elevare gli skill interni, e la logica di DTP aiuta a chiudere il gap di sicurezza. A differenza del DLP che traccia l’attività del singolo utente, lavorando sul comportamento il DTP non porta con sé il bagaglio di normative che richiedono analisi legali e trattative tra sindacati e risorse umane”.