HPE Cyber Risk Report 2016: in tema di rischi le aziende hanno ancora molto da imparare

Andrzej Kawalec, Chief Technology Officer Enterprise Security Services HP

Andrzej Kawalec, Chief Technology Officer Enterprise Security Services HPE, ha commentato con noi l’edizione 2016 dello studio HPE Cyber Risk Report di Hewlett Packard Enterprise, che ha rilevato le principali minacce alla sicurezza subite dalle aziende. Ne emerge un quadro poco rassicurante che dipinge imprese poco preparate e consapevoli rispetto ai rischi.

Sfruttare le vulnerabilità software continua a essere ancora il vettore di attacco primario; come già nel 2014, anche nel 2015 le prime dieci vulnerabilità sfruttate erano note da oltre un anno, il 68% di esse addirittura da tre anni o più. Sono poco comunicate le vulnerabilità da risolvere o le aziende sono poco attente?

Il contesto di riferimento è completamente cambiato, non è più in questione pensare a “se” si sarà vittime di attacchi informatici quanto piuttosto al “quando”. L’anno 2015 si identifica come l’anno dei danno collaterali perché la dissoluzione dei tradizionali perimetri di rete e la maggiore esposizione agli attacchi sottopongono gli specialisti della sicurezza a crescenti sfide per riuscire a proteggere utenti, applicazioni e dati senza tuttavia ostacolare l’innovazione né rallentare le attività aziendali. Nel 2015 Microsoft Windows è stata la piattaforma software più colpita, le cui vulnerabilità hanno rappresentato quasi il 50% di tutti i campioni scoperti da Reversing Labs, seguite da quelle di Adobe Flash (29%). Misure difensive che impediscano diverse tipologie di attacco sembrerebbero essere una soluzione migliore ed i fornitori si stanno infatti muovendo verso soluzioni ad ampio impatto proprio perché anche se le bonifiche alle falle di sicurezza sono ottime e comunicate tempestivamente non è detto che l’utente finale esegua correttamente aggiornamenti.

Gli attacchi tramite malware si sono progressivamente evoluti: stanno diventando una fonte di guadagno per gli hacker?

Esattamente. Per quanto complessivamente il numero dei nuovi malware scoperti sia diminuito del 3,6% rispetto al 2014, i target sono cambiati notevolmente in funzione dell’evoluzione dei trend, e di una sempre maggiore focalizzazione sull’opportunità di trarre guadagno soprattutto attraverso le piattaforme mobili. Se le applicazioni web rappresentano una fonte di rischio significativa per le organizzazioni, quelle mobili presentano rischi ben maggiori e specifici: il frequente utilizzo di informazioni personali da parte delle applicazioni mobili, infatti, genera vulnerabilità nella conservazione e trasmissione di informazioni riservate e sensibili. Inoltre circa il 75% delle applicazioni mobili analizzate presenta almeno una vulnerabilità critica o ad alto rischio rispetto al 35% delle applicazioni non mobili. Infine le vulnerabilità provocate dall’abuso di API sono assai più comuni nelle applicazioni mobili che non nelle applicazioni Web, mentre la gestione degli errori – previsione, rilevamento e risoluzione degli stessi – è più frequente nelle applicazioni. Gli aggressori hanno spostato i loro sforzi sugli attacchi diretti alle applicazioni. Il perimetro della propria rete non è più quello di un tempo o fin dove si pensava che finisse perché i dispositivi mobili e la iperconnettività hanno ridefinito tale perimetro all’interno delle nostre tasche.

E il rapporto sicurezza e big data?

Temo che negli ultimi tempi si confonda il tema della privacy e quello della sicurezza ponendoli addirittura in antitesi. Pensiamo ad esempio alla diffidenza persistente verso i sistemi di crittografia e sorveglianza e tutta la questione attuale che si sta vivendo in America tra Apple ed FBI. Al netto delle posizioni e del ruolo giocato dalla regolamentazione nel settore della privacy, relativamente al settore della sicurezza delle informazioni il tema dei Big Data è relativamente nuovo ma di rilievo nello sviluppo di strategie adeguate. Da un lato abbiamo criminali informatici che tracciano i dati degli utenti analizzandone anche il comportamento quotidiano, facilitati dalla condivisione delle informazioni online. In questo caso non è tanto il dato in sé a creare una minaccia alla sicurezza quanto l’utilizzo che se ne potrebbe fare in relazione all’utente; a livello aziendale il rischio potrebbe essere riferito all’utilizzare quest’ultimo come entry-point per violare il perimento di sicurezza. Analogamente l’analisi dei Big Data potrebbe servire a sviluppare metodi di difesa studiando ad esempio il contesto di violazione dei dati, il target di riferimento, la tipologia di attacco, il comportamento e modus operandi non dell’utente ma del criminale.

Cosa ne pensa rispetto al fatto che nel report sia evidenziato un consistente aumento di attacchi soprattutto in relazione ai software open source e alle applicazioni mobili scaricate dagli store?

Questo è un punto interessante rilevato nell’ultimo report e che sarà ancora più importante da approfondire per il futuro poiché il ricorso a componenti e software  open source implica la considerazione di vulnerabilità specifiche evidenziate nel contesto sicurezza. Infatti circa il 75% delle applicazioni mobili analizzate hanno evidenziato almeno un livello critico alto rispetto al 35% delle applicazioni non mobili. Il 79% delle applicazioni digitalizzati utilizzano almeno un componente open source rispetto al 65% dell’anno precedente. Oltre l’80%  delle applicazioni open source e commerciali sono in sofferenza rispetto a vulnerabilità con gravi implicazioni per la gestione dei dati privati. I software open source sono per loro natura sviluppati in maniera diversa da quelli proprietari e creano alcuni problemi rispetto al  controllo della sicurezza. Gli attacchi alle piattaforme mobili sono in aumento:  Android è al secondo posto con il 18% del totale degli attacchi.

L’accesso semplificato per gli utenti agli store e l’installazione semplificata delle stesse sta indirizzando il mercato verso una maggiore fruibilità senza dare troppa importanza alle questioni legate alla sicurezza?

Le aziende devono muoversi in quest’ottica per facilitare l’utente garantendone però contestualmente la sicurezza, soprattutto in termini di maggiore consapevolezza. In tal senso potrebbe essere utile immaginare un punteggio sulla sicurezza delle applicazioni rese disponibili sugli store, un po’ come si fa con la qualità.

In conclusione

Le aziende devono essere più consapevoli dei rischi che corrono in termini di cyber security. Come visto molto spesso le tipologie di attacchi che le organizzazioni continuano a subire sono in realtà già note da tempo e questo lascia pensare ad una scarsa reattività delle imprese. Una leggerezza che potrebbe essere non solo pericolosa ma anche molto costosa.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here