Si chiamano DeOS e stanno per Destruction Of Service. Sono i nuovi attacchi, sempre più sofisticati, individuati nell’ultimo Cisco 2017 Midyear Security Report e che hanno l’obiettivo non solo di colpire i sistemi informatici e i dati ma di distruggerli impedendone il ripristino. “Questo tipo di attacco – spiega Enrico Mercadante, responsabile per l’Innovazione, le Architetture e la Digital Transformation di Cisco Italia – sono una novità di quest’anno per i quali i nostri ricercatori hanno coniato appunto il termine DeOS. Sono progettati per andare oltre le richieste di riscatto o di blocco dei servizi delle aziende, orientati a “distruggere” asset informatici. Gran parte dei trend legati alla sicurezza che abbiamo esplorato in questa edizione del report sono proprio legati ai DeOS. Ad esempio, gli attaccanti stanno evolvendo e innovando le campagne ransomware e DDoS in modo che siano realmente in grado di distruggere le reti delle aziende. Così facendo, viene danneggiata anche la capacità dell’azienda di riprendersi dall’attacco.”
Il report globale sulla cybersecurity, appuntamento fisso Cisco da più di 10 anni, rappresenta un punto di riferimento non solo per gli addetti ai lavori ma anche per gli utenti finali alla ricerca di informazioni aggiornate sul panorama delle minacce e sulle sfide e le opportunità per i team di sicurezza nella difesa contro l’inarrestabile evoluzione del crimine informatico e dei metodi di attacco. “Analizziamo con i nostri esperti e i nostri sistemi – continua Mercadante – 20 miliardi di minacce informatiche al giorno quindi riteniamo importante condividere le informazioni con chi si occupa quotidianamente di sicurezza informatica”.
I ricercatori Cisco hanno osservato come il malware si sia evoluto durante la prima metà del 2017 prevedendo nuove modalità e tecniche di distribuzione, di offensiva ed evasione. L’approccio, basato su infrastrutture anonime e decentrate come il servizio proxy Tor, è sempre più quello che spinge le vittime ad attivare una minaccia cliccando un collegamento o aprendo un file dannoso, oltre a sviluppare un tipo di malware fileless che risiede nella memoria ed è più difficile da rilevare o investigare perché si cancella al riavvio del dispositivo.
“Tra le novità del report di questo semestre emerge un chiaro interesse da parte del crimine informatico per l’IoT – afferma Enrico Mercadante. “L’internet of things rischia di diventare Internet of vulnerable things per via delle miriadi di dispositivi non protetti che vengono connessi alla rete. Ogni azienda, in qualsiasi settore, è potenzialmente esposta alla portata di un attacco e nel report abbiamo analizzato lo stato della sicurezza dei principali settori verticali. Stanno anche crescendo a velocità sostenuta gli attacchi alle Filiere (Supply Chain attacks) che sfruttano i segmenti e le aziende più vulnerabili di una filiera. In questo modo gli attaccanti possono compromettere in maniera più semplice aziende che richiederebbero attacchi più costosi e sofisticati. Questo è un tema in prospettiva molto importante a cui abbiamo dedicato un capitolo specifico”.
La situazione disegnata dal report non è certo rosea. Sta aumentando, ed è destinato ad aumentare ancora secondo i ricercatori Cisco, il volume dello spam visto che molti attacchi utilizzano metodi collaudati, come l’email, per distribuire malware e ricavare profitti; persistono i fastidiosi quanto potenzialmente pericolosi spyware e adware; progrediscono i ransomware che hanno fatto guadagnare oltre 1 miliardo di dollari nel 2016. Cifra probabilmente sottostimata visto che molte aziende non ne hanno dato notizia. In generale si può dire quindi che si sta ampliando la superficie d’attacco, la portata e l’impatto delle minacce, come dimostrato dai recenti e noti WannaCry e Nyetya.
Come reagiscono le aziende di fronte a un attacco?
Il report dice che non più di due terzi delle aziende analizza gli alert di sicurezza, con alcuni settori come la sanità e i trasporti, per i quali la stima si avvicina al 50%. Anche nei settori più reattivi (come la finanza e la sanità), le aziende mitigano meno del 50% degli attacchi anche se li giudicano dannosi. Nella maggior parte dei settori le violazioni hanno favorito un modesto miglioramento della sicurezza nel 90% delle aziende.
Come dovrebbero reagire?
Per combattere gli attacchi che sono sempre più frutto di abilità crescenti, secondo Cisco le imprese dovrebbero affrontare la sicurezza con un atteggiamento proattivo mantenendo le infrastrutture e le applicazioni aggiornate in modo che gli aggressori non possano sfruttare le vulnerabilità note, combattendo la complessità, adottando una difesa integrata, rendendo il management consapevole dei rischi, dei vantaggi e degli impatti economici per poi trasferire la consapevolezza all’intera azienda, stabilendo metriche chiare e usando i dati analizzati per convalidare e migliorare le pratiche di sicurezza oltre che prendendo in esame la formazione dei dipendenti in tema di sicurezza.
Solo cattive notizie?
“Ci sono anche buone notizie nel report – rassicura Mercadante. “Per esempio è in continuo miglioramento il tempo di scoperta delle minacce. Grazie alle tecniche di “continuous analytics” e all’automazione e alla visibilità globale degli attacchi in corso si stanno facendo passi da gigante nell’accorciare il “time to detection” (TTD). Per esempio Cisco ha ridotto il TTD mediano a 3 ore e mezza, un risultato impensabile fino a poco tempo fa quando, nel 2015, data in cui abbiamo iniziato a misurare il TTD mediano, era pari a 39 ore. Infine, da sempre consapevoli che lo strumento essenziale per combattere con questi avversari è la conoscenza che viene dalla condivisione dei dati di intelligence, ricerche e idee, in questo report abbiamo inaugurato la collaborazione con 10 partner tecnologici con cui abbiamo messo a fattor comune le conoscenze e competenze”.
Facebook Comments