Pensare soltanto ai pericoli più sofisticati può farci distrarre troppo da quelli più a basso profilo. L’ultimo studio di Cisco, il Midyear Security Report , segnala un problema che aggrava il generale scenario di crescita del cybercrimine: molti attacchi rivolti ad applicazioni e infrastrutture legacy di basso profilo agiscono indisturbati mentre i team di sicurezza delle aziende si concentrano sulla lotta alle minacce che fanno notizia, come Hearthbleed. Gli anelli deboli, in ogni caso, in un panorama delle minacce sempre più dinamico sono tanti e di tipo sia tecnologico sia “umano”: si va dai software obsoleti e costellati di vulnerabilità al calo di prezzi dei kit per fabbibracare exploit, fino agli errori degli utenti e – appunto – alle strategie sbagliate dei team di sicurezza aziendali.
“Molte aziende stanno pensando al futuro dei loro modelli di business considerando la connessione pervasiva promessa dall’Internet of Things”, ha commentato John N. Stewart, senior vice president, chief security officer della divisione Threat Response Intelligence and Development di Cisco. “Per avere successo in questo ambiente in rapida crescita, il management deve comprendere, in termini di business, i rischi informatici associati alla crescente dipendenza della rete. L’analisi e la comprensione degli anelli deboli nella sicurezza risiede in gran parte nella capacità delle singole organizzazioni, e del mercato, di creare consapevolezza circa i rischi informatici – e far sì che la sicurezza informatica sia una priorità per il business. Per contrastare la criminalità informatica – prima, durante e dopo un attacco – le aziende devono affrontare numerosi vettori di attacco con soluzioni di sicurezza che agiscono in qualsiasi punto ci sia la possibilità che si manifesti una minaccia”.
Lo studio ha esaminato nel dettaglio 16 grandi multinazionali, che a partire dal 2013 hanno maneggiato un patrimonio complessivo di oltre 4mila miliardi di dollari con fatturati di oltre 300 miliardi di dollari. E da quest’analisi sono risultati tre aspetti particolarmente importanti. Il primo è il rischio legato agli attacchi cosiddetti “man-in-the-browser”, basati su codici dannosi impiantati dall’hacker nel computer della vittima e che agiscono poi all’interno del browser: circa il 94% delle reti dei clienti osservate nel 2014 hanno generato traffico verso siti Web contenenti malware.
Il secondo fenomeno di grande impatto è quello delle botnet “hide and seek”. Circa il 70% delle reti osservate rilasciava query DNS per Dynamic DNS Domains, e a detta di Cisco questa è la dimostrazione della presenza di malfunzionamenti o compromissioni dovute a botnet che utilizzano DDNS per modificare l’indirizzo IP, in modo da evitare il rilevamento o l’inserimento in blacklist. Alcuni legittimi tentativi di connessione in uscita dalle reti aziendali sarebbero effettuati alla ricerca di domini DNS dinamici a partire da callback C&C in uscita, nell’intento di mascherare la posizione della loro botnet.
Terzo problema rilevato da Cisco è la cifratura dei dati rubati: circa il 44% delle reti dei clienti analizzate nel 2014 hanno inviato richieste DNS per siti e domini con dispositivi che forniscono servizi di cifratura. Questi ultimi vengono sfruttati dai criminali informatici per coprire le loro tracce estraendo i dati e utilizzando canali di cifratura, così da evitare il rilevamento tramite VPN, SSH, SFTP, FTP ed FTPS.
C’è poi un altro, più specifico trend emerso dallo studio: un inusuale aumento dei malware nei mercati verticali durante la prima metà del 2014. In questo periodo i settori farmaceutico e chimico, ancora una volta si sono posizionati tra i primi bersagli che rischiano di essere colpiti da malware, secondi solo al mondo dei media e dell’editoria (in cui la probabilità di imbattersi in un programma nocivo è quattro volte superiore alla media) e davanti a quello dell’aeronautica. Fra i dati del report spicca anche il calo del 87% nel numero degli exploit (legato anche all’arresto del presunto creatore del popolare exploit kit Blackhole) e la conferma di Java come linguaggio di programmazione più sfruttato dai cybercriminali per sferrare i loro attacchi.