security report 2014 - service pro · stati raccolti dai sensori check point threat emulation nel...

CHECK POINTSECURITY REPORT

2014

2014 CHECK POINT ANNUAL SECURITY REPORT

02 THREATS TO YOUR ORGANIZATION

02

01


CHECK POINT 2014 SECURITY REPORT

01 INTRODUZIONE E METODOLOGIA

02 L’ESPLOSIONE DEI MALWARE SCONOSCIUTI

03 IL NEMICO CHE CONOSCI-Malware in azienda

04 APP(ETITO) PER LA DISTRUZIONE Applicazioni ad alto rischio in azienda

05 DATA LOSS PREVENTION Il grande ritorno

06 L’ARCHITETTURA DI SICUREZZA PER LE MINACCE DI DOMANI La Software-defined Protection

07 PROFILO Check Point Software Technologies

11

03

21

37

50

60

66


02


03


INTRODUZIONE E

METODOLOGIA

01


01 INTROdUCTION ANd mETHOdOLOgY

04


05


01

difesa. Le tecnologie coinvolte, i mezzi di connessione e i metodi di intrusione si sono evoluti in maniera signifi-cativa dalla fine degli anni ’80, tuttavia l’identificazione dei sistemi compromessi, la risposta agli incidenti e la protezione di sistemi e dati da attacchi futuri continuano a rappresentare le sfide principali che le organizzazioni di tutto il mondo devono affrontare, indipendentemente dalle dimensioni e dal mercato in cui operano.

Oltre venticinque anni fa, un amministratore UNIX ha seguito la traccia di un errore di fatturazione del valore di 75 cent fino ad arrivare a un gruppo di spie dell’Est che stava tentando di trafugare segreti dal governo e dalle forze armate statunitensi. Il racconto di come segue il percorso dagli allarmi iniziali fino alla scoperta della violazione su larga scala e la sua battaglia con-tro i malviventi è narrato nel libro The Cuckoo’s Egg ed è tutt’oggi un modello delle sfide legate alla cyber

INTRODUZIONE E METODOLOGIA

"ANALIZZANDO IL SISTEMA, VEDEVO L’HACKER AGGIRARSI ALL’INTERNO DELLA RETE MILITARE. UNO PER UNO HA TENTATO DI ACCEDERE A QUINDICI COMPUTER DELLE FORZE AEREE PRESSO LE BASI MILITARI DI EGLIN, KIRTLAND E BOLLING. NIENTE. SI CONNETTEVA AL COMPUTER, FACEVA UNO O DUE TENTATIVI PER PASSARE POI AL SISTEMA SUCCESSIVO. FINO A CHE NON HA CERCATO DI VIOLARE L’AIR FORCE SYSTEMS COMMAND SPACE DIVISION. PRIMA HA PROVATO A ENTRARE NEL SOLO ACCOUNT DI SISTEMA CON LA PASSWORD “MANAGER.” NULLA. POI GUEST, CON LA PASSWORD “GUEST.” NESSUN RISULTATO. POI FIELD, PASSWORD “SERVICE.” […] SHAZAM: LA PORTA SI E’ SPALANCATA. SI E’ REGISTRATO COME FIELD SERVICE. NON COME UN SEMPLICE UTENTE. MA CON UN ACCOUNT PRIVILEGIATO. […] DA QUALCHE PARTE NELLA CALIFORNIA MERIDIONALE, A EL SEGUNDO, UN GRANDE COMPUTER VAX VENIVA VIOLATO DA UN HACKER DALL’ALTRA PARTE DEL MONDO."

Clifford Stoll, The Cuckoo’s Egg1

Viruses



06

Nel 2013, l’information security si è guadagnata massima visibilità presso il pubblico, guidata dall’alto profilo dei data breach registrati. Il furto e la pubblicazione di informazioni di intelligence statunitensi ha dominato le prime pagine per gran parte dell’anno e ha scosso le relazioni diplomatiche tra i paesi di tutto il mondo. Breach su larga scala di dati di carte di credito sono esplosi e hanno rovinato le ferie di molti retailer e utenti finali. Cyber warfare e “hacktivism” hanno ridisegnato la natura dei conflitti tra individui e nazioni, anche grazie al trend “Internet of Things” che ha portato in rete molti aspetti della vita di tutti i giorni—e li ha resi vulnerabili.

All’interno della comunità della security un’esplosione di malware sconosciuti—non solo nuove minacce ma nuove modalità di creare e implementare minacce non individuabili su grande sala—ha fatto emergere la questione sulla validità di strategie e tecnologie esistenti. Anche forme di malware più note si sono rivelate estremamente resistenti alle difese in essere, mentre mobilità, consumerizzazione e “shadow IT” hanno aumentato in modo significativo la complessità della sfida.

I Trend del Malware

Worms

Viruses

Adwares & Spywares

DDoS APTs

19972004

2007

• Utilizing Web Infrastructures (DNS)

• Ransomware• Hacktivism

• State Sponsored Industrial Espionage

• Next Gen APTs (Mass APT Tools)

20102014

5 DOMANDE CHE OGNI AZIENDA DEVE PORSI 1. COME HA INFLUITO SULL’ORGANIZZAZIONE

L’ATTUALE SCENARIO DELLA SICUREZZA? 2. QUALI MINACCE AVETE AFFRONTATO E QUALI

RISCHI EMERGENTI VI PREOCCUPANO DI PIU’? 3. RITENETE DI AVERE LA GIUSTA STRATEGIA E

GLI STRUMENTI ADEGUATI PER AFFRONTARE LA SFIDA—O VI SENTITE IMPOTENTI DI FRONTE ALLE

CONTINUE ONDATE DI EVENTI NEGATIVI? 4. QUALI NUOVE MISURE

ADOTTERETE NEL PROSSIMO ANNO?5. COME PENSATE DI AIUTARE LA VOSTRA

ORGANIZZAZIONE A RAFFORZARE LE DIFESE?

Il team di ricercatori Check Point ha analizzato un anno di dati di oltre 10.000 organizzazioni per identificare i trend critici relativi a malware e information security del 2013 che le aziende dovranno affrontare nel 2014 e oltre. Il Check Point 2014 Security Report presenta i risultati di questa ricerca. Questa dettagliata analisi delle minacce e dei trend della sicurezza nel 2013 aiuterà i responsabili della sicurezza e i manager a comprendere la gamma di rischi a cui le loro aziende sono sottoposte.

01 INTROdUzIONE E mETOdOLOgIA



07

2449 mins

H

27 mins

10 mins

9 mins

3 mins

1 min

UN GIORNO QUALSIASI

IN UN’AZIENDA

Ogni 9minuti viene utilizzata un’applicazione ad alto rischio

Ogni 27minuti viene scaricato un malware sconosciuto

Ogni minuto un host accede a un sito malevolo

Ogni 49minuti dati sensibili vengono inviati al di fuori dell’organizzazione

Ogni 24ore un host viene infettato da un bot

Ogni 3minuti un bot comunica con il suo command and control center

Ogni 10minuti viene scaricato un malware noto

Fonte: Check Point Software Technologies

Grafico 1-1



08

Il report comprende inoltre suggerimenti sul modo in cui difendersi da queste e minacce future. I punti salienti della ricerca:

• L’utilizzo di malware sconosciuto è esploso a seguito del trend noto come malware “mass customization”4 — in media 2,2 malware sconosciuti (mai visti prima) colpiscono le aziende ogni ora.

• L’esposizione a malware e le infezioni sono saliti complessivamente e riflettono il crescente successo di campagne malware mirate – nel 2013 il 73% delle organizzazioni ha identificato almeno un bot rispetto al 63% del 2012.

• Ogni categoria di applicazioni ad alto rischio ha incrementato la sua presenza nelle aziende globali – per esempio il 63% delle organizzazioni ha registrato l’uso di BitTorrent rispetto al 40% del 2012.

• Gli incidenti di data loss sono aumentati per mercati e tipologie di dati – l’88% delle imprese ha sperimentato almeno un potenziale incidente di data loss rispetto al 54% del 2012.

Le fonti di dati per questo reportIl Check Point 2014 Security Report si basa su una ricerca e un’analisi collaborativa degli eventi di sicurezza raccolti dai report sulle minacce dei security gateway Check Point (Security Checkup)5, i sensori Check PointThreat Emulation6, Check Point ThreatCloud™ 7, e i report Check Point Endpoint Security8

Una meta-analisi degli eventi di sicurezza di rete presso 996 aziende è stata condotta avvalendosi di dati raccolti dalle attività Check Point Security Checkup che hanno scansito in tempo reale il traffico di rete in ingresso e in uscita. Questo traffico è stato valutato dalla tecnologia Check Point Software Blades9 per identificare una vasta gamma di applicazioni ad alto rischio, tentativi di intrusione, virus, bot, perdita di dati sensibili e altre minacce alla sicurezza. Il traffico di rete è stato monitorato in tempo reale tramite l’implementazione della modalità Check Point Security Gateway10 inline or in monitor (tap).

IL PANORAMA COMPLETO DELLE MINACCE

Utenti, dati e sistemi dell’ambiente IT

Obiettivi di businesss

Malware – panorama delle minacce

COMPRENDERE LA

SICUREZZA



09

In media è stato il monitorato il traffico di ogni azienda per 216 ore. Le imprese coinvolte abbracciano diversi settori industriali in differenti aree geografiche, vedi Grafico 1-2.

Inoltre, sono stati analizzati gli eventi di 9.240 security gateway utilizzando dati generati da Check PointThreatCloud, un enorme database aggiornato in tempo e popolato con i dati raccolti da una vasta gamma di sensori globali situati in modo strategico in tutto il mondo. ThreatCloud colleziona informazioni su attacchi malware e minacce e consente l’identificazione di trend e rischi di sicurezza, dando luogo a una rete collaborativa per combattere il cyber crime. Per la nostra ricerca, i dati ThreatCloud raccolti nel corso del 2013 sono stati consolidati e analizzati.

I dati relativi alle minacce per malware sconosciuti sono stati raccolti dai sensori Check Point Threat Emulation nel periodo giugno-dicembre 2013. Check Point Threat Emulation agisce come sandboxing cloud-based e l’analisi dinamica di file sospetti viene identificata dai gateway Check Point. I dati di Threat Emulation anonimizzati da 848 security gateway sono stati integrati in ThreatCloud per l’aggregazione, correlazione e analisi avanzata.

Infine, è stata condotta una meta-analisi di 1.036 Endpoint Security report in diverse aziende. Queste analisi ha effettuato la scansione di ogni host per validare il rischio di data loss, intrusione e malware. La valutazione è stata effettuata con lo strumento di reporting di Check Point Endpoint Security che verifica se la soluzione antivirus è attiva sull’host, se è aggiornata, se il software era della versione più recente, ecc. Questo strumento è gratuito e disponibile al pubblico e può essere scaricato dal sito Check Point.

La maggior parte dei dati del Check Point 2014

Security Report è corredata da esempi di incidenti che illustrano la natura delle minacce odierne, il loro impatto sulle imprese colpite e le loro implicazioni per la comunità della sicurezza. I suggerimenti degli esperti forniscono indicazioni per garantire che le strategie e le soluzioni di sicurezza in essere siano rilevanti ed efficaci per gli attuali rischi. Il report è diviso in capitoli dedicati al malware sconosciuto, al malware noto, alle applicazioni ad alto rischio e alla data loss.

Americh

e

EMEA

*

APAC**

Geografie

24% 47% 29%

Mercati

Altro

Indus

tria

Finan

za

Pubbli

ca

Amministr

azion

e

4% Telco

1% Consu

lenza

46%22%15%12%

* EMEA – Europa, Medio Oriente e Africa** APAC – Asia Pacific e Giappone.

Grafico 1-2




02 THE ExPLOSION Of UNKNOwN MALwARE

10

11


L’ESPLOSIONE DEI MALWARE SCONOSCIUTI

02


12

13


13

144%

L'AUMENTO DEL NUOVO

MALWARE DAL 2012 AL 2013

18,000,000 2010

12,000,000 2009

18,500,000 2011

34,000,000 2012

83,000,000 2013

02

Alla fine del 2013, i ricercatori di Check Point, in collaborazione con il nostro servizio di Threat Emulation, hanno scoperto e analizzato una nuova variante di malware che impiega una sofisticata combinazione di tecniche per eludere i proxy e le soluzioni anti-malware. Denominata “HIMAN”12 dai ricercatori del settore, questa minaccia racchiude le caratteristiche degli attacchi mirati che stanno sfidando aziende e professionisti della sicurezza IT in tutto il mondo.

Un Security Gateway utilizzato da un cliente di Check Point abbonato al servizio Threat Emulation, ha effettuato la scansione di un documento Microsoft Word allegato ad una email proveniente dall’indirizzo

La minaccia dei malware sconosciutiLe tradizionali tecnologie di sicurezza, quali anti-virus e sistemi di prevenzione delle intrusioni, sono molto efficaci nel rilevare i tentativi di sfruttamento di vulnerabilità software e di configurazione noti e in alcuni casi possono prevenire anche exploit sconosciuti. Gli hacker lo sanno bene e si possono quindi permettere il lusso di testare i loro nuovi malware o exploit su queste tecnologie e verificarne il grado di rilevabilità.

La “guerra tecnologica” tra fornitori di sicurezza e pirati informatici ha portato ad una rapida evoluzione nelle tecniche utilizzate dagli hacker che tentano di sfruttare sia vulnerabilità sconosciute (note anche come zero-day exploit perché occorrono ore o giorni per rilevarle e fornire le adeguate protezioni) sia altri metodi di infezione ignoti al fine di aggirare le difese.

CIÒ CHE È NOTO È FINITO, CIÒ CHE È IGNOTO È INFINITO.

Thomas Henry Huxley11

L’ESPLOSIONE DEI MALWARE SCONOSCIUTI

Fonte: AV-Test.org

Grafico 2-1


14

MALWARE SCONOSCIUTI

ATTACCANO LE AZIENDE OGNI ORA

2.2

HIMAN dimostra come gli autori dei malware stiano sfruttando la propria esperienza nelle chiamate API di Windows, il comportamento del sistema operativo e il funzionamento di strumenti anti-malware per evitare il rilevamento, senza dover affrontare spese per lo sviluppo o l’acquisto di vere e proprie vulnerabilità zero-day. Questa sofisticazione si estende alle comunicazioni command and control (C&C) e ai processi di exfiltration: HIMAN può forzare i proxy in uscita utilizzando le credenziali archiviate, crittografare i dati raccolti utilizzando AES14, e impiegare tecniche di offuscamento durante l’exfiltration per eludere il filtering in uscita.

Una volta installato correttamente, e dopo aver stabilito una connessione verificata a un server C&C funzionante, HIMAN compone ed esegue dinamicamente uno script che raccoglie dati sui servizi in esecuzione, sugli account locali con diritti di Administrator e altre informazioni sulla configurazione del sistema e sulla rete locale visibili alla macchina infetta. Provvisto di queste informazioni, l’utente malintenzionato possiede una mappa completa della rete locale, nonché un trampolino di lancio per penetrare ulteriormente nell’azienda presa di mira ed effettuare ulteriori ricognizioni, movimenti laterali, esfiltrazione ed esecuzione di attacchi su server, sistemi e processi aziendali.

Utilizzando una combinazione di tecniche note e

[email protected] con oggetto “Invito al ricevimento”. Quando il documento è stato aperto in ambiente sandbox ha sfruttato una nota vulnerabilità (CVE-2012 - 0158) al fine di installare un file denominato “kav.exe” nella cartella Impostazioni locali\Temp del computer preso di mira. Il nome del file assomiglia all’eseguibile dell’ antivirus13 di Kaspersky, e il malware stesso sembra correlato a precedenti campagne di malware che i ricercatori attribuiscono ad uno o più gruppi di APT (Advanced Persistent Threat) cinesi. L’analisi rivelerà che il file è un dropper a due fasi che si auto-rinomina quando è in procinto di installarsi sul sistema di destinazione e poi aggancia il processo explorer.exe per caricare un DLL malevolo.

I ricercatori Check Point hanno condotto un’indagine sulle banche dati di malware noti e hanno scoperto che nessun vendor di antivirus era in grado di rilevare questa minaccia nel momento in cui è stata individuata.

Il malware ha iniettato una library malevola (mswins64. dll) utilizzando una serie di chiamate Windows e l’esclusione reciproca, assicurandosi di installare il malware nel sistema client in maniera tale da evitare l’individuazione da parte delle soluzioni anti-malware esistenti. Una volta installato, il malware scriveva una voce nel Registro di sistema utilizzando un percorso diverso da quelli comunemente utilizzati da processi malware che sono quindi più attentamente monitorati dai software preposti. Questa combinazione di chiamate API (Application Programming Interface) e percorsi di registro meno diffusi consente al malware di aumentare le sue possibilità di eludere il rilevamento.

MENO DEL 10% DEI MOTORI ANTIVIRUS HA RILEVATO MALWARE SCONOSCIUTI

ALLA LORO PRIMA APPARIZIONE


02 THE ExPLOSION Of UNKNOwN mALwARE

15

CREARE

SCONOSCIUTI È COSÌ FACILE CHE

POTREBBE FARLO ANCHE UN BAMBINO

Questa nuova generazione di malware ha messo alla prova molte delle difese tradizionali in tre modi principali. In primo luogo, Stuxnet era particolarmente mirato poiché studiato e progettato per un sistema specifico, in un ambiente specifico, e con obiettivi specifici in mente. In secondo luogo era decisamente raro, il che vuol dire che non era mai stato esposto alle reti di raccolta e analisi che i produttori di antivirus avevano sviluppato per tenere il passo con virus e bot “mass market” che hanno caratterizzato il panorama del malware per un decennio. In questo contesto ha potuto quindi agire indisturbato e inosservato per un periodo imprecisato, forse per anni. Infine, Stuxnet era nettamente differente dall’approccio di alto profilo point-scoring che ha caratterizzato i virus e la maggior parte dei worm quali Code Red16 e Sasser17, che sono venuti dopo. Per questi motivi, era chiaro che chiunque si celasse dietro a Stuxnet sarebbe stato “persistente”. In breve, Stuxnet ha rappresentato un nuovo tipo di malware mirato, raro e motivato - contro il quale le tecnologie esistenti antivirus e di prevenzione delle intrusioni nulla hanno potuto. In questo senso ha rappresentato l’avanguardia di un’ondata di malware personalizzati che hanno poi richiesto una nuova serie di strumenti e strategie per contrastarli. L’emergenza HIMAN evidenzia la continua evoluzione di questa tendenza e la minaccia che rappresenta.

sconosciute per trovare un appiglio nella rete aziendale e trafugare informazioni sensibili, il malware HIMAN mette in evidenza sia la flessibilità di autori e pirati, sia le sfide che i professionisti della sicurezza hanno dovuto affrontare nel 2013.

Come siamo arrivati fin qui ? L’evoluzione del malware sconosciutoPer diversi anni, i pericoli di attacchi mirati e di minacce avanzate persistenti (APT) hanno catalizzato gran parte dell’attenzione nel mondo della sicurezza IT. Le APT irrompono sulla scena nel 2010 con gli attacchi mirati Stuxnet15, in cui un malware appositamente sviluppato e altamente specializzato ha destabilizzato il sistema di controllo di una centrifuga nucleare iraniana come parte di un attacco cinetico e cyber combinato sponsorizzato da uno stato.

33% DELLE

ORGANIZZAZIONI HA SCARICATO ALMENO

UN FILE INFETTO DA MALWARE SCONOSCIUTI

02 L'ESPLOSIONE dEI mALwARE SCONOSCIUTI


16

Il 22 ottobre 2013, una media company ha ricevuto sei e-mail sospette che sono state successivamente analizzate dal servizio Check Point Threat Emulation.

• Da: [email protected] • Oggetto: UPS Delivery Notification• Allegato: invoiceBQW8OY.doc

(MD5 ad0ef249b1524f4293e6c76a9d2ac10d)

Durante la simulazione automatizzata in un sandbox vir-tuale di un utente che apre un file potenzialmente dannoso, sono stati rilevati diversi comportamenti anomali: • Microsoft Word si è chiuso e si è ricaricato con un

documento vuoto • E’ stata impostata una chiave di registro • E’ stato avviato un nuovo processo sul dispositivo

Check Point Threat Emulation ha quindi stabilito che il file era malevolo.

Ulteriori analisi da parte dei ricercatori di sicurezza Check Point hanno evidenziato inoltre che i documenti di tutti e 6 i messaggi di posta elettronica erano identici e sfruttavano la vulnerabilità CVE-2012-0158 di Micro-soft Word. Questa vulnerabilità, conosciuta anche come MSCOMCTL.OCX RCE18, consente l’esecuzione di codice remoto sul dispositivo finale.

L’analisi ha identificato il payload maligno come una variante personalizzata del Trojan Zbot19 che trafuga le informazioni con attacchi man-in-the-browser, keystroke logging, form grabbing e altri metodi. La registrazione di questi esempi su VirusTotal20 ha rivelato un tasso di rilevamento ridotto (< 10 percento) sia per l’allegato malevolo che per la vari-ante ZBOT al momento della submission.

I ricercatori Check Point hanno analizzato i diversi URL da cui il documento malevolo è stato scaricato e hanno deter-minato che un elenco di parametri unici passati ai server infetti era in realtà un designatore cifrato di target base64, contenente l’indirizzo e-mail di destinazione. Questi URL univoci rappresentavano gli indirizzi email di utenti in gran-di organizzazioni, tra cui istituzioni finanziarie, produttori internazionali di automobili, aziende di telecomunicazioni, agenzie governative ed enti statali nordamericane, prese di mira da questo attacco. Tali obiettivi indicano che gli attacchi sono parte di una campagna mirata pensata per catturare credenziali utente, informazioni bancarie e altri elementi che potrebbero essere utilizzati per accedere ai dati più sensibili delle organizzazioni colpite.

ATTACCO MIRATO, CAMPAGNA GLOBALE

DEI FILE INFETTI DA MALWARE

SCONOSCIUTI SONO PDF

IL35%



02 THE ExPLOSION Of UNKNOwN mALwARE

17


una vulnerabilità o debolezza nota, ma che non può essere rilevato al momento della sua scoperta neppure da soluzioni antivirus, anti-bot o sistemi IPS aggiornati. La finestra di efficacia dei malware sconosciuti ha spesso la durata di soli 2-3 giorni, il tempo necessario ai vendor di antivirus per rilevarli sui network globali e sviluppare signature per contrastarli.

Questa è una distinzione importante perché ci permette di comprendere la vera natura dei tipi di malware che hanno monopolizzato la scena nel 2013.

Rendere noto l’ignoto Nel 2013 i motori di emulazione di Check Point, una forma avanzata di malware sandboxing automatizzato utilizzato in tutto il mondo, hanno rilevato che 2,2 unità di malware sconosciuti colpiscono le aziende ogni ora, pari a una media di 53 al giorno.

La ricerca Check Point ha evidenziato che due fattori principali hanno caratterizzato questo improvviso aumento della frequenza: 1. Gli aggressori hanno impiegato meccanismi

automatizzati per la creazione di malware sconosciuti evasivi su grande scala destinati a organizzazioni di tutto il mondo attraverso campagne coordinate al fine di massimizzarne l’efficacia.

2. L’investigazione e i processi di risposta manuali utilizzati per mitigare gli attacchi mirati non sarebbero in grado di tenere il passo con questo nuovo e incrementato volume di incidenti.

2013: Inizio promettente, finale deludenteGli amministratori della sicurezza stanno acquisendo sempre maggiore familiarità sia con gli attacchi mirati, che con i nuovi strumenti necessari per combatterli. Le tecnologie di malware sandboxing automatizzate e network-based sono strumenti ben noti ai team di sicurezza di grandi aziende ed enti pubblici che li hanno adottati come strati aggiuntivi sulla loro infrastruttura esistente per poter rilevare i malware che altrimenti eluderebbero le difese signature e reputation-based a livello di gateway ed endpoint.

Tuttavia il 2013 ha visto un drammatico aumento nella frequenza degli attacchi da parte di “malware sconosciuti” che hanno applicato tecniche di offuscamento e di evasione degli APT ai malware noti in campagne mirate di portata globale (Box: Attacco Mirato, Campagna Globale). Se da un lato gli attacchi mirati altamente specializzati rimangono una sfida, le “personalizzazioni di massa” fanno sì che per campagne più ampie, motivate anche dal cospicuo guadagno finanziario, la disponibilità di malware mirato ad elevata efficacia sia maggiore.

“Sconosciuto” o “zero -day”E‘ importante evidenziare le differenze tra malware sconosciuti ed exploit “zero-day”. Gli zero-day sfruttano una vulnerabilità sconosciuta e mai rilevata per la quale non esiste alcuna patch. Malware sconosciuto fa riferimento a codice maligno che sfrutta

Grafico 2-2

Come funziona il Sandboxing

I file sospetti vengono inviati ad un sandbox virtuale locale o off-box

Si apre e si esegue il file sconosciuto in un OS virtuale. Si verifica l'esecuzione di azioni dannose:•Registro•File system•Servizi•Presa di rete

Se pulito, si invia a destinazione. Se dannoso, possibili azioni:•Si invia a destinazione

con un alert•Si blocca

Sandbox VirtualeFile Sconosciuto

File OKInspection Service

File ricevuto come allegato e-mail o scaricato




18

Un diluvio di nuovi malwareL’analisi di Check Point sui dati malware del 2013 mette in evidenza l’elevata frequenza con cui il malware sconosciuto è stato rilevato presso i gateway di tutto il mondo. Dati provenienti da fonti esterne hanno confermato questi risultati. AV-TEST21, un Istituto di ricerca indipendente su sicurezza IT e anti-virus, registra oltre 220.000 nuovi programmi malevoli ogni giorno. Nel 2013 AV-TEST ha identificato oltre 80 milioni di nuovi malware, più del doppio rispetto al 2012.

La nostra ricerca sui dati malware nel 2013 offre molte informazioni su questa tendenza e sul suo significativo impatto. Come rilevato dal campione analizzato, un terzo delle organizzazioni ha scaricato almeno un file infetto da malware sconosciuto.

L’analisi delle rilevazioni effettuate nel 2013 ha mostrato che la maggior parte dei malware sconosciuti è stata inviata agli utenti via e-mail, spesso integrati in allegati. Nel 2013 , il PDF è stato il formato più utilizzato per ospitare malware sconosciuti - pari a circa il 35% dei file rilevati dall’emulazione - e sfruttare le versioni non aggiornate di Adobe Reader (Grafico 2-3). La ricerca mostra che anche i formati EXE e di archiviazione sono abbastanza comuni, attestandosi rispettivamente al 33 ed al 27% dei file dannosi analizzati.

Tra i formati di file Microsoft Office, il più popolare è Word (.doc) , anche se i dati della nostra analisi di sandboxing malware hanno riportato che gli aggressori diffondono i loro attacchi anche attraverso altri formati. In tutto, sono stati rilevati malware sconosciuti in 15 diversi tipi di file di Office, compresi i template per Word e PowerPoint, e diversi formati di Excel. Sebbene la maggior parte dei file di archivio maligni si presentino in formato ZIP - presumibilmente perché tutti i sistemi Windows hanno la possibilità di aprire gli archivi ZIP – l’analisi di Check Point ha comunque rilevato malware in tutti gli altri principali tipi di file di archivio, quali TAR, RAR, 7z e CAB.

2.2 MALWARE SCONOSCIUTI COLPISCONO LE AZIENDE OGNI ORA, PARI A UNA MEDIA DI 53 AL GIORNO


Tipologie di Malware Sconosciuti

Grafico 2-3

PDFEX

EArch

ive

5% Micr

osoft

Office

35%33%27%


19


RaccomandazioniL’esplosione di malware sconosciuti del 2013 comporterà una revisione degli strumenti e dei processi finora implementati dalle organizzazioni quasi esclusivamente per rilevare e rispondere ad attacchi mirati di lieve entità. Le funzionalità detection-only - che richiedono mitigazione manuale e a cui manca il blocco automatico - lasciano i team di sicurezza scoperti mentre cercano di tenere il passo con l’ondata di malware sconosciuti che colpisce le loro reti.

Attualmente l’emulazione, o sandboxing automatizzato e avanzato del malware, rappresenta una soluzione necessaria per ogni organizzazione. Anche le più reattive tra le soluzioni antivirus, anti- bot e IPS si troveranno a fare i conti con una finestra di 2-3 giorni durante i quali il malware sconosciuto rimarrà inosservato - un

Questa esplosione di malware sconosciuti è stata in parte guidata dalla accessibilità di tecniche di offuscamento che in passato richiedevano competenze e strumenti specializzati, o entrambi (vedi box: Racconti del Crypter)22. I casi studiati in questo capitolo dimostrano che le modalità con cui i malware attualmente vengono inviati ha raggiunto un grado di sofisticazione ancora maggiore, spesso associato a mere varianti. Questa raffinatezza rende ancor più difficile la sfida che pongono perché richiede funzionalità di rilevamento e analisi più intelligenti e sottili da adottare ben al di là delle risorse di management, di risposta agli incidenti e di monitoraggio oggi disponibili in molte organizzazioni.

Al fine di bypassare il rilevamento da parte degli anti-malware, i moderni autori di software malevoli mantengono e utilizzano strumenti di offuscamento specializzati denominati “Crypter”. Per accertarsi che le loro varianti non vengano identificate, gli autori di malware evitano le piattaforme di scansione antivirus come VirusTotal e altre che condividono i campioni con i fornitori di anti-malware, optando per servizi privati quali razorscanner, vscan (aka NoVirusThanks) e chk4me. I crypter sono classificati dalle comunità di hacker come UD (UnDetectable) o FUD (Fully UnDetectable) in base alla loro capacità di eludere il rilevamento antivirus.

Nel 2013, Check Point Threat Emulation ha rilevato una variante di malware criptata e precedentemente sconosciuta, progettata per inviare DarkComet, un noto Remote Administration Tool (RAT)23.Nel caso del campione, una stringa PDB integrata ha rivelato di essere un prodotto del crypter iJuan, disponibile online sia come versione gratuita (UD), che a pagamento (FUD). Tecnicamente classificato come Portable Executable (PE)24 Packer, da non confondere con ransomware di cifratura come

CryptoLocker25,i crypter di questo tipo camuffano gli eseguibili grazie a vari schemi di crittografia e di codifica, abilmente combinati e ricombinati, spesso anche più di una volta.

Il campione preso in esame, che è stato in grado di eludere la maggior parte delle soluzioni antivirus, è stato confrontato con un rilevamento simile effettuato in un paese diverso, ed è stato confermato che si trattava di una versione diversamente offuscata dello stesso payload DarkComet, che comunicava con lo stesso server C&C. Questi due fattori hanno rivelato che entrambe le rilevazioni - una effettuata in Europa e l’altra in America Latina - erano in realtà parte della stessa campagna.

Queste identificazioni hanno evidenziato i meccanismi interni della famiglia di attacchi avanzati che stanno modificando sia il panorama delle minacce che la gamma di soluzioni di cui dovrebbero munirsi i manager della sicurezza per difendere reti e dati.

RACCONTI DEL CRYPTER



20

intervallo di tempo più che sufficiente affinché i pirati informatici entrino all’interno dell’organizzazione.

Queste soluzioni dovrebbero essere parte integrante dell’infrastruttura di sicurezza di un’organizzazione piuttosto che un semplice livello aggiuntivo. Le aziende dovrebbero in definitiva cercare soluzioni di emulazione in grado di fornire:• Integrazione—Un’integrazione con le

infrastrutture gateway, mail ed endpoint esistenti rappresenta l’unico modo per scalare e implementare senza aumentare complessità e costi. L’integrazione della mail è particolarmente critica poiché la posta elettronica è il vettore di attacco primario dei client, dentro e fuori dalla rete.

• Prevenzione—L’approccio detection-only non è più sufficiente per elevati volumi di malware

IdentificazioneMalware Noto

Creazione Toolkit DIY

Packer/CrypterBinder/Joiner

ValidazioneQA Malware

SconosciutoLanciato

Malware QAMulti-AV ScanNoVirusGrazie

Kit fai da te/Malware Tookit SpyEye Zeus BuilderCitadel Builder

Crypter/PackerUPX GUIPFE CXIndectables.net

Joiner/Binder File JoinerEXEBundle

Ciclo di Vita di un Malware

sconosciuti. Le organizzazioni devono cercare soluzioni di prevenzione che offrano la possibilità di rilevare e bloccare automaticamente il malware sconosciuto prima che possa raggiungere la sua destinazione.

• Automazione—La riduzione dei processi manuali per analisi e mitigazione consente alle organizzazioni di tenere il passo con questi attacchi, rispondendo anche ad altri obiettivi di sicurezza e business. La prevenzione automatizzata è fondamentale, così come integrazione di reporting e workflow per notifiche e risposte efficienti.

Il rapido aumento di malware sconosciuto cambia nettamente il panorama della sicurezza, richiedendo nuove strategie e tecnologie, nonché un approccio in grado di fornire una protezione efficace senza sovraccaricare le risorse dell’organizzazione. L’adattamento a questi nuovi requisiti dovrebbe essere visto come una priorità assoluta, nonché di notevole urgenza per ogni azienda. Al tempo stesso, tipologie di attacchi più noti e ormai consolidati continuano a rappresentare una seria minaccia e richiedono costante vigilanza e contromisure proattive. Le ultime tendenze del malware noto verranno esplorate nel prossimo capitolo.

L’EMULAZIONE, O SANDBOXING AUTOMATIZZATO E AVANZATO DEL MALWARE, È OGGI UNA SOLUZIONE NECESSARIA PER OGNI ORGANIZZAZIONE


21


IL NEMICO CHE CONOSCI

Malware in azienda

03


03 THE DEvIL YOU KNOw: MALwARE IN THE ENTERPRISE

22


03 THE dEvIL YOU KNOw: mALwARE IN THE ENTERPRISE

23

03

L’information security ha dominato le prime pagine dei giornali nel 2013, dalle rivelazioni sui programmi di cyber-sorveglianza sponsorizzati dai governi e gli attacchi a organizzazioni quali il Washington Post e Yahoo, fino a epidemie malware di alto profilo come Cryptolocker ed a furti di dati di clienti retail su scala mai vista prima.

Il 2013 ha fatto sembrare il 2012 un anno tranquillo in confronto — e possiamo dire con certezza che il 2012 non è stato assolutamente esente da attacchi informatici, tutt’altro. Si è trattato infatti di un anno di rilievo in termini di quantità e scala degli attacchi, compreso un aumento di hacktivism, attacchi promossi dagli stati verso media e aziende, e data breach presso istituzioni finanziarie di tutto il mondo. I principali trend malware del 2012, presenti nel Check Point 2013 Security Report27 erano stati:• Democratizzazione delle minacce avanzate persi-

stenti• Pervasività delle botnet• Incremento delle vulnerabilità che estendono la super-

ficie di attacco

IL NEMICO CHE CONOSCI: MALWARE IN AZIENDA

DELLE ORGANIZZAZIONI

HA SCARICATO UN FILE MALEVOLO

L'84%

CI SIAMO PREOCCUPATI PER ANNI DELLE ARMI DI DISTRUZIONE DI MASSA. ADESSO È GIUNTO

IL MOMENTO DI PENSARE A UNA NUOVA TIPOLOGIA DI ARMI—QUELLE DI BLOCCO IN

MASSA DELL'IT.

John Mariotti26

Nella nostra indagine abbiamo riscontrato che queste tendenze non solo sono proseguite nel 2013, ma si sono intensificate in ogni senso, dalla frequenza con la qua-le il malware entra nelle organizzazioni fino alla gravità e all’entità delle infezioni bot.

Più veloce non è sempre miglioreSe c’è una statistica della ricerca Check Point del 2013 che meglio cattura le sfide legate al malware che i security administrator devono affrontare è la crescente frequenza con cui il malware viene scaricato dalle aziende coinvolte nello studio. (Grafico 3-1) Nel 2012, circa la metà delle imprese (43 percento) analizzate ha sperimentato il download di malware da parte di un utente a un tasso inferiore di uno al giorno, mentre un altro 57 percento ha sperimentato il download di un malware ogni 2 – 24 ore.

03 IL NEmICO CHE CONOSCI: mALwARE IN AzIENdA



24

Numero Totale di Vulnerabilità Comuni ed Esposizione

2008 5,632

2009 5,736

2010 4,651

2011 4,155

2012 5,297

2013 5,191

Nel 2013, tuttavia, circa due terzi (il 58 percento) delle organizzazioni ha sperimentato il download di malware ogni due ore o meno. Questa accelerazione nei cyber attack si riflette in tutte le statistiche del nostro ultimo rapporto sulla sicurezza. In questo capitolo esploriamo le specificità di questo cambiamento e le sue implica-zioni per la sicurezza e i manager, dando prima uno sguardo alle modifiche nelle vulnerabilità che creano la superficie di attacco per i malware writer e gli hacker.

Meno vulnerabilità o una falsa speranza?L’unico fattore di rischio nello scenario della sicurezza informatica che non è cresciuto nel 2013 è stato il numero di vulnerabilità segnalate. Di primo acchito, questo sembrerebbe offrire un po’ di sollievo dopo i dati del 2012 che suggerivano un’inversione di tendenza rispetto al trend di riduzione delle vulnerabilità registrato negli anni precedenti - aumento del 27 percento (5.297) rispetto al 2011 come indicato dal database Common Vulnerabilities and Exposures (CVE) (Grafico 3-2). Infatti, il 2012 ha visto un ampliamento dello scenario delle

vulnerabilità che ha esteso le opportunità per gli attacker, e anche accresciuto l’area che i security administrator —già in difficoltà data l’introduzione di dispositivi mobili e servizi consumer nella rete aziendale — necessari alla difesa.

Ma il 2013 ha realmente mostrato un trend positivo? Sotto alcuni aspetti sì. La difesa dalle vulnerabilità tipi-camente prevede due approcci:• Applicare le vendor patch disponibili al fine di risol-

vere il problema. Per i sistemi client questo spesso ormai avviene automaticamente, con un testing mi-nimo o assente; per i server spesso sono necessari test aggiuntivi al fine di verificare che le patch non abbiamo effetti negativi.

• Implementare intrusion prevention system (IPS) per identificare e, se desiderato, bloccare i tentativi di sfruttare vulnerabilità note. Questo viene effettuato come misura preventiva fino a che non è possibile ap-plicare un aggiornamento come parte di un normale ciclo di patching. In altri casi, l’IPS è il mezzo principale di difesa di sistemi che non possono essere protetti per svariati motivi.

Grafico 3-1

Frequenza di Download del Malware(% di aziende)

14% Fino a 2 all'ora

19% Ogni 2–6 ore

12% Ogni 6–12 ore

12% Ogni 12–24 ore

43% Più di 1 al giorno

58%

13%

12%

11%

7%

2012

2013


Fonte: database Common Vulnerabilities and Exposures)CVE(

IL 58 PERCENTO DELLE ORGANIZZAZIONI HA SPERIMENTATO IL DOWNLOAD

DI MALWARE OGNI DUE ORE O MENO

Grafico 3-2




25

UN HOST ACCEDE A

UN SITO MALEVOLO

60 OGNI SECONDI

Ma la storia non è quella che potrebbe sembrare. An-che se sono state segnalate un numero inferiore di vulnerabilità, gli esperti concordano che un maggior numero di vulnerabilità critiche vengono trasferite al mercato nero — uno sviluppo potenzialmente più ri-schioso (vedi box: Zero-day, molti dollari).

Il numero di nuove vulnerabilità segnalate tende ad avere una correlazione diretta positiva sul carico di lavoro della sicurezza e delle organizzazioni IT. In quest’ottica, il 2013 sembra certamente aver portato buone notizie a security manager sempre più impegnati. Il database CVE mostra un decremento nel numero di vulnerabilità riportate (5.191) per l’anno, una leggera riduzione del 2 percento rispetto al 2012, e comprende un decremento del 9 percento nel numero di vulnerabilità ‘critiche’ segnalate.

Nonostante un aumento dei programmi di ricerca da parte dei vendor verso le vulnerabilità identificate dai ricercatori, l’elevato valore di mercato di reali vulnerabilità zero-day porta i ricercatori a venderle ad enti governativi “gray-hat”28 — che collaborano con gli hacker per ampliare le loro capacità di cyber difesa — e con organizzazioni professionali di penetration testing. Un mercato nero del

malware ancora più fruttifero serve gli hacker black-hat; qui i prezzi per vulnerabilità non ancora segnalate variano a seconda della piattaforma e spaziano dai $5,000 per Adobe Reader fino ai $250,000 per Apple iOS. La disponibilità di zero-day exploit mette questi sofisticati attacchi informatici alla portata di qualunque organizzazione, indipendentemente dalle loro capacità tecniche.

ZERO-DAY, MOLTI DOLLARI

PIATTAFORMA PREZZO

Adobe Reader $5,000–$30,000

Mac OS X $20,000–$50,000

Android $30,000–$60,000

Browser plug-in per Flash o Java $40,000–$100,000

Microsoft Word $50,000–$100,000

Microsoft Window $60,000–$120,000

Browser Firefox o Safari $60,000–$150,000

Browser Chrome o Internet Explorer $80,000–$200,000

Apple iOS $100,000–$250,000

Fonte: Forbes


26

Anche se un maggior numero di nuove vulnerabilità scompare dal panorama e finisce potenzialmente nelle mani di autori di malware, la distribuzione di quelle se-gnalate evidenzia un’altra sfida per i manager IT e del-la sicurezza (Grafico 3-3). Oracle rimane la piattaforma principale per vulnerabilità segnalate nel 2013, molte delle quali presenti in prodotti Java utilizzati sia in appli-

cazioni server che client, offrendo un’interessantissima opportunità per i criminali. Microsoft, intanto, è scesa ul-teriormente nella lista e occupa il quarto posto, con più vulnerabilità segnalate nei prodotti Cisco e IBM, com-presi i componenti di infrastrutture server e di rete su larga scala non sempre coperti da policy di protezione e monitoraggio IPS.

La maggior parte delle organizzazioni dispone di pro-cessi ben definiti per l’implementazione tempestiva di patch Microsoft. Non vale lo stesso principio per appli-cazioni client quali Java e Adobe Reader, e questo fa sì che siano esposte ad attacchi browser-based tramite spear phishing (messaggi di phishing mirati) e attacchi “watering hole” in cui un criminale compromette un noto sito e vi integra un malware in grado di infettare qualun-que client vulnerabile che visualizzi quella determinata pagina.

Endpoint: senza patch, senza restrizioni e non prepraratiLe statistiche relative alla sicurezza degli endpoint della nostra ricerca 2013 confermano che tenere il passo con le patch rappresenta una sfida significativa, in particolare per i sistemi client (Grafico 3-4). Nonostante la diffusa adozione di processi regolari per l’applicazione di patch Microsoft, il 14 percento degli endpoint analizzati non era dotato dei più recenti service pack Microsoft Windows, che integrano tutti i più recenti aggiornamenti. Cosa ancora più importante, il 33 percento degli endpoint enterprise non disponeva di versioni attuali di software client quali Adobe Reader, Adobe Flash player, Java e Internet Explorer, lasciando buchi che rendono questi client vulnerabili a numerosi attacchi.

Principali Vulnerabilità del 2013 ed Esposizione per Vendor(numero di vulnerabilità)

Grafico 3-3

160 Mozilla

175 Sun

190 Linux

191 Redhat

192 Apple

192 Google

345 Microsoft

394 IBM

433 Cisco

496 Oracle

UN HOST SCARICA MALWARE

10 OGNI MINUTI

Fonte: database Common Vulnerabilities and Exposures )CVE(



27

2013

2012 Grafico 3-5

* Java+Oracle+Sun Solaris

Eventi di Sicurezza per Software Vendor(% delle organizzazioni)

4%

4%

3%

2%

15%

Oracle*

CA Technologies

Novell

3Com

4%

2%

5%

Squid

10%

1%

VideoLAN

15%

13%

Adobe

67% Microsoft

Invece quindi di dare speranza a IT e security manager, l’ambiente del 2013 si mostra molto favorevole per i criminali:

• Un maggior numero di vulnerabilità sul mercato nero, dove rimangono non segnalate e senza patch

• Diffusione di client non protetti• Un passaggio nel numero di vulnerabilità verso

applicazioni e piattaforme che vengono aggiornate meno di frequente

La vulnerabilità di questi sistemi è aumentata dal fatto che quasi il 18 percento degli host analizzati non disponeva delle più recenti signature della soluzione antivirus. La conseguenza di questa mancanza può essere considerevole; un attacker che riesce ad accedere a un client vulnerabile dispone di una solida piattaforma per esplorare il resto della rete dell’organizzazione. Degli enterprise endpoint analizzati, il 38 percento mostra che l’utente dispone di permessi da Administrator locale, abilitando il malware a girare sul sistema (root) quando si avvia invece che essere limitato al contesto dell’utente.

23%

14%

33%

18%

53%

38% Host in cui l’utente ha il permesso di local Administrator

Host con almeno un dispositivo BlueTooth installato

Host che non dispongono di signature AV aggiornate

Host che non dispongono di versioni software aggiornate*

Host che non hanno il più recente Service Pack**

Host che non hanno un desktop firewall in funzione

Vulnerabilità e Problemi di Configurazione degli Endpoint Enterprise(% di hosts)



Grafico 3-4

68%

*I software controllati sono: Acrobat Reader, Flash Player, Java, Internet Explorer

**Le piattaforme Microsoft Windows verificate: Windows XP, Windows 2003, Vista, 2008, 2008 R2, Windows 7




28

I criminali guardano oltre WindowsI dati sugli attacchi derivanti dalla ricerca 2013 mostrano come i criminali si stiano adattando per cogliere queste opportunità nelle reti aziendali (Grafico 3-5). Se Microsoft rimane la piattaforma più colpita nel 2013, con almeno un attacco nel 67 percento delle organizzazioni analizzate, questo dato rappresenta un leggero decremento rispetto al 2012. Gli aumenti negli attacchi ad Adobe (Reader e Flash Player) e VideoLAN (VLC media player) riflettono la crescita di

focus sulle applicazioni end-user, mentre l’incremento nell’attenzione su dispositivi e piattaforme infrastrutturali è evidente nell’incidenza in crescita di attacchi a sistemi Squid (proxy e web caching), 3com (switching e routing) e CA (analisi e identità). In effetti, la distribuzione degli attacchi sulle diverse piattaforme riflette il concetto “long tail” descritto da Chris Anderson29 nel 2006 (Grafico 3-6). Le piattaforme target sono una linea di “mercati di nicchia all’infinito” e conferma il modello di business motivato economicamente degli attuali attacchi informatici.

THE LONG TAILEventi di Sicurezza per tutti i Software Vendor

Adob

e 15%

Novell

2%

HP 0

.4%

3Com

4%

Apac

he 1

%

Yaho

o 0.

2%

Video

LAN

10%

Aurig

ma 2%

AOL 0

.3%

Orac

le 4%

Apple

1%

PHP 0

.2%

BitTo

rrent

0.2

%WWF

0.2%

Micros

oft 6

7%

CA 3

%

HylaF

AX 1

%

Squid

4%

RealN

etwor

ks 0

.2%

LANDe

sk 2

%

Grafico 3-6 Fonte: Check Point Software Technologies


29


I soldi vanno dove ci sono i serverNel 2013, la ricerca Check Point ha evidenziato che i server restano il target primario di attacchi indentificati da sistemi di intrusion prevention (IPS) network-based con un rapporto 2-a-1 (Grafico 3-7). Considerando lo stato di debolezza dei sistemi client descritti in precedenza, ci si domanda: perché attaccare i server quando è più probabile che dispongano di patch e di maggior protezione? Per lo stesso motivo per cui Willie Sutton assaltava le banche: “Perché è lì dove ci sono i soldi.”30 I server applicativi sono vicini alla rete e a volte anche vicini a Internet in una DMZ, e gli attacchi automatizzati sono adatti ai server perché in grado di sfruttare vulnerabilità in servizi o applicazioni senza interazione da parte dell’utente finale. I server possono essere scansiti a livello di porte e di servizi dall’esterno della rete o da un client interno compromesso, e poi colpiti da attacchi specifici sulla base della versione delle applicazioni o del sistema operativo presenti. Vi sono quindi numerosi attacchi che, se hanno successo, assicurano all’hacker il controllo del sistema da remoto.

DEGLI HOST NON DISPONE DI

VERSIONI SOFTWARE AGGIORNATE

IL33%

Eventi di Sicurezza per Piattaforma% del totale 2013

Server

Clienti

32%

68%

Grafico 3-7

Principali Vettori di Attacco )% di Organizzazioni(

Grafico 3-8

51% Code Execution

47% Memory Corruption

Buffer Overflow 36%

Denial of Service 23%

Information Disclosure 16%

Integer Overflow 12%

Authentication Bypass 9%

Brute Force 2%

Stack Overflow 2%

Privilege Escalation 1%

Registration Spoofing 0.2%





30

La posta elettronica continua a essere il vettore di propagazione favorito del malware. Un esempio del 2013 conferma che ancora oggi gli utenti non si accorgono di aver subito un attacco semplice, creando così un meccanismo di distribuzione già pronto per la diffusione del malware nell’organizzazione.

Nell’ottobre 2013, un dipendente di un’azienda manifatturiera francese ha ricevuto una email con l’oggetto “Blagounette du jour,” o “Scherzo del giorno.”33 Allegato al messaggio c’era un file Microsoft Excel da 6MB.

L’analisi automatica di documenti sospetti in ingresso all’interno del sandbox virtuale ha rivelato che il file Excel estraeva l’immagine dell’applicazione Excel nel file system del computer, e modificava la wallpaper key del registro alla nuova immagine. Poiché l’immagine veniva spesso

percepita come buffa, l’inconsapevole utente era portato a condividere questa barzelletta inoltrando il messaggio ad amici e colleghi. Ulteriori analisi hanno confermato che questo è esattamente ciò che è accaduto, e il documento è stato inoltrato ad almeno altre tre aziende francesi.

Fortunatamente per loro, questo documento in particolare non disponeva di un payload malevolo e non era stato pro-gettato per causare danni ai computer degli utenti che lo aprivano. Tuttavia, presenta tutti gli ingredienti di una cam-pagna malware mirata. Coloro che aprivano il messaggio esponevano il proprio PC e la propria azienda a un rischio notevole, aggravato da tutti quelli che lo hanno inoltrato a colleghi o amici, che sono a loro volta diventati un vettore aggiuntivo per la diffusione di una barzelletta che non ha nulla di divertente.

SCHERZO DEL GIORNO: GLI END USER SONO ANCORA L’ANELLO DEBOLE

I principali vettori di attacco osservati nella nostra ri-cerca 2013 (grafico 3-8) si basano sull’esecuzione da remoto del codice (RCE)31, e i tre al vertice in termini di incidenza sono esecuzione del codice, corruzione del-la memoria e buffer overflow. Anche gli attacchi Denial of Service (DoS) possono supportare un attacco ser-ver agendo da cortina di fumo per distrarre l’attenzione dall’attacco server di basso profilo in corso.Una volta che il fumo si è dissolto, l’attacco è stato sferrato e il server compromesso

Client: senza patch, senza restrizioni e non preparatiAnche i client rappresentano obiettivi interessanti, spe-cialmente per gli attacchi network-based che tentano di propagarsi in una rete interna o su una rete pubblica

non protetta. Oltre a essere sprovvisti di patch e ser-vice pack che aggiornano noti servizi obiettivo degli attacchi quali RPC32, i client sono spesso vulnerabili a causa della mancata abilitazione di importanti funzio-nalità di protezione. Per esempio, quasi un quarto (23 percento) degli endpoint enterprise analizzati da Check Point non disponeva di un desktop firewall abilitato, e oltre la metà (53 percento) aveva invece abilitato il Bluetooth, esponendo i sistemi ad attacchi wireless in spazi pubblici.

I sistemi client offrono molte altre opportunità di ac-cesso, sfruttando principalmente il comportamento dell’utente nell’uso dell’email o nella navigazione web. In queste aree, i dati della nostra analisi 2013 riflettono sia l’accelerazione dell’attività malware sia lo sposta-mento verso una personalizzazione di massa




31

un email la cui probabilità di essere aperta dai riceventi è più elevata. Piuttosto che bersagliare l’intera azienda con una email di phishing che può essere facilmente individuata, questi attacchi si rivolgono a uno o due utenti, con un approccio più efficace che ha fruttato un aumento del 20 percento nel numero di host che ha avuto accesso a un sito malevolo rispetto al 2012.

Questo trend spiega anche l’aumento registrato nel 2013 in termini di incidenza di host che hanno scaricato malware, dato che il 76 percento delle imprese analizzate aveva un valore di 1 – 4 host, una crescita del 69 percento rispetto al 2012, mentre l’incidenza è rimasta la stessa o è scesa per tutti gli altri user count (Grafico 3-10).

Un piccolo numero di host che ha avuto accesso a siti malevoli e ha scaricato malware presso un numero più elevato di aziende ha prodotto un’accelerazione complessiva dell’attività malware nel 2013. In media, un host accede a un sito malevolo ogni minuto, e ogni dieci minuti viene scaricato malware.

Nel 2013 l’incidenza di host che hanno avuto accesso a siti malevoli ha continuato a salire. La nostra ricerca mostra che, in media, ogni 60 secondi un host accede a un sito malevolo. Con l’eccezione del parametro “1 – 2 host”, il Grafico 3-9 mostra che la distribuzione del numero di host che ha avuto accesso a siti malevoli non è cambiata rispetto al 2012. Questa notizia apparentemente positiva nasconde in realtà un problema più profondo, dato che si tratta di un effetto delle campagne di spear-phishing che puntano a un numero limitato di utenti all’interno di un’organizzazione e sfruttano i profili social per creare

Grafico 3-9

Accesso a Siti Malevoli per Numero di Host (% di organizzazioni)

36% 20% 18% 12%

31% 18% 20% 16% 15%

15%

Più di

16 Host

9–16 Host

5–8 Host

3–4 Host

1–2 Host

2013

2012

DELLE ORGANIZZAZIONI HA IDENTIFICATO

ALMENO UN BOT RISPETTO AL 63% DEL 2012

IL73%

IL 49% dELLE ORgANIzzAzIONI AvEvA 7 O PIÙ HOST-INfETTI dA BOT




32

Cryptolocker, un tipo di malware noto come “ransomware”, è stato identificato per la prima volta nel settembre 2013. Come altre forme di ransomware, Cryptolocker si installa sul computer della vittima e gira in background cifrando diversi file, invisibile all’utente finale.

Quando la fase di cifratura è completa, Cryptolocker mostra un prompt in cui informa l’utente che i file sono stati presi “in ostaggio” e chiedendo il pagamento di un riscatto ai criminali per decifrarli. La frase dice che se l’utente non accetta questa richiesta entro la finestra di pagamento indicata (spesso inferiore ai 4 giorni), la chiave necessaria per decifrare i file verrà cancellata dai server, rendendo i dati della vittima irrecuperabili.

Non esiste al momento alcun metodo alternativo per ripristinare l’accesso ai dati cifrati.

Un tratto importante di Cryptolocker è che l’agente malware deve trovare e iniziare la comunicazione con il server command and control (C&C) prima di iniziare il processo di cifratura dei file. Il modo più efficace di sconfiggere Cryptolocker è quindi quello di identificare e bloccare il tentativo di comunicazione iniziale da parte dell’agent, prima di connettersi con il C&C server e partire con il processo di cifratura.

Cryptolocker ha mostrato che l’identificazione dei bot, spesso considerata una misura reattiva, può svolgere un ruolo proattivo preventivo. Durante l’epidemia Cryptolocker nell’autunno del 2013, le aziende che disponevano di soluzioni anti-bot intelligenti sono state in grado di mitigarne i danni non solo identificando i client infetti, ma bloccando la comunicazione iniziale con il C&C.

IL BLOCCO DI CRYPTOLOCKER

Grafico 3-10

Numero di Host che ha scaricato Malware(% di organizzazioni)

5–8 H

ost

9–16 H

ost 5%

3% 17–32

Host

4%

Più di 3

3 Host

1–4 H

ost

76%

12%IN mEdIA, UN HOST ACCEdE UN SITO

mALEvOLO OGNI MINUTO,E OGNI DIECI MINUTI

vIENE SCARICATO UN mALwARE




33

I bot estendono la loro portataCome ci si può aspettare da questo aumento nell’attività di infiltrazione, la ricerca Check Point ha evidenziato un corrispondente incremento nelle infezioni e nelle attività bot nel 2013. Se per l’infiltrazione il tema è stato un minor volume di attacchi maggiorente mirati, per i bot è vero il contrario: volumi e frequenze elevati. Nel 2013 le imprese con 22 o più host infetti da bot è salito di quasi il 400 percento (Grafico 3-11), mentre le infezioni più ridotte sono diminuite.

Questi dati non devono far pensare che queste epidemie sono scese complessivamente dato che oltre un terzo (38 percento) delle organizzazioni avevano comunque da 1 – 3 host infetti da bot.

Inoltre, i rischi legati a infezioni bot sono sempre più elevati grazie all’avvento di una nuova generazione di ransomware, esemplificata dall’epidemia Cryptolocker nel 2013 (vedi box: Il Blocco di CryptoLocker).

Non solo le imprese fanno fatica a gestire infezioni di bot più estese nei loro ambienti, ma questi ultimi sono sempre più attivi. La comunicazione dei bot con i server C&C è aumentata in modo drammatico in termini di frequenza nel 2013, con il 47 percento delle organizzazioni che ha identificato tentativi di comunicazione C&C a un tasso superiore a uno l’ora, registrando un incremento dell’88 percento rispetto al 2012 (Grafico 3-12). Facendo una media sull’intero campione analizzato, un bot tenta di comunicare con il suo server C&C ogni tre minuti. Ognuno di questi tentativi rappresenta un’occasione per il bot di ricevere istruzioni e potenzialmente esportare dati sensibili al di fuori dell’azienda colpita. Questa accelerazione nella frequenza rappresenta una seria minaccia per le imprese che stanno tentando di proteggere i loro dati e sistemi.

Numero di Host Infetti da Bot

(% di organizzazioni)

Più di 35 Host

22–35 Host

10–21 Host

7–9 Host

4–6 Host

1–3 Host

6%

16%

7%

18%

18%

10%

8%

18%

14%

48%

38%

0%

Grafico 3-11

2013

2012




34

IL77%DEI BOT SONO ATTIVI PER

PIÙ DI 4 SETTIMANE

77%

23%

più di 4 settimane

meno di 4 settimane

Grafico 3-12

Frequenza di Comunicazione dei Bot con i loro Command and Control Center(% di organizzazioni)

2013

2012

Più di 4 ore

2–4 ore

1–2 ore

Fino a 1 ora

24%

10%

3%

6%

45%

40%

25%

47%

La difesa dai bot diventa fondamentale, e anche più difficileLa maggior frequenza presenta anche un’opportunità per i security manager di identificare, bloccare e iniziare a eliminare le infezioni bot nelle loro reti. Individuare la co-municazione bot è spesso l’aspetto più semplice; eradi-care i bot senza dover effettuare il re-imaging del sistema infetto può essere invece più difficoltoso. Bloccare in modo efficace la comunicazione sta diventando la parte più difficile della guerra contro i bot per via dei nuovi e più sofisticati canali C&C impiegati da botnet DGA-based per sfuggire ai tradizionali strumenti di filtering e blocking (vedi box: Una Campagna di phishing differente)34.



UN BOT CERCA dI COmUNICARE CON IL SUO C&C

SERvER OGNI TRE MINUTI

35


Nel 2013, le campagna di phishing analizzate dal Check Point Security and Malware Research Group hanno evidenziato le tecniche sempre più sofisticate utilizzate dagli attacchi odierni per sfuggire alle blacklist che rappresentano il cuore delle difese più tradizionali, compreso l’uso di una qualche forma di schema URL dinamico che evita l’identificazione da parte di blacklist statiche. Nel caso della campagna di phishing legata agli exploit kit Nuclear, questo schema resiste all’analisi dei ricercatori malware.

L’analisi di Cryptolocker da parte dei nostri ricercatori ha evidenziato un altro aspetto di questo trend: in qualità di Domain Generation Algorithm (DGA)-based botnet35, Cryptolocker adotta domain name dinamici apparentemente generati casualmente per stabilire la comunicazione tra il bot e il C&C server. Questi bot Cryptolocker generano 1.000 nuovi domini al giorno, mentre dall’altra parte i manager di Cryptolocker registrano gli stessi 1.000 domini e li eliminano dopo 24 ore. Ne risulta che questi domini malevoli hanno poche possibilità di essere identificati e registrati da parte di coloro che realizzano e mantengono le blacklist di noti domini e URL malevoli.

Viste nel loro complesso, queste recenti campagne malware evidenziano l’importanza del ruolo di URL e domain name dinamici in questi attacchi, in particolare nell’evadere le blacklist statiche utilizzate tradizionalmente per individuare e bloccare phishing e bot. Gli URL e i DGA dinamici sfruttano l’infrastruttura di Internet per generare varianti oscure o single-use che compongono il sistema di difesa basato sulla ricerca e sul blocco di traffico da e verso indirizzi identificati in precedenza su una rete globale e classificati come malevoli.

Queste osservazioni riflettono un trend molto più esteso nel mercato del malware. I criminali sfruttano le debolezze nei tradizionali metodi di blacklisting basati su domain

name e URL per sfuggire alle difese esistenti e raggiungere i loro obiettivi. I risultati per il secondo trimestre 2013 dell’Anti-Phishing Working Group (APWG)36 mostrano che mentre i top-level domain .com (TLD)37 37 restano i più frequentemente utilizzati nelle campagne di phishing (44 percento del totale, in aumento dal 42 percento in Q1), i TLD di alcuni paesi sono più comuni negli attacchi di phishing rispetto a quanto registrato; per esempio il Brasile (.br) ha solo l’1 percento di domini registrati ma vanta il 4 percento di phishing email TLD. Phisher e malware writer stanno sfruttando il numero di possibili TLD per paese per generare un immenso numero di domain name e URL unici, e i controlli messi in atto da molti per prevenire questa tipologia di abuso non sono efficaci. Il report “Global Phishing Survey 1H2013: Trends and Domain Name Use”38 di APWG esplora il ruolo dei domain name negli attacchi di phishing in maggior dettaglio e ha rivelato che coloro che registrano i domini non sono attenti oppure sono in combutta con i phisher.

Questo problema non può che peggiorare. Nel 2013, la Internet Corporation for Assigned Names and Numbers (ICANN)39

ha annunciato programmi per aumentare il numero di top-level domain dagli attuali 22 a 1.400, compresi TLD in caratteri non latini quali arabo, cinese e cirillico. Mentre l’APWG segnala che tali TLD sono disponibili da diversi anni e non hanno mostrato segnali di particolare utilizzo da parte dei phisher, vi sono tutti gli elementi per credere che i criminali cercheranno di sfruttarli a mano a mano che i security vendor diventano più abili a bloccare URL e phishing domain che utilizzano caratteri latini. I cyber criminali testeranno i limiti delle tecniche di blacklisting e URL filtering che si affidano alle liste — locali o cloud-based — di URL malevoli noti o sospetti e creeranno un pool virtualmente infinito di URL single-use che possono essere impiegati per phishing email, e domain name da utilizzare per botnet DGA-based.

UNA CAMPAGNA DI PHISHING DIFFERENTE



36

• Gateway ed endpoint antivirus con URL filtering—le aziende devono essere in grado di identificare e bloccare malware e tentativi di connessione a siti noti per la distribuzione di malware.

• Gateway anti-bot—oltre a individuare il malware, queste soluzioni dovrebbero avere l’intelligenza per mitigare le comunicazioni botnet DGA-based.

• Estesa protezione IPS—Oltre al monitoraggio, si dovrebbe essere in grado di bloccare attacchi Critical severity. Il sistema dovrebbe coprire rete, server e l’infrastruttura IT di Cisco e altri vendor e piattaforme e non solo Microsoft Windows.

• Manutenzione completa di sistemi e applicazioni—Garantire che la gestione delle vulnerabilità e i processi di patching siano in atto per tutti i sistemi e applicazioni, compresi Java e Adobe Reader, non solo per i client e i server Microsoft Windows.

• Best practice per la configurazione di client e server—Queste comprendono la limitazione dell’uso dei privilegi dell’Administrator, l’inabilitazione di Java e altri script, e la limitazione di applicazioni che gli end user possono installare sui loro endpoint.

Nel prossimo capitolo esamineremo i risultati della nostra ricerca 2013 relativi alle applicazioni e i rischi che pongono ai dati aziendali e agli utenti.

RaccomandazioniL’analisi Check Point dello scenario della sicurezza 2013 rivela che l’attività malware è cresciuta in tutte le categorie. Questo aumento si articola su tre aspetti principali:• Maggior attività di infiltrazione in cui gli utenti sono

esposti al malware tramite siti web malevoli, email e download

• Incremento delle minacce post-infezione sotto forma di attacchi bot più estesi con una più frequente comunicazione C&O

• Più attacchi su un maggior numero di piattaforme che mirano a vulnerabilità non solo su server e client Windows, ma anche a infrastrutture di rete e server e applicazioni meno gestite

Nel complesso, questa accelerazione nell’attività dei cyber attacchi rappresenta una sfida per le aziende, già in difficoltà nel gestire le sfide legate al malware descritte nel Check Point 2013 Security Report. L’unico modo per affrontare in maniera efficace questo trend, e di combattere il passo accelerato di questi attacchi, infezioni ed esfiltrazioni, è quello di automatizzare e coordinare molteplici strati di difesa. Tra le misure essenziali:


37


APP(ETITO) PER LA DISTRUZIONE

04

Applicazioni ad Alto Rischio

in Azienda


38

39


04

dati ed applicazioni desktop e la condivisione di media ed altri file tra utenti e computer. Le applicazioni ad alto rischio spesso operano ai limiti delle soluzioni e dei sistemi IT ufficialmente permessi, se non del tutto fuori, e rappresentano una parte della crescente galassia IT di applicazioni, dispositivi e servizi guidati dall’utente finale, che girano all’interno delle reti aziendali con poca o nessuna visibilità.

Il controllo delle applicazioni rappresenta una problematica interna che va ad integrarsi e a rendere più complesse le sfide esterne rappresentate dagli attacchi informatici. Le applicazioni sono fondamentali per la produttività e sono un’attività di routine per ogni organizzazione, ma creano anche diversi gradi di vulnerabilità. Dal punto di vista della security, ricordano gli abitanti della Fattoria degli Animali41 di George Orwell: tutte le applicazioni sono uguali, ma alcune sono più uguali di altre.

Le applicazioni ad alto rischio sono l’epitome di queste sfide. A differenza di applicazioni di produttività come Microsoft Office e delle sempre più accettate applicazioni Web 2.0 dei social media, come Facebook, LinkedIn, Twitter, WebEx e YouTube, le applicazioni ad alto rischio consentono la navigazione anonima del web, lo storage e la condivisione dei file nel cloud, l’utilizzo remoto di

APP)ETITO( PER LA DISTRUZIONE: APPLICAZIONI AD ALTO RISCHIO IN AZIENDA

DELLE ORGANIZZAZIONI HANNO ALMENO

UN'APPLICAZIONE AD ALTO RISCHIO*

L'86%

SE SIAmO ONLINE, TUTTO IL mONdO È LOCALE.

Neal Stephenson, Cryptonomicon40

* P2P File Sharing, Anonymizer e sistemi di File Storage and Sharing


04 APP(ETITE) fOR DESTRUCTION: HIgH-RISK APPLICATIONS IN THE ENTERPRISE

40

PRINCIPALI

APPLICAZIONI AD ALTO

RISCHIO PER REGIONE

Americas

APAC**AnonymizersUltrasurf · Tor · Hide My Ass!

P2P File SharingBitTorrent Protocol · Xunlei · Soulseek

File Storage and SharingDropbox · Windows Live Office · Hightail (formalmente YouSendIt)

Amministrazione RemotaTeamViewer · RDP · LogMeIn

AnonymizersTor · Ultrasurf · Hotspot Shield

P2P File SharingBitTorrent Protocol · Soulseek · Box Cloud

File Storage and SharingDropbox · Windows Live Office · Hightail (formerly YouSendIt)

Amministrazione RemotaRDP · LogMeIn · TeamViewer

EMEA*

P2P File SharingBitTorrent Protocol · Soulseek · edonkey l

File Storage and SharingDropbox · Windows Live Office · Hightail (formalmente YouSendIt)

Amministrazione RemotaRDP · TeamViewer · LogMeIn

AnonymizersTor · Hide my Ass! · OpenvPN


Grafico 4-1* EMEA – Europa, Medio Oriente e Africa

** APAC – Asia, Pacifico e Giappone

04 APP(ETITO) PER LA dISTRUzIONE: APPLICAzIONI Ad ALTO RISCHIO IN AzIENdA


04 APP(ETITE) fOR dESTRUCTION: HIgH-RISK APPLICATIONS IN THE ENTERPRISE

41

Il pericolo dell’anonimatoLe applicazioni anonymizer sono generalmente associate alla possibilità di offrire agli utenti un modo di navigare in Internet e visitare siti web mantenendo l’anonimato. Si basano tipicamente sulla creazione di un tunnel criptato verso un set di proxy server HTTP per permettere agli utenti di superare i firewall e le restrizioni legate al filtering dei contenuti. Alcuni, come ad esempio Tor, fanno uso di tecniche aggiuntive di offuscamento del routing, ed anche di speciali plug-in software o del browser per consentire agli utenti di coprire le loro attività ed evitare così controlli, aziendali, governativi o di altro tipo.

Nel 2013, la ricerca Check Point ha registrato una crescita generale nell’utilizzo di anonymizer nelle reti enterprise, con oltre la metà (56 percento) delle organizzazioni analizzate che hanno registrato la presenza di almeno un anonymizer, con un aumento del 13 percento rispetto al 2012.

Nel 2012, la ricerca Check Point sulla sicurezza ha mostrato quanto le applicazioni ad alto rischio del Web 2.0 fossero pervasive nell’infrastruttura aziendale e ponessero significativi rischi di compromissione e perdita di dati. La nostra analisi della sicurezza di rete aziendale nel 2013 ha mostrato come, nonostante i rischi siano ben noti, l’incidenza di applicazioni ad alto rischio è aumentata su tutte le categorie (Grafico 4-2). Questo capitolo esamina i risultati per ogni categoria e condivide una serie di raccomandazioni che possono mitigare questa problematica.

Grafico 4-2

Percentuale di Organizzazioni che utilizzano Applicazioni ad Alto Rischio(% delle organizzazioni)

2012

2013

Anonymizer

P2P File Sharing

File Storage and Sharing

Amministrazione remota

43%

56%

61%

75%

80%

86%

81%

90%


LA RICERCA HA REGISTRATO UNA CRESCITA NELL' UTILIZZO DI ANONyMIZER NELLE RETI ENTERPRISE, CON OLTRE LA METÀ(56 PERCENTO) DELLE ORGANIZZAZIONI ANALIZZATE CHE HANNO REGISTRATO LAPRESENZA DI ALMENO UN ANONYMIZER



42

Conosciuto anche come The Onion Router, Tor42 si è rivelato ancora una volta l’applicazione anonymizer più frequentemente individuata nel corso della nostra ricerca del 2013. Tor era già ben noto come veicolo di navigazione anonima che permette di superare facilmente le policy aziendali di sicurezza, ma nel 2013 ha acquisito maggiore notorietà come accesso al Deep Web, il mondo nascosto sotto la tradizionale Internet aperta e ricercabile chiamata “Surface Web”43. Caratterizzato dal fatto di essere inaccessibile dagli strumenti standard di ricerca, il Deep Web è salito agli onori della cronaca nel 2013 in risposta all’incremento delle preoccupazioni negli USA e all’estero in tema di sorveglianza e privacy, guadagnando ancora maggiore notorietà a seguito degli arresti di Silk Road 44.

Altre applicazioni anonymizer pongono problematiche amministrative similari, ma il ruolo di Tor come gateway verso

Onionland e altre aree del Deep Web lo rende un rischio particolare per i security manager. Se offre l’anonimato e un mercato per un ampio sottobosco, il Deep Web è anche un posto ricco di malware e truffe, e le organizzazioni hanno tutti i motivi di preoccuparsi del fatto che i loro dipendenti utilizzino Tor per sfuggire dalla sorveglianza reale o percepita, esponendo così i loro computer e le stesse aziende ad un certo livello di rischio. Più recentemente, investigatori hanno visto come dati relativi a carte di credito rubati da diversi retailer usando il Trojan di accesso remoto Chewbacca45 siano stati inviati verso server esterni usando Tor.

Libertà di parola e anonimato sono diritti fondamentali e devono essere difesi. Per gli amministratori di sicurezza in ambienti aziendali, però, individuare e bloccare l’utilizzo di Tor e di altri anonymizer sui sistemi e nelle reti corporate deve diventare una priorità per il 2014 ed oltre.

ACCESSO AL DEEP WEB

Le singole applicazioni anonymizer hanno visto crescite disomogenee, comunque, con Tor in realtà individuato presso un numero minore di organizzazioni rispetto al 2012: il 15 percento nel 2013, rispetto al 23 percento nel 2012 (Grafico 4-3). Questo riflette la maggiore attenzione (e una maggiore restrizione) rispetto a Tor nelle policy aziendali di sicurezza, e con buoni motivi (vedere il box : Accesso al Deep Web). Comunque, questo potrebbe anche derivare in parte dall’abitudine dei dipendenti di navigare meno spesso in modo anonimo da reti e sistemi aziendali, o dal passaggio da parte degli utenti ad applicazioni anonymizer meno note, e di conseguenza meno passibili di essere bloccate dalle policy aziendali.

Grafica 4-3 2012

2013

OpenVPN

3%

10%

Hide My Ass!

7%

12%

CoralCDN10%

Tor

23%

15%

Ultrasurf

8%

14%

Applicazioni Anonymizer più Diffuse(% di organizzazioni)




43

Grafico 4-42013

2012

Uso di Applicazioni Anonymizer per Regione (% di organizzazioni)

54%

49%

58%

40%

54%

35%

EMEA

APAC

Americhe

Con il supporto dei difensori della libertà di pensiero e della privacy, gli anonymizer hanno contribuito a proteggere la segretezza — e a volte anche la vita — dei dissidenti in paesi che vivevano momenti di tensione. Più recentemente, le rivelazioni sulla sorveglianza condotta dagli stati nel 2013 ne hanno spinto l’adozione da parte di utenti in Europa ed Asia come rifugio da uno spionaggio cibernetico, vero o presunto. Le differenze regionali nell’individuazione dell’uso di anonymizer nelle reti aziendali mostrano questo elemento, ed evidenziano anche il successo relativo registrato dai security administrator nelle Americhe, nella battaglia per limitare questa categoria di applicazioni ad alto rischio (Grafico 4-4).

Come la mitologica idra46, se gli amministratori sono stati in grado di decapitare Tor nel 2013, è stato solo per vedere sei nuovi anonymizer nascere per prendere il suo posto. L’incidenza delle restanti dieci applicazioni anonymizer è sempre aumentata rispetto al 2012.

Chi riesce a fiutare un RAT?La categoria di applicazioni ad alto rischio che è stata individuata più spesso nella nostra ricerca del 2013 è quella dei tool di amministrazione remota. La più nota è Microsoft Remote Desktop (RDP), ma molte altre sono abbondantemente utilizzate nel mondo, con TeamViewer che ha particolarmente accresciuto la sua popolarità rispetto al 2012 (Grafico 4-5). Queste applicazioni hanno un uso legittimo, quando permettono ai team IT e all’helpdesk aziendale di sistemare e gestire i desktop dei dipendenti in giro per il mondo (vedi box: Tool di Amministrazione Remota: il Buono , il Brutto e il Cattivo).

Comunque, molte organizzazioni hanno adottato questi strumenti in modo superficiale, sulla base di necessità tattiche, con il risultato che, invece di scegliere un’unica applicazione di amministrazione remota, spesso le organizzazioni IT ne impiegano tre o più, a seconda della piattaforma, della connessione e dei task. Nel 2013, le applicazioni di amministrazione remota sono state le uniche a venire individuate in percentuale più alta nel settore dell’industria, con il 90 percento delle aziende di questo mercato che ha scoperto la presenza di almeno una di queste applicazioni.

Principale Applicazioni di Amministrazione Remota

(% di organizzazioni)

Grafica 4-5

RDP 71%

71% TeamViewer

LogMeIn 50%

VNC 21%

GoToAssist RemoteSupport 8%

Ammyy Admin 7%





44

File sharing P2P: Non Sicuro per il LavoroLe applicazioni di file sharing Peer-to-peer (P2P) vengono usate per condividere file tra gli utenti. Spesso utilizzato per distribuire materiale protetto da copyright, software legale e piratato, ed altri media, il file sharing P2P è un canale molto usato per la distribuzione di malware, che può essere nascosto all’interno dei file condivisi. Oltre a distribuire malware a utenti ignari o impreparati, le applicazioni P2P possono creare una backdoor nelle reti aziendali – che poi può consentire a criminali di entrare nel network e farne uscire dati sensibili.

Inoltre, l’uso frequente di applicazioni P2P come BitTorrent per la distribuzione di film e musica protetta da copyright espone le organizzazioni alla possibilità di essere oggetto di azioni legali da parte della Recording Industry Artists Association (RIAA), che è diventata particolarmente aggressiva in collaborazione con gli Internet Service Provider (ISP) per individuare e perseguire le fonti di distribuzione di contenuti piratati

Principali Applicazioni di File Sharing (% di organizzazioni)

Grafico 4-6

10% Box Cloud

13% Xunlei

14% eDonkey Protocol

25% Soulseek

BitTorrent Protocol 63%

gli strumenti di amministrazione remota vengono spesso confusi con gli strumenti di accesso remoto, per via del loro comune acronimo inglese, RAT.” Nella realtà, se i tool di amministrazione remota portano con sé diversi rischi operativi e di sicurezza, questi sono diversi rispetto a quelli associati a strumenti di accesso remoto, come Chewbacca, Poison Ivy, darkComet ed il famigerato Back Orifice. fondamentalmente dei Trojan, i tool di accesso remoto non hanno utilizzo legittimo all’interno di una rete aziendale, e come minaccia importante, la loro individuazione dovrebbe provocare una rapida risposta a livello di rimozione, riparazione e analisi forense di possibili esposizioni dei dati.

I più noti strumenti di amministrazione remota, d’altra parte, spesso proliferano nelle reti come risposta alle necessità dei team IT e di helpdesk aziendale, man mano che questi tentano di risolvere problemi e di fornire accesso alle applicazioni e ai dati, tramite una varietà di dispositivi e piattaforme in continua espansione. Il tool di amministrazione

remota TeamViewer è un buon esempio della tendenza tra questi strumenti. Nel 2013, la presenza di TeamViewer nelle reti esaminate è cresciuta di popolarità, sulla spinta della fine della versione gratuita del noto LogMeIn, e come set di funzionalità di espansione che comprende supporto esteso a piattaforme non-Windows, caratteristiche di conferencing e collaborazione, e prestazioni valide su una grande varietà di connessioni senza necessità di dover apportare le modifiche al firewall richieste da RDP.

Questo però comporta un prezzo, perché le caratteristiche che lo fanno una scelta ottimale per i team IT lo rendono attrattivo anche per quegli utenti finali che intendono accedere in remoto al loro computer di lavoro tramite smartphone, tablet o addirittura il PC di casa, aprendo così falle nella rete aziendale e mettendo a rischio la sicurezza dell’organizzazione. In questi casi, anche con le migliori intenzioni, un dipendente può trasformare uno strumento positivo in un canale di rischio.

tOOL DI AMMINIStRAzIONE REMOtA: IL BUONO, IL BRUttO E IL CAttIvO




45

DELLE AZIENDE

DROPBOX ERA PRESENTE NELL'

85%

Salvataggio e iper-condivisione dei fileLa possibilità di creare e condividere contenuti con grande semplicità tra dispositivi e utenti è un tratto distintivo delle applicazioni Web 2.0. Le applicazioni di file storage & sharing giocano un ruolo importante nell’abilitare questa possibilità, rendendo semplice agli utenti salvare contenuti in una cartella su un dispositivo e poi effettuarne una replica automatica nel cloud e sincronizzarla su tutti gli altri dispositivi associati. Estendere tutto ciò condividendolo con altri utenti è spesso tanto semplice come mandare un link ai destinatari, che possono poi accedere ai file condivisi e anche modificarli.

Ovviamente, la semplicità di condividere espone un’orga-nizzazione al rischio significativo di “iper-condivisone”, che sia involontaria o intenzionale, da parte di utenti che effet-tuano una sincronizzazione di dati aziendali sensibili da un sistema protetto al lavoro ad altri dispostivi non protetti, o addirittura a cartelle condivise con altri utenti.

Nel 2013, Dropbox ha rafforzato la sua posizione di applicazione di file storage & sharing più diffusa, in-dividuata nell’85 percento delle reti analizzate, in crescita rispetto ad un’incidenza registrata nel 2012 del 69 percento (Grafico 4-7). Questo in contrasto a quasi tutte le altre principali applicazioni di file stor-age & sharing, che sono ricorse meno frequentemente rispetto al 2012, riflettendo la scelta da parte delle aziende di consolidare su un’unica applicazione ap-provata dalla società, ma anche la costante popolarità di Dropobox tra gli utenti individuali, che la inseriscono negli ambienti corporate come parte dell’infrastruttura “IT ombra”50.

o privi di licenza (Grafico 4-6). Nel 2013, BitTorrent è rimasta ’applicazione di file sharing P2P più nota, con una presenza che è aumentata passando dal 40 percento delle organizzazioni nel 2012, al 63 percento nel 2013. L’incidenza nella scoperta di applicazioni di file sharing P2P è aumentata costantemente in tutte le regioni.

Grafico 4-7

Principali Applicazioni di File Storage and Sharing(% delle organizzazioni)

2012

2013

Windows Live Office48%

51%

Dropbox 85%

69%

Hightail (formalmente YouSendIt)26%

22%

SugarSync16%

13%

ImageVenue15%

9%

Mendeley14%

4%




46

Il 2013 si è fatto notare come l’anno in cui criminali e ricercatori hanno compreso il potenziale delle applicazioni di file storage & sharing come strumenti per infiltrarsi nelle organizzazioni ed estrarre da esse dati sensibili. A marzo, è stato reso noto come gli hacker avessero sviluppato un meccanismo per usare Evernote a supporto delle comunicazioni di command and control (C&C) e di estrazione per reti di bot.

Poco dopo, ad aprile, un ricercatore ha delineato un meccanismo per diffondere malware all’interno di un’organizzazione utilizzando le funzionalità di sincronizzazione di Dropbox. Chiamato DropSmack51, l’attacco prevede l’integrazione di comandi macro in un file dotato di estensione .doc e di un titolo legittimo, e poi il suo posizionamento nella cartella Dropbox di un utente dell’organizzazione presa di mira. Non è importante

se il computer sia gestito dall’azienda o di proprietà del dipendente; una volta che DropSmack è installato su un dispositivo, i processi di sincronizzazione automatica di Dropbox lo replicano della cartella Dropbox di ogni dispositivo associato con quell’account. DropSmack consente al criminale di superare le difese perimetrali e anche la maggior parte delle protezioni a livello di device per infiltrazione, C&C, movimento laterale ed estrazione.

L’introduzione di nuove caratteristiche di sicurezza in Dropbox, come la crittografia e l’autenticazione a due fattori, era intesa per rispondere alle preoccupazioni dei security manager ma, come mostra DropSmck, queste applicazioni hanno ancora un grande potenziale per la condivisione di malware e devono essere monitorate con attenzione negli ambienti aziendali, se in essi sono comunque consentiti.

DROPBOX COLPITA

Creature socialiLe piattaforme social media sono una componente integrale del Web 2.0 e si sono guadagnate un’estesa accettazione, anche se a volte riluttante, presso

gli ambienti IT corporate. Nel Check Point 2013 Security Report abbiamo descritto le modalità con cui Facebook espone dipendenti a rischi di hacking e social engineering, e abbiamo raccomandato una

maggiore educazione degli utenti e la definizione di difese sugli endpoint e sulla rete.

Nel 2013 questi rischi sono rimasti, e sono stati amplificati dal ruolo crescente dei social media come strumento essenziale per gli hacker nella pianificazione ed esecuzione di attacchi mirati.

Una volta che i criminali hanno preso di mira un’organizzazione e identificato gli individui all’interno di essa che hanno accesso ai dati desiderati, proced-eranno alla creazione di un profilo social media di ogni dipendente obiettivo (Grafico 4-8). Questo profilo rivela al criminale informazioni di valore, come ad esempio siti web e servizi di shopping online solitamente usati dal dipendente, amici e conoscenti da cui lui potrebbe aspettarsi di ricevere messaggi email, ed eventi sig-nificativi cui ha partecipato recentemente o parte-ciperà in futuro. Forte di queste informazioni, il crimi-nale può creare una mail di spear-phishing legittima all’apparenza per il destinatario target, e perciò con un’elevata probabilità di successo. Dobbiamo solo tor-nare alle conclusioni del Capitolo 3 per vedere gli effetti di questa profilazione.

Social Media ProfileTarget: Your CompanyUser: John Q Employee Multiple

other stylized SM inputs

Profili Social Media

Grafico 4-8



47

(Grafico 4-9) Tra le applicazioni social media, Facebook resta la più diffusa, misurata in termini di consumo di banda negli ambienti aziendali che abbiamo analizzato nel corso della nostra ricerca 2013.

• Twitter e LinkedIn ancora una volta completano il podio delle principali applicazioni social, ma entrambe hanno visto un decremento dell’incidenza generale rispetto al 2012. Questo probabilmente ha poco a che vedere con un minor uso da parte dei dipendenti, ma con un passaggio dall’utilizzo di accessi e PC di lavoro tramite la rete aziendale all’utilizzo di dispositivi mobili e connessioni wireless. Se questo può avere il vantaggio di ridurre il peso sulle reti aziendali e di abbassare il pericolo immediato rappresentato dal malware per PC aziendali, il grande uso di applicazioni di file storage & sharing come Dropbox significa che un infezione sul MacBook o sul tablet personale di un utente può facilmente diffondersi al corrispondente sistema aziendale (vedi box: Dropbox Colpita).

RaccomandazioniApplicazioni ad alto rischio di tutti i tipi continuano a rappresentare una crescente minaccia in azienda, anche se gli strumenti specifici scelti dagli utenti finali possono cambiare nel tempo. Se alcune di queste, in particolare anonymizer e reti P2P, non hanno ragione di esistere in azienda e debbono essere eliminate completamente, strumenti di amministrazione remota e di file storage & sharing possono rispondere a necessità legittime da parte degli utenti finali o dell’IT, e pongono quindi una questione più complessa. Anche piattaforme social media generalmente accettate come Facebook, LinkedIn e YouTube, che svolgono un ruolo importante nelle strategia di social media marketing e di content marketing, possono rappresentare un veicolo attraente per attacchi di spear-phishing. Se la protezione dal malware può focalizzarsi in senso esteso su individuazione, prevenzione ed eliminazione come principi guida, le applicazioni richiedono un approccio più sfumato, che dovrebbe comprendere:

Application control basato su categorie—Gli amministratori devono essere in grado di bloccare intere famiglie di applicazioni se lo desiderano, piuttosto che singolarmente, una per una. Questo non solo semplifica la gestione, ma permette di applicare policy di controllo a nuove applicazioni quando queste vengono adottate dai dipendenti in sostituzione di altre che sono state bloccate o cui è stato limitato l’accesso.

Standardizzazione su applicazioni approvate— Le organizzazioni che necessitano di strumenti di amministrazione remota per supportare funzioni IT o di business dovrebbero scegliere come standard una singola applicazione, e poi monitorare le loro reti alla ricerca di altri tool di amministrazione remota. Se non fosse possibile bloccarli, la loro presenza dovrebbe comunque avviare un processo di notifica ed indagine per determinare chi li sta usando e come vengono usati, e per verificare se si tratta di eccezioni valide alle policy o di digressioni tattiche che dovrebbero essere riportate nei confini delle policy.

Utilizzo di Banda da parte dei Principali Social Network(% delle organizzazioni)

Grafico 4-9

9% Flickr

8% Pinterest

10% LinkedIn

11% Twitter

Facebook 47%





48

Inoltre, il monitoraggio e l’applicazione dovrebbero essere legati a specifici utenti o gruppi di utenti, per essere sicuri che solamente coloro che hanno un valido motivo di business abbiano la possibilità di farne uso. Un approccio simile può essere adottato per gli strumenti di file storage & sharing; l’IT dovrebbe implementare un servizio o una soluzione sicura e di livello enterprise per rispondere a questa necessità. Altrimenti, gli utenti si rivolgeranno inevitabilmente ad applicazioni della cosiddetta IT ombra per la condivisione di file e la sincronizzazione tra dispositivi che il loro lavoro richiede.

Formazione degli utenti finali—Data la non praticabilità o la indesiderabilità di bloccare completamente certe categorie di applicazioni, i responsabili IT e della sicurezza dovrebbero sviluppare estesi programmi continuativi per informare gli utenti finali dei rischi rappresentati dalle applicazioni ad alto rischio. I dipendenti devono comprendere i rischi specifici legati ai differenti tipi di applicazioni; come evitare lo spear-phishing, le violazioni del copyright ed altre minacce; e come possono soddisfare le loro legittime necessità operative e di produttività grazie a strumenti e comportamenti più sicuri, e soprattutto approvati dall’IT.

Non sempre è necessario il malware o l’uso improprio di un’applicazione per mettere a rischio un’organizzazione. Se il software malevolo gioca un ruolo in molti incidenti di data loss, fin troppo spesso un fattore fondamentale è il semplice errore umano. Il prossimo capitolo andrà ad esplorare i principali incidenti e trend nel data loss verificatisi nel 2013.



49

50


DATA LOSS PREVENTION: Il Grande Ritorno

05


51

52


05

DELLE ORGANIZZAZIONI HA RISCONTRATO

ALMENO UN INCIDENTE DI PERDITA

POTENZIALE DEI DATI

NEL 2013 L'88%

Gli hacker non rappresentano l’unica minaccia per i dati aziendali. Molte violazioni accadono inavvertitamente, quando gli utenti inviano il file sbagliato al destinatario giusto, o il file giusto al destinatario sbagliato – o semplicemente lasciano un laptop non protetto nel posto sbagliato. L’errore umano ha giocato un ruolo chiave in molti degli incidenti di data loss degli anni passati ma, che si tratti di una cosa intenzionale o meno, il risultato può essere lo stesso: i dati sensibili sono esposti a rischi, clienti arrabbiati, reputazione danneggiata, multe dovute a mancanza di conformità e interruzioni critiche al business.

Gli incidenti di data loss sono tornati alla ribalta nel 2013 quando Adobe Systems, Target, Neiman Marcus e altre organizzazioni di alto profilo hanno sofferto violazioni di alto profilo che hanno coinvolto milioni di utenti.

I dati sono stati a lungo un obiettivo principale per gli hacker, considerando informazioni finanziarie, proprietà intellettuale, informazioni aziendali interne e credenziali di autenticazione. Ora più che mai esistono differenti modi per far sì che i dati cadano nelle mani sbagliate poiché i dispositivi mobili e le app della cosiddetta “shadow IT” aprono nuovi vettori di attacco e alimentano il rischio di perdita o infiltrazione. L’Internet of Things aggrava ulteriormente la situazione dal momento che i dispositivi comunicano direttamente l’uno con l’altro per scambiare Informazioni su consumi di energia domestica, localizzazione e stato del proprio veicolo, tracciamento pacchi, salute personale e altro ancora. Poiché una maggiore quantità di dati viene traferita in modi differenti, diventa più difficile che mai controllarli e proteggerli.

DATA LOSS PREVENTION: IL GRANDE RITORNO

CODICI DI SICUREZZA SOCIALE, CONTI BANCARI E CARTE DI CREDITO

NON SONO SOLO SEMPLICI DATI.NELLE MANI SBAGLIATE POSSONO SPAZZARE VIA I RISPARMI DI UNA VITA, DISTRUGGERE IL

CREDITO E CAUSARE UN DISASTRO ECONOMICO.

Melissa Bean52


53

La ricerca di Check Point ha rilevato che l’88 percento delle aziende analizzate ha riscontrato almeno un evento di perdita di dati, il che significa che una parte di dati sensibili è stata inviata all’esterno dell’organizzazione via e-mail o caricata via web browser. Si tratta di un aumento drastico rispetto al dato già elevato di 54 percento osservato nel 2012, e mette in luce the la lotta costante delle organizzazioni per proteggere dati sensibili dall’esposizione accidentale o intenzionale.

Il settore retail può essere quello dove le violazioni di dati nel 2013 hanno raggiunto il livello più elevato, ma secondo la ricerca di Check Point le organizzazioni di tutti i settori stanno perdendo il controllo di dati sensibili, e lo stanno facendo a una velocità maggiore rispetto al 2012 (Grafico 5-1).

Sarebbe semplice per una piccola organizzazione considerarsi troppo piccola per doversi preoccupare della perdita di dati, ma niente potrebbe essere più lontano dalla verità (vedi box: Credi di non correre il rischio di perdere dati Ripensaci...). Una delle più grandi violazioni della storia ha preso di mira Heartland Payments57, azienda da 700 dipendenti, quando i criminali hanno sottratto le informazioni digitali codificate sulla banda magnetica sul retro di carte di credito e di debito. Ogni organizzazione nella catena di gestione delle informazioni è a rischio di attacco, ad anche un furto relativamente piccolo può portare agli hacker risultati utili.

Molte organizzazioni continuano a sottovalutare l’implementazione di policy e controlli approfonditi di pro-tezione dei dati perché pensano di non essere a rischio di violazione di dati. La dura realtà è che gli hacker non prendono di mira solo i conti bancari e i retailer più grandi, e che ogni organizzazione possiede dati sensibili che pos-sono essere esposti attraverso un’email non corretta o un laptop smarrito. Questi sono solo alcuni degli esempi del 2013:

Informazioni Personali, , inclusi numeri di sicurezza sociale, di 3.500 pazienti sono state rubate dal Florida Department of Health da dipendenti che hanno passato i dati a un parente per usarli nel compilare richieste di rimborso tasse53.

Il comune di Islington (Londra) è stato multato di 70.000

Sterline dopo che un team interno ha inavvertitamente pubblicato file excel contenenti informazioni personali di 2.375 residenti, inclusa la storia sanitaria, sul sito web pubblico di una agenzia di housing54.

Rotech Healthcare ha riportato l’esposizione acciden-tale di informazioni sanitarie personali di 3.500 dipendenti da parte di una ex dipendente delle Risorse Umane cui era stato concesso di tenere il proprio PC dopo la sua uscita dall’azienda55.

L’ufficio del UK Information Commissioner ha citato oltre sessanta violazioni del Data Protection Act da parte del comune di Anglesey (Galles) relative all'improprio a dati personali,di residenti, inclusa la pubblicazione accidentale su siti pubblici e via email56.

CREDI DI NON CORRERE IL RISCHIO DI PERDERE DATI? RIPENSACI…

OGNI GIORNO UN' ORGANIZZAZIONE RISCONTRA 29 EVENtI DI

POtENZIAlE ESPOSIZIONIE DI DATI SENSIBILI


05 dATA LOSS PREvENTION: THE BIg COmEBACK

54

Grafico 5-12013

2012

Percentuale di Organizzazioni con almeno un Evento di Perdita Dati Potenziale, per Settore (% of organizations)

Telco

Pubblica Amministrazione

Finanza

Industria

45%

79%

70%

87%

61%

88%

50%

88%

Codice sorgente, file di dati aziendali e altri segreti commerciali rappresentano gli asset principali delle aziende americane, e sono sotto attacco costante. Si stima che lo spionaggio economico costi alle sole aziende americane una cifra tra 250 e 500 miliardi di dollari ogni anno. Mentre le banche e le aziende sanitarie hanno a lungo affrontato la pressione di normative esterne per la protezione di dati di clienti e pazienti, le aziende che operano in settori come il manifatturiero, le infrastrutture energetiche, le spedizioni, il settore estrattivo, e persino l’intrattenimento non hanno sempre intrapreso un approccio proattivo alla sicurezza dei dati. Queste sono le organizzazioni che sono prese di mira in maniera crescente nelle campagne che usano malware personalizzato di massa oltre ad attacchi più mirati.

Anche le normative si adattanoNonostante le numerose violazioni di elevato profilo ai dati delle carte di credito che si sono verificate nel 2013, Check Point ha evidenziato che l’incidenza di eventi di perdita di dati PCI nelle organizzazioni finan-ziarie è calata leggermente, al 33% rispetto al 36% rile-vato nel 2012. All’interno delle organizzazioni sanitarie e assicurative sotto indagine c’è stato un aumento dal 16% nel 2012 al 25% nel 2013 per gli eventi relativi alla normativa HIPAA.

In altre parole, ogni 49 minuti vengono inviati dati sensibili al di fuori di un’organizzazione. Ogni giorno, un’organizzazione riscontra 29 eventi di esposizione potenziale di dati sensibili. Questo è un tasso preoccupante per qualsiasi organizzazione in ogni settore, e sottolinea la necessità di controlli più aggressivi attorno ai dati sensibili.

Ragionando per mercato, gli aumenti più significa-tivi si sono riscontrati nel settore dell’industria e della consulenza. Questi aumenti hanno più senso nel con-testo dei tipi di dati che attaccati nel 2013. (Grafico 5-2) La nostra ricerca ha riscontrato che il codice sor-gente era il tipo di dati più spesso inviato al di fuori da un’organizzazione nel 2013, crescendo quasi del 50 percento rispetto al 2012.


OGNI 49 MINutES DATI SENSIBILI VENGONO INVIATI ALL'ESTERNO

DI UN'AZIENDA

05 dATA LOSS PREvENTION: IL gRANdE RITORNO


05 DATA LOSS PREvENTION: THE BIg COmEBACK

55

DATI INVIATI ALL'ESTERNO DI UN'ORGANIZZAZIONE DAI DIPENDENTI(% di organizzazioni)

35%

Numero di Conto Corrente Bancario 4%

Messaggi Confidenziali di Outlook 5%

Informazione sulla Rete 14%

File Protetti da Password 10%

Informazioni sugli Stipendi 14%

3%

7%

21%Informazioni Personali Sensibili

Dati Carta di Credito 29%

29%

13%

14%

24% Codice Sorgente6% Dati Aziendali

2012

2013

21%

Grafico 5-2 Fonte: Check Point Software Technologies

DELLE ISTITUZIONI FINANZIONARIE ANALIZZATE, INFORMAZIONI RELATIVE A CARTE DI CREDITO SONO STATE INVIATEALL'ESTERNO DELL'ORGANIZZAZIONE

NEL 33%




56

Il 2013 ha visto la pubblicazione del documento Payment Card Industry Data Security Standards 3.0, (PCI-DSS 3.0)58, che presenta numerosi – e puntuali – nuovi requisiti riguardanti:• Pratiche di sicurezza per i sistemi non end user,

quali POS e altri terminali.• Maggiore educazione degli utenti sugli attacchi

potenziali (phishing, USB, ecc.) e gestione responsabile di dati sensibili.

• Penetration testing di controlli e protezioni che definiscono la segmentazione tra dati del possessore della carta e altre parti della rete.

• Credenziali usate da service provider per l’accesso remoto agli ambienti del customer care che sono soggetti a PCI-DSS.

Complessivamente, i requisiti DSS rivisti enfatizzano “educazione, consapevolezza e sicurezza come una responsabilità condivisa.” Gli standard 3.0 sono entrati in vigore in data 1 gennaio 2014, e gli eventi del 2013 hanno creato un nuovo senso di urgenza sull’adozione di queste nuove richieste.Guardando al 2014, le organizzazioni avranno nuovi requisiti in tema di compliance e protezione dei dati con cui confrontarsi tra cui PCI-DSS 3.0, con più estese indicazioni sulla protezione dei sistemi POS, oltre a una maggiore enfasi sull’educazione degli utenti.In Europa, la nuova direttiva dell’Unione Europea sulla privacy dei dati, la General Data Protection Regulation (GDPR)59, è entrata ugualmente in vigore nel 2014, creando richieste più stringenti per la protezione dei dati di cittadini e clienti sia all’interno dei paesi e attraverso confini nazionali e dell’Unione Europea. Alle organizzazioni verrà richiesto di continuare a evolvere le loro policy e pratiche di sicurezza per essere conformi con le nuove normative e non rischiare sanzioni finanziarie.

RaccomandazioniL’ondata di violazioni di dati su larga scala ampiamente pubblicizzata nel corso del 2013 — che ha colpito alcuni dei marchi più noti al mondo così come molte organizzazioni più piccole — mostra che è ancora necessario molto lavoro per proteggere le informazioni personali e aziendali. Questa problematica si farà sempre più estesa, man mano che trend come la mobilità e l’Internet of Things espongono i dati al furto in nuovi modi. L’errore umano gioca un ruolo particolarmente significativo in molti incidenti di perdita di dati, e ci vorrà un approccio realmente completo e olistico per garantire che non siano esposti al rischio o lasciati vulnerabili al furto.

Nello scenario odierno di crescenti perdite di dati, le organizzazioni devono agire per proteggere i dati sensibili. Il miglior modo di prevenire la perdita di dati non intenzionale è di implementare una policy aziendale automatica che rileva questi incidenti prima che i dati lascino l’organizzazione. Tali policy possono essere messe in atto al meglio attraverso una soluzione di Data Loss Prevention (DLP). I prodotti di DLP content-aware offrono una vasta gamma di funzionalità e presentano alle organizzazioni differenti opzioni di implementazione.

Prima di adottare una soluzione DLP, le organizzazioni hanno bisogno di sviluppare una chiara strategia basata su considerazioni chiaramente definite, come: Che cosa viene definito come informazione confidenziale? Chi può inviarla? Dove, come e con quali tipi di dispositivi può essere utilizzata? Con questo quadro di policy in atto, si può implementare e configurare ottimamente la soluzione in grado di supportare i requisiti di business, sicurezza e produttività dell’utente unici di ogni organizzazione. Per un’efficace data loss prevention, la soluzione ideale dovrebbe comprendere le seguenti misure e funzionalità.



57

Risoluzione user-driven degli incidenti —Le soluzioni DLP tradizionali possono rilevare, classificare e persino riconoscere documenti specifici e vari tipi di file, ma non l’intento dell’utente che sta dietro alla condivisione di informazioni sensibili. La tecnologia da sola è inadeguata perché non può identificare questa intenzione e rispondere di conseguenza. Perciò, una soluzione DLP di qualità deve coinvolgere gli utenti in modo da ottenere risultati ottimali. Un approccio possibile è quello di consentire agli utenti di rimediare agli incidenti in tempo reale. In altre parole, una soluzione DLP dovrebbe informare l’utente che la sua azione potrebbe risultare in un potenziale incidente di perdita di dati, e poi consentirgli di decidere se eliminare il messaggio o continuare con l’invio. Questa metodologia migliora la sicurezza aumentando la consapevolezza sulla policy di storage

Classificazione dei dati—Un’elevata accuratezza nell’identificazione dei dati sensibili è una componente critica di una soluzione DLP che deve essere in grado di rilevare informazioni personalmente identificabili (PII), dati relativi alla compliance (ad esempio HIPAA, SOX, dati PCI, etc.) e dati aziendali confidenziali, inclusi sia tipi di dati “standard” e tipi di dati personalizzati. Poiché i dati si muovono all’interno dell’organizzazione e oltre, la soluzione dovrebbe ispezionare flussi di contenuti e applicare le policy nei protocolli TCP più ampiamente utilizzati, inclusi SMTP, FTP, HTTP, HTTPS e webmail, impiegando i modelli corrispondenti e la classificazione per identificare i tipi di contenuti indipendentemente dall’estensione del file o dal formato di compressione. La soluzione DLP deve essere in grado di riconoscere e proteggere file sensibili basati su modelli predefiniti e modelli di file corrispondenti.

Le massicce violazioni di dati relativi a carte di credito registrate alla fine del 2013 hanno dato nuova spinta ad un vivace dibattito sulla relazione tra PCI-DSS e sicurezza, nello specifico se un’azienda certificata come “PCI compliant” sia veramente sicura rispetto agli hacker.

Alcuni ritengono che la certificazione di conformità PCI provochi un falso senso di sicurezza tra i retailer e il pubblico. Le violazioni di dati presso aziende ufficialmente “compliant” e la possibilità di revocare retroattivamente lo stato di conformità PCI possono generare un certo cinismo, mentre la continua evoluzione dello standard può trasmettere l’idea che si tratti di un bersaglio mobile.

Di fronte a queste preoccupazioni, organizzazioni e professionisti che si occupano di PCI citano correttamente il caso di un’azienda compliant come Target, nota per i solidi processi di sicurezza, che ha subito comunque una

violazione di dati. La questione fondamentale è come la sicurezza viene messa concretamente in pratica: in altre parole, non si tratta di un prodotto, ma di un processo.

Bob Russo, Chairman del PCI Security Standards Council, ha sottolineato come la certificazione di conformità PCI sia una sorta di “istantanea nel tempo” come ha osservato a ComputerWorld, “Si può essere conformi oggi e totalmente fuori dalla compliance domani.”60

Gli standard sono strumenti di valore per misurare e confrontare lo stato di sicurezza rispetto a metriche comuni. Il pericolo legato alla certificazione della compliance sta più nel rischio che l’organizzazione penserà di essere “a posto” con la sicurezza, non impegnandosi più nel continuo processo di re-assessment e adattamento man mano che ambienti e modalità di lavoro cambiano.

LA COMPLIANCE PCI CREA UN FALSO SENSO DI SICUREZZA?



58

degli utenti, file di sistemi operativi, e file temporanei o cancellati.

Protezione dei dati su dispositivi removibili—I dipendenti spesso mescolano file personali, come musica, immagini e documenti, con file aziendali come quelli finanziari o delle risorse umane su dispositivi storage USB removibili. Questo rende i dati aziendali ancora più difficili da controllare. Crittografando lo storage removibile e prevenendo l’accesso non autorizzato a questi dispositivi è possibile minimizzare le violazioni di sicurezza nel caso in cui vengano persi o rubati.

Protezione dei documenti—I documenti aziendali sono quotidianamente caricati sul web da applicazioni di archiviazione e condivisione file, inviati a smartphone personali, copiati su dispositivi multimediali removibili, e condivisi esternamente con i partner di business. Ognuna di queste azioni mette dati sensibili a rischio di essere persi o usati in maniera inappropriata.

dei dati allertando gli utenti sul potenziale errore in tempo reale, e riduce l’impatto sull’utente consentendo una rapida autorizzazione personale di comunicazioni legittime. Di conseguenza, la gestione della sicurezza è semplificata perché l’amministratore può tracciare gli eventi DLP per l’analisi senza dover personalmente seguire ogni richiesta esterna di invio dati man mano che questa si verifica.

Protezione contro violazioni di dati interne — Un’altra importante funzionalità DLP è la possibilità non solo di controllare che dati sensibili non lascino l’azienda, ma anche di ispezionare e controllare email sensibili inviate tra dipartimenti all’interno della stessa azienda. Le policy possono essere definite per prevenire la fuga accidentale di dati tra dipartimenti – per esempio, piani di compensazione salariale, documenti confidenziali delle risorse umane, documenti legati a fusioni e acquisizioni e certificati medici.

Protezione dei dati su hard disk endpoint — Le aziende devono proteggere i dati dei laptop come parte di una policy di sicurezza completa in modo da evitare che estranei possano ottenere informazioni di valore attraverso computer smarriti o rubati. È possibile prevenire l’accesso di utenti non autorizzati criptando i dati su tutti gli hard disk mobili, inclusi quelli

DELLE ISTITUZIONI SANITARIE E ASSICURATIVE ESAMINATE, INFORMAZIONI SANITARIE PROTETTE DA HIPA SONO STATE INVIATE ALL'ESTERNODELL'ORGANIZZAZIONE

NEL25%



59

e funzionalità di reporting. La soluzione ideale di sicurezza dovrebbe consentire il monitoraggio e l’analisi di eventi DLP sia in tempo reale che storici. Questo dà all’amministratore di sicurezza una visione chiara e ampia delle informazioni inviate all’esterno e le rispettive fonti, e fornisce inoltre all’organizzazione la capacità di rispondere in tempo reale se necessario.

Il prossimo capitolo presenta un modello completo e di alto livello per raggiungere oggi una sicurezza efficace.

Se attaccare i terminali POS (Point-Of-Sale) per sottrarre dati di carte di credito è tecnicamente possibile da molto tempo, finora i criminali hanno considerato i server che archiviavano tali dati un obiettivo molto più raggiungibile. I miglioramenti nella sicurezza dei server che archiviano i dati di carte di credito e di clienti hanno spinto i criminali a spostare il loro focus alla fonte dei dati, e il 2013 ha segnato uno spartiacque per l’attacco di POS. Mentre l’obiettivo e la portata di questi furti di dati nel retail sono stati scioccanti per molti, ugualmente interessante per i professionisti della sicurezza è stata la varietà all’interno di questa categoria di malware.

Lo stesso malware POS presenta diversi livelli di sofisticatezza, dalla cancellazione della memoria dei generici ChewBacca e Dexter61, al complesso BlackPOS62 e persino al malware POS ancor più precisamente mirato scoperto in Neiman Marcus63.Tuttavia, questi condividono numerose caratteristiche che consentono agli aggressori di infiltrarsi nei sistemi POS e sottrarre una vasta quantità di dati di carte di credito:• Capacità di puntare su sistemi POS datati che spesso

rimangono senza patch per mesi anche quando una patch è resa disponibile

• Ottenimento dell’accesso ai sistemi POS attraverso un client o server infetto nel retailer preso di mira

• Capacità di eludere il controllo delle applicazioni e altre misure di chiusura di sistema, per esempio infettando un server di aggiornamento

• Utilizzo di crittografia, protocolli comuni e modelli di traffico di rete normali per nascondere i dati nel momento in cui vengono inviati all’esterno

• Su molte reti, accesso internet diretto dallo stesso dispositivo POS, spesso perché è il modo in cui avviene la fatturazione effettiva

Affrontare queste problematiche in modo singolo non risolve il problema perché non va ad affrontare la causa sottostante: una segmentazione debole o inesistente tra i POS e le reti di produzione. Le reti retail sottolineano l’importanza di sviluppare e adottare best practice di una strategia di implementazione che consente alle organizzazioni di attuare le policy di contenimento per gli host compromessi e definire interazioni tra i segmenti che possono essere monitorate e attuate automaticamente. Per esempio, monitorare l’applicazione di policy legate alla direzione e ai tipi di traffico per segmenti contenenti dispositivi POS limiterebbe le possibilità del malware di propagarsi ed estrapolare dati. A questo riguardo, i retailer si troveranno all’avanguardia di un cambiamento che interessa tutte le organizzazioni per definire e implementare la segmentazione logica e l’attuazione guidata dalle policy attraverso i loro ambienti IT.

IMPARARE DAGLI ATTACCHI AI POS

Per proteggere i documenti aziendali, una soluzione di sicurezza deve essere in grado di applicare una policy di crittografia di documenti e garantire l’accesso esclusivamente agli individui autorizzati.

Event management—Oltre a definire le regole DLP che rispondono alle policy di utilizzo dei dati di un’organizzazione ed implementarne la tecnologia che le supporti e le applichi, una strategia di data loss prevention deve includere un solido monitoraggio

60


L'ARCHITETTURA DI SICUREZZA PER

LE MINACCE DIDOMANI:

La Software-DefinedProtection

06


06 CONCLUSION: BLUEPRINT fOR SECURITY

61


61



62

06

aziendale legittimo – continuano a proliferare, aprendo nuovi vettori di minaccia man mano che si diffondono. Dato che gli incidenti che provocano perdita di dati, sia intenzionali che involontari, causano danni senza precedenti alle organizzazioni di ogni dimensione che operano in tutti i settori, e che mobilità, consumerizzazione ed Internet of Things rendono ancora più complessa la sfida della protezione dei dati, le aziende devono ottenere un migliore controllo sul flusso e l’utilizzo delle informazioni.

Fronteggiare un panorama delle minacce in continua evoluzione non è però l’unica sfida nell’ambiente IT. Le aziende oggi stanno diventando sempre più dipendenti da informazioni che scorrono liberamente, cosa che rende i confini delle reti aziendali non più così nitidi. I dati viaggiano attraverso cloud e dispositivi mobili e si diffondono tramite idee e post nei social network. Bring Your Own Device (BYOD), mobilità e cloud computing hanno rivoluzionato gli ambienti IT statici, facendo insorgere la necessità di reti ed infrastrutture dinamiche.

Nel nostro mondo di reti ed infrastrutture IT particolarmente esigenti, dove i perimetri non sono più definiti in modo netto, e dove le minacce diventano ogni giorno più intelligenti, dobbiamo trovare il modo giusto per proteggere le imprese.

Oggi, c’è una grande disponibilità di prodotti di sicurezza

l Check Point 2014 Security Report presenta il risultato della nostra approfondita analisi sulle minacce e le tendenze della sicurezza nel 2013. Questo report può aiutare chi si trova a prendere decisioni di business o di sicurezza a capire la varietà di minacce che le loro organizzazioni si trovano ad affrontare e a prendere in esame nuove azioni per migliorare la protezione del proprio ambiente IT.

Gli aspetti principali della nostra ricerca sono:• L’uso di malware sconosciuto è letteralmente

esploso, sull’onda della tendenza chiamata “personalizzazione di massa.”

• L’esposizione al malware e le infezioni sono generalmente aumentate, riflettendo il crescente successo di campagna malware mirate.

• Ogni categoria di applicazioni ad alto rischio ha incrementato la sua presenza nelle aziende di tutto il mondo.

• Gli incidenti che hanno causato perdita di dati sono aumentati per settori e tipologie di dati.

Affrontare le sfide I risultati di questo report indicano chiaramente che il panorama delle minacce continua ad evolvere mentre le strategie e le tecnologie di sicurezza adottate da molte organizzazioni sono inadeguate rispetto ad attacchi sempre più sofisticati e distruttivi. L’esplosione del malware sconosciuto sta rendendo molto velocemente obsolete le soluzioni in grado solamente di individuarle. Il malware noto sta sempre più alzando le sue difese e colpendo un’ampia varietà di piattaforme. Le applicazioni ad alto rischio – come Web 2.0, file storage & sharing, e strumenti di amministrazione remota con un utilizzo

L'ARCHITETTURA DI SICUREZZA PER LE MINACCE DI DOMANI: LA SOFTWARE-DEFINED PROTECTION

È NECESSARIO UN NUOVO PARADIGMA PER PROTEGGERE LE ORGANIZZAZIONI

IN MODO PREVENTIVO


62

06 L'ARCHITETTURA dI SICUREzzA PER LE mINACCE dI dOmANI: LA SOfTwARE-dEfINEd PROTECTION



63

Control Layer

Enforcement Layer

Management LayerModularity

Visibility

Automation

Threat

Prevention

Threat

Intelligence

Security

Policy

Access

Control

Data

Protection

EnforcementPoint

EnforcementPoint

EnforcementPoint

EnforcementPoint

Protection

Protection

• Un Control Layer che analizza le diverse fonti di informazioni sulle minacce e genera protezioni e policy che verranno eseguite dall’Enforcement Layer.

• Un Management Layer che orchestra l’infrastruttura e porta il più alto grado di agilità all’intera architettura.

Combinando le prestazioni elevate dell’Enforcement Layer con il Control Layer software-based, dinamico e veloce nell’evoluzione, l’architettura SDP non solo offre resilienza operativa, ma anche prevenzione proattiva rispetto agli incidenti, in un panorama di minacce in continua trasformazione.

Implementare un modello di sicurezza nella propria organizzazioneUno dei principali vantaggi della SDP è il fatto di offrire una semplice metodologia all’implementazione dei modelli di sicurezza. Check Point Software-defined Protection - Enterprise Security Blueprint descrive nel dettaglio l’architettura SDP, i suoi vantaggi e una metodologia chiara di implementazione. E’ disponibile gratuitamente online su checkpoint.com/sdp.

puntuale; ma questi prodotti tendono ad essere per loro natura reattivi e tattici piuttosto che orientati all’architettura. Le aziende di oggi hanno bisogno di un’architettura unica in grado di combinare dispositivi di network security ad alte prestazioni con protezioni preventive in tempo reale.

E’ necessario un nuovo paradigma per proteggere le organizzazioni in modo proattivo.

L’Architettura di sicurezza Software-Defined Protection Con l’obiettivo di rispondere alla necessità attuale di proteggersi da minacce di sicurezza in continua evoluzione ed al contempo di supportare le più esigenti infrastrutture IT, Check Point presenta la Software-defined Protection.64 Si tratta di una nuova metodologia ed architettura di sicurezza pragmatica, che offre un’infrastruttura modulare, agile e soprattutto SICURA.

Con l’implementazione della Software-defined Protection, organizzazioni di tutte le dimensioni e in qualsiasi luogo possono proteggersi: reti delle sedi centrali, uffici periferici, trasmissione dati tramite smartphone e dispositivi mobili, o ambienti cloud.

Sulla base dell’architettura Software-defined Protection, le protezioni vengono adattate automaticamente al panorama delle minacce senza la necessità per gli amministratori di sicurezza di provvedere manualmente a inoltrare migliaia di avvisi e raccomandazioni. Queste protezioni si integrano perfettamente nel più ampio ambiente IT e l’architettura fornisce un assetto difensivo, che sfrutta in modo collaborativo entrambe le fonti di informazione, interne ed esterne.

L’architettura Software-defined Protection (SDP) suddivide l’infrastruttura di sicurezza in tre strati interconnessi:• Un Enforcement Layer basato su punti di security

enforcement fisici, virtuali e host-based, che seg-menta la rete realizzando al contempo protezione logica in ambienti particolarmente problematici.

I Layer della Software-defined Protection


63




64

La sezione seguente descrive, layer per layer, come la SDP può essere integrata all’interno di un’organizzazione per garantire protezione dalle minacce presentate in questo report.

Enforcement Layer Partiamo con l’Enforcement Layer, progettato per essere affidabile, veloce e semplice. E’ costituito da gateway di sicurezza di rete e software host-based che funzionano come gli enforcement point di una rete aziendale. Questi punti possono essere implementati sia fisicamente che virtualmente o come componenti host endpoint nella rete aziendale o nel cloud.

Dove implementare questi punti di enforcement all’interno di una rete? Quando le reti erano semplici, le protezioni si potevano applicare solamente sul perimetro. Ma se i perimetri non sono più ben definiti, dove possono essere implementati questi punti di enforcement?

La risposta è la segmentazione. Rappresenta il nuovo perimetro. Dividendo un ambiente complesso in piccoli segmenti basati su profili di sicurezza, ed implementando un punto di enforcement al limite di ogni segmento, l’ambiente risulta sicuro!

Control LayerElemento successivo dell’architettura SDP è il Control Layer. E’ qui che vengono generate le protezioni e le policy di sicurezza distribuite verso i punti di enforcement. Usando policy di controllo degli accessi e di protezione dei dati, gli amministratori definiscono policy basate su regole per controllare le interazioni tra utenti, asset, dati ed applicazioni. Questo è nella sostanza un firewall, un firewall di nuova generazione

Qui è dove le policy vengono definite per controllare l’accesso alle applicazioni ad alto rischio descritte nel capitolo 4, quali Anonymizer, P2P File Sharing, File Storage ed anche applicazioni di Amministrazione Remota. Queste policy controllano anche il flusso dei dati, in movimento e a riposo, e proteggono dalle perdite di dati come quelle descritte nel capitolo 5.

Ma le policy di controllo degli accessi e di protezione dei dati non sono sufficienti; c’è anche la necessità di salvaguardare le organizzazioni dai criminali e dalle minacce che evolvono. Per raggiungere anche questo obiettivo, dobbiamo implementare protezioni in grado di identificare attacchi noti e sconosciuti come quelli descritti nei capitoli 2 e 3.

E’ quanto viene fatto dal Threat Prevention, la seconda parte del Control Layer. Qui, le protezioni dalle minacce vengono aggiornate in tempo reale, e protette automaticamente dai punti di enforcement in modo che non ci sia necessità di definire alcuna policy specifica, ma piuttosto che basti abilitare il meccanismo di Threat Prevention.

La chiave per una prevenzione efficace dalle minacce sono le informazioni. Informazioni sulle minacce che dovrebbero essere raccolte dal più elevato numero di risorse possibile. Elaborate e traslate in nuove protezioni di sicurezza e trasmesse in tempo reale a tutti i punti di enforcement.

Management LayerIl terzo livello è rappresentato dal Management Layer, che rappresenta la linfa vitale dell’architettura SDP ed è cruciale per la gestione dell’intera architettura. Il Managememt Layer ha tre caratteristiche fondamentali: modularità, automazione e visibilità

La modularità consente una policy su più livelli con la possibilità di differenziare i doveri amministrativi per una flessibilità ottimale della gestione. L’automazione e l’apertura permettono l’integrazione con sistemi di terze parti per creare policy e protezione in tempo reale. Ed infine la visibilità, la capacità di raccogliere informazioni di sicurezza da tutti i punti di enforcement, fornendo una visione complessiva della situazione di sicurezza dell’organizzazione.

La Software-defined Protection offre un’infrastruttura modulare e dinamica in grado di adattarsi velocemente alle variazioni del panorama IT e dello scenario delle minacce.

64




07 ABOUT CHECK POINT SOFTWARE TECHNOLOGIES

65


65


07 ABOUT CHECK POINT SOfTwARE TECHNOLOgIES

66

07 CHECK POINT

SOFTWARETECHNOLOGIES


66


07 ABOUT CHECK POINT SOFTWARE TECHNOLOGIES

67


67


07 ABOUT CHECK POINT SOfTwARE TECHNOLOgIES

68

CHECK POINT SOFTWARE TECHNOLOGIES07

Check Point offre una grande varietà di punti di enforcement, tra cui: appliance di network security ad alte prestazioni, gateway virtuali, software host per gli endpoint ed applicazioni per dispositivi mobili. Può essere implementata nella rete aziendale o nel cloud.

A livello di Control Layer, Check Point vanta il più avanzato firewall di nuova generazione del mercato, ed il nostro ThreatCloud è la più ampia base di conoscenze sulle minacce in tempo reale, aperta e basata sui big data.

Ed infine, l’architettura Check Point viene gestita da una console di sicurezza unificata che è modulare, estremamente scalabile e aperta a sistemi di terze parti.

Check Point offre l’architettura di sicurezza di cui le aziende oggi necessitano per proteggersi verso le minacce future.

Ulteriori informazioni sull’architettura SDP sono disponibili su : www.checkpoint.com/sdp

Check Point combina questo approccio olistico alla sicurezza con le sue innovative soluzioni tecnologiche per rispondere alle sfide delle minacce di oggi e definire la sicurezza come un abilitatore di business.

Regolarmente indicata dagli analisti come leader di mercato nella sicurezza di rete, Check Point Software fornisce ormai da oltre 20 anni ai propri clienti best practice e innovative soluzioni di sicurezza di livello enterprise. Tra i clienti Check Point vi sono oltre 100.000 organizzazioni di ogni dimensione, tra cui tutte le aziende delle liste Fortune e Global 100s.

Da 20 anni, la mission di Check Point è quella di rendere sicura Internet. Dall’invenzione del Firewall alla leadership nel mercato della Network Security, Check Point si focalizza sullo sviluppo delle tecnologie necessarie a rendere sicure le aziende man mano che Internet continua a evolvere.

Oggi Internet non è solo una piattaforma consolidata per le aziende, è anche un terreno libero per i criminali informatici. Partendo da questo ambiente, Check Point ha sviluppato un’architettura che rende possibile l’implementazione di una protezione multilivello dalle minacce, in grado di offrire massima protezione da tutte le minacce, compresi gli attacchi zero-day.

Check Point SDPCheck Point ha definito e adottato l’architettura SDP ed offre la flessibilità necessaria per essere all’altezza delle nuove minacce ed abbracciare le nuove tecnologie.

Check Point SDP


68


08 APPENdIx

69

FONTI

1 Stoll, Cliff. (2005). The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage. New York, NY: Pocket Books.

2 http://resources.infosecinstitute.com/hacktivism-means-and-motivations-what-else/

3 http://www.entrepreneur.com/article/231886

4 http://www.darkreading.com/advanced-threats/mass-customized-attacks-show-malware-mat/240154997

5 http://www.checkpoint.com/campaigns/securitycheckup/index.html

6 http://www.checkpoint.com/products/threat-emulation/

7 http://www.checkpoint.com/threatcloud-central/index.html

8 https://supportcenter.checkpoint.com/supportcenter/portal/role/supportcenterUser/page/default.psml/media-type/html?action=portlets.DCFileAction&eventSubmit_doGetdcdetails=&fileid=20602

9 https://www.checkpoint.com/products/softwareblades/architecture/

10 http://www.checkpoint.com/products/index.html#gateways

11 Huxley, Thomas Henry (1887). On the Reception of the Origin of Species, http://www.todayinsci.com/H/Huxley_Thomas/HuxleyThomas-Quotations.htm

12 http://www.checkpoint.com/threatcloud-central/downloads/check-point-himan-malware-analysis.pdf

13 http://usa.kaspersky.com/

14 http://msdn.microsoft.com/en-us/magazine/cc164055.aspx

15 http://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon

16 http://news.cnet.com/Code-Red-worm-claims-12,000-servers/2100-1001_3-270170.html

17 http://www.cnn.com/2004/TECH/internet/05/03/sasser.worm/

18 http://support.microsoft.com/kb/2664258

19 http://www.pcmag.com/article2/0,2817,2370016,00.asp

20 https://www.virustotal.com/

21 http://www.av-test.org/en/home/

22 http://www.checkpoint.com/threatcloud-central/downloads/10001-427-19-01-2014-ThreatCloud-TE-Thwarts-DarkComet.pdf

23 http://contextis.com/research/blog/malware-analysis-dark-comet-rat/

24 http://www.princeton.edu/~achaney/tmve/wiki100k/docs/Portable_Executable.html

25 http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/

26 Mariotti, John. (2010). The Chinese Conspiracy. Bloomington, IN: iUniverse.com

27 http://www.checkpoint.com/campaigns/security-report/download.html?source=google-ngfw-us-sitelink-report&gclid=CIfK-JuOhrwCFZFxQgodsBYA_w

28 https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/3/html/Security_Guide/ch-risk.html

29 Anderson, Chris. (2006). The Long Tail: Why the Future of Business is Selling Less of More. New York, NY: Hyperion.

30 http://www.fbi.gov/about-us/history/famous-cases/willie-sutton

31 http://searchwindowsserver.techtarget.com/definition/remote-code-execution-RCE

32 http://searchsoa.techtarget.com/definition/Remote-Procedure-Call

69

fONTI


08 APPENdIx

70

FONTI Cont.

33 https://www.checkpoint.com/threatcloud-central/articles/2013-11-25-te-joke-of-the-day.html

34 http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html

35 http://www.checkpoint.com/threatcloud-central/articles/2013-11-14-defeating-cryptocker.html

36 http://www.apwg.org/

37 http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html

38 http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_1H2013.pdf

39 http://newgtlds.icann.org/en/program-status/delegated-strings

40 Stephenson, Neal. (2002). Cryptonomicon. New York, NY: Avon.

41 Orwell, George. (1956). Animal Farm. New York, NY: Signet Books.

42 https://www.torproject.org/

43 http://www.pcworld.com/article/2046227/meet-darknet-the-hidden-anonymous-underbelly-of-the-searchable-web.html

44 http://www.huffingtonpost.com/tag/silk-road-arrest

45 http://www.pcworld.com/article/2093200/torenabled-malware-stole-credit-card-data-from-pos-systems-at-dozens-of-retailers.html

46 http://www.britannica.com/EBchecked/topic/278114/Hydra

47 http://msdn.microsoft.com/en-us/library/aa383015(v=vs.85).aspx

48 http://www.securityweek.com/poison-ivy-kit-enables-easy-malware-customization-attackers

49 http://www.checkpoint.com/defense/advisories/public/2005/cpai-20-Decf.html

50 http://www.emea.symantec.com/web/ShadowIT-enduser/

51 http://www.techrepublic.com/blog/it-security/dropsmack-using-dropbox-to-steal-files-and-deliver-malware/

52 http://vote-il.org/politicianissue.aspx?state=il&id=ilbeanmelissa&issue=buscrime

53 http://www.scmagazine.com/florida-health-department-employees-stole-data-committed-tax-fraud/article/318843/

54 http://www.islingtongazette.co.uk/news/data_leak_lands_islington_council_with_70_000_fine_1_2369477

55 http://healthitsecurity.com/2013/11/12/rotech-healthcare-reports-three-year-old-patient-data-breach/

56 http://www.dailypost.co.uk/news/north-wales-news/anglesey-council-under-fire-over-6330304

57 http://www.informationweek.com/attacks/heartland-payment-systems-hit-by-data-security-breach/d/d-id/1075770

58 https://www.pcisecuritystandards.org/documents/DSS_and_PA-DSS_Change_Highlights.pdf

59 http://ec.europa.eu/justice/newsroom/data-protection/news/130206_en.htm

60 http://www.computerworld.com/s/article/9245984/Despite_Target_data_breach_PCI_security_standard_remains_solid_chief_says

61 http://www.csoonline.com/article/723630/dexter-malware-infects-point-of-sale-systems-worldwide-researchers-say

62 http://www.darkreading.com/vulnerabilities---threats/securestate-releases-black-pos-malware-scanning-tool/d/d-id/1141216

63 http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alerts-while-bagging-credit-card-data

64 http://www.checkpoint.com/sdp

70

fONTI


08 APPENdIx

7171

WorldWide Headquarters

5 HA’SOLELIM STREET, TEL AVIV 67897, ISRAELTEL: 972-3-753-4555 | FAX: 972-3-624-1100EMAIL: [email protected]

u.s. Headquarters

959 SKYWAY ROAD, SUITE 300, SAN CARLOS, CA 94070 TEL: 800-429-4391; 650-628-2000 | FAX: 650-654-4233

www.checkpoint.com

©2014 Check Point Software Technologies Ltd. [Protected] – All rights reserved.

security report 2014 - service pro · stati raccolti dai sensori check point threat emulation nel...

Documents