Minacce IT e difese digitali nelle PMI

Il 2011 è stato l’anno della Security breach: il 90% delle imprese ha subito almeno una violazione, di cui il 64% fuori dalla sede aziendale.

Come sottolineato da Roul Chiesa, Eethical hacker ed esperto di sicurezza dal palco della Cybercrime Conference  2012, questa escalation rende sempre meno evidente il confine tra cybercrime, hacktivism, information warfare e cyberwar. Di fatto, il territorio digitale è il quinto elemento da governare, come lo ha etichettato il Pietro Finocchio, presidente di AFCEA capitolo di Roma.

Il Business Security breach

Cominciamo con un dato scioccante: il mercato del cybercrime è milioni di volte più profittevole di quello della droga e un investimento in tecnologie per attacchi informatici prevede un ROI del 750%. Insomma, nella rete il crimine paga. Non a caso, di tutto il traffico web mondiale ben il 31% è spam, traffico spia o malware di vario genere (dati Incapsula).

A monte degli attacchi troviamo motivazioni politiche o ideologiche per il 35%, cyber-activismo e vandalismo per il 31%, gaming online per il 29%, criminalità e concorrenza commerciale sleale per il 25%.

Fra i nuovi crimini informatici si segnala anche  il “cyber pizzo”, cioè il ricatto verso imprenditori e piccole imprese, per non farsi attaccare il sito aziendale o uno dei servizi web offerti.

Attacchi in Italia

Il Rapporto CLUSIT 2012 ha fotografato la situazione della sicurezza ICT in Italia e nel mondo,  con un focus particolare sul nostro contesto produttivo e sociale, da cui emerge che le imprese più bersagliate sono le PMI (per i bassi investimenti in sicurezza e la scarsa conoscenza dei rischi).

La disomogenea legislazione dentro e fuori la UE non aiuta, a causa delle diverse definizioni del concetto di “crimine”: quel che in Italia è considerato un reato, può non esserlo in Russia o in Cina.

L’altro importante fattore che concorre alla diffusione della criminalità informatica è la quasi totale assenza di percezione in termini di allarme sociale.

Le nuove minacce

Gli attacchi leader nel 2011 sono stati quelli di tipo DDos (Denial of Service), che hanno raggiunto anche la rete ipv6. Inoltre cresce la dimensione in Gbps degli attacchi (i cosiddetti volumetrici) e la loro frequenza, principalmente in Italia, il paese più colpito nell’area EMEA.

Altre minacce vengono veicolate tramite i social network, mediante la creazione di profili fasulli che ospitano malware in grado di penetrare nel pc degli utenti prendendone il controllo tramite botnet, sottraendo identità o credenziali.

In questa selva di pericoli, l’incidenza dell’errore umano è imbarazzante: paradossalmente, gli executive aziendali sono spesso l’anello debole della catena di sicurezza, perché tipicamente – soprattutto nelle PMI per una forma di rispetto aziendale – non sono soggetti a limiti di traffico e policy di sicurezza estensive.

Un’altra minaccia è quella segnalata da Corrado Giustozzi, esperto di sicurezza  e membro del permanent Stakeholders’ Group presso ENISA: l’emissione di certificati digitali fasulli, magari a causa di una compromissione di sicurezza della CA (Certification Authority). Da Stuxnet (primo virus “certificato” della storia) a Diginotar, la CA di riferimento per i servizi E-gov olandesi che, dopo un attacco in grado di farle produrre certificati digitali fraudolenti, ha chiuso i battenti con disonore.

Certo, in questi casi gli utenti finali possono poco in termini di prevenzione. Per aumentare la reattività, comunque, si dovrebbe almeno utilizzare un browser in grado di accedere dinamicamente alle liste di revoca dei certificati, senza aspettare re-installazioni che tra l’altro avvengono sempre dopo che il danno viene reso noto! Anche le CA sono state sottovalutate nel loro ruolo chiave e nella loro vulnerabilità che deve essere aumentata pena il decadimento della fiducia e dei servizi web.

La strategia giusta

Nell’era digitale si impone la cyberdefence per combattere il cyber crime, perché la crescita esponenziale delle minacce richiede pari capacità di contrasto. Ma difendersi non basta, concordano gli esperti: è necessaria una strategia completa che parta dalla prevenzione e dal monitoraggio per arrivare in ultimo alle contromisure.

In questo senso, la sicurezza logica non è una moda né trend tecnologico da presidiare ma piuttosto una concreta esigenza operativa, nonché una competenza da metabolizzare per ogni progetto: progettazione, implementazione e monitoraggio devono essere integrati nei processi di business e nei progetti aziendali.
E nella strategia integrata rientrano la divulgazione e formazione in azienda con case study reali, simulazioni su intranet e test.

Solo una relazione forte fra queste entità permette di limitare l’inadeguatezza delle risposte ad attacchi sempre più sofisticati.

Consigli pratici

Mentre per gli attacchi volumetrici tocca ai service provider fornire protezione, negli altri casi tocca all’impresa tutelare la rete aziendale. Vediamo come.

• Oltre ai consueti strumenti software e hardware, si potrebbero adottare apparati per garantire la disponibilità di banda mediante dialogo continuo con il provider, per evitare la saturazione mentre si cerca di fare pulizia a livello di backbone interna.
• Qualsiasi tipo di download se non è un link trusted, può condurre ad attacchi DDos: è quindi consigliabile dotarsi di contromisure verso pdf e link malevoli che portano a malware o minacce APT.
• Contestualmente al patching sistematico, per minacce 0-day e note si dovrebbe promuovere la condivisione tempestiva delle notizie a riguardo mediante sistemi di reputation trusted sempre aggiornati.