Sicurezza, attenzione agli attacchi a "basso profilo"

22/08/2014

Gli anelli "deboli" delle infrastrutture e delle applicazioni legacy (software obsoleti, codici maligni, errori degli utenti, sistemi in disuso e via dicendo) sono sempre usati da hacker e criminali informatici.

Secondo il Cisco 2014 Midyear Security Report,  il fatto di concentrarsi solo sulle vulnerabilità di alto profilo piuttosto che sulle minacce ad alto impatto, più comuni e furtive, espone le aziende a maggior rischio.

In altre parole, gli hacker sfruttano punti deboli ben noti di applicazioni e infrastrutture legacy sfuggendo ai controlli,  poiché i team dedicati alla sicurezza si concentrano su vulnerabilità di "alto profilo" (tipo Heartbleed).

I ricercatori che hanno condotto lo studio si sono concentrati in particolare su 16 grandi multinazionali che, a partire dal 2013, hanno gestito un patrimonio complessivo di oltre 4.000 miliardi di dollari.

Ecco i principali dati emersi:
  • Gli attacchi “Man-in-the-Browser” sono un rischio per le aziende: circa il 94% delle reti analizzate nel 2014 ha generato traffico verso siti web contenenti malware. Si tratta di richieste DNS per gli hostname dove l’indirizzo IP a cui riferisce l’hostname viene associato alla distribuzione di malware Palevo, SpyEye e Zeus che integrano funzionalità man-in-the-browser (MiTB).
     
  • Attenzione alle  botnet “hide and seek”: circa il 70% delle reti lanciano query DNS per Dynamic DNS Domain. Ciò dimostra che viene fatto un uso improprio delle reti che vengono compromesse da botnet che utilizzano DDNS per modificare l’indirizzo IP per evitare il rilevamento/blacklist. Alcuni legittimi tentativi di connessione in uscita dalle reti aziendali sarebbero effettuati alla ricerca di domini DNS dinamici a partire da callback C&C in uscita nell’intento di mascherare la posizione della loro botnet.
     
  • Circa il 44% delle reti dei clienti analizzate nel 2014 hanno fatto richieste DNS per siti e domini con dispositivi che forniscono servizi di cifratura, utilizzati dai criminali informatici per coprire le loro tracce estraendo i dati e utilizzando canali di cifratura per evitare il rilevamento tramite VPN, SSH, SFTP, FTP, e FTPS.
  •  Il numero di exploit kit è sceso dell’87% dopo che il presunto creatore del popolare Blackhole exploit kit è stato arrestato l’anno scorso (secondo quanto affermato dai ricercatori Cisco impegnati sul fronte sicurezza).  
  • Java continua a essere il linguaggio di programmazione più sfruttato dai criminali informatici. Secondo i ricercatori Cisco gli exploit Java costituiscono la stragrande maggioranza (93%) degli indicatori di compromissione (IOC) nel novembre 2013.
     
  • Si assiste a un aumento dei malware nei mercati verticali. Nella prima metà del 2014, i settori farmaceutico e chimico, entrambi ad alto profitto, ancora una volta si sono posizionati tra i tre primi mercati verticali ad alto rischio. A livello globale, i settori dei media e dell’editoria guidano la classifica, mentre il settore dell’aeronautica scende al terzo posto. A livello di regioni, i settori verticali più colpiti sono quelli media e dell’editoria in America, del food & beverage in EMEAR (Africa, Europa e Medio Oriente) e quello assicurativo nell’APJC (Asia-Pacifico, Cina, Giappone e India).
(Fonte: ict4executive.it)