Il 2010 sarà l’anno del cambiamento continuo. L’ulteriore adozione delle tecnologie di cloud computing, social media e virtualizzazione continuerà a rendere indistinto il concetto di rete, mentre i nuovi metodi escogitati dai cybercriminali, come ransomware e "crime as a service", adescheranno ignari utenti, minacciando il mondo aziendale in generale. I modelli di sicurezza dovranno passare da un approccio basato su contenitori, quindi legato a un ambiente fisico, a uno schema di sicurezza basato su dati e informazioni. A questo scopo, le imprese sia grandi che piccole dovranno considerare una soluzione di sicurezza centralizzata a più livelli che fornisca più punti di contatto di sicurezza all’interno della rete, piuttosto che intorno, per proteggere le informazioni sia in entrata che in uscita.
Tenendo presenti questi concetti, Fortinet prevede per il 2010 i seguenti 10 maggiori trend in materia di sicurezza:
1) Sicurezza, dal punto di vista virtuale: la prevenzione della diffusione incrociata delle infezioni tra macchine virtuali sarà fondamentale per la sicurezza dei movimenti virtuali dei server.
La sicurezza degli ambienti virtuali richiede la protezione del perimetro fisico, nonché la protezione dell’interazione tra dispositivi virtuali. L’infezione può diffondersi nel momento in cui si crea una nuova macchina virtuale, pertanto le imprese devono assicurarsi che i criteri definiti per il perimetro non seguano l’ambiente virtuale. I criteri di sicurezza, invece, devono essere spostati in modo univoco con lo spostamento virtuale dei server.
2) Informazioni, come proteggerle: la sicurezza basata sulle informazioni, piuttosto che incentrata sui contenitori, sarà un’esigenza nel prossimo decennio dato che l’accesso ai dati continuerà a evolversi all’esterno della rete tradizionale.
La definizione di "rete" si è spinta ben oltre la LAN tradizionale per includere reti distribuite, reti basate su cloud computing, reti di social media, reti wireless, reti virtuali e così via. Ora è pertanto necessario che i dati siano protetti tramite un’infrastruttura di rete che introduca il controllo della sicurezza in ogni punto di contatto con i dati o segmento della rete interna, piuttosto che solo a livello di perimetro. La sicurezza basata sulle informazioni costituisce un approccio più capillare, intelligente e a più livelli, in grado di fornire una protezione contro la penetrazione dell’intera rete attraverso i punti più deboli dell’infrastruttura.
3) La sicurezza per il cloud computing: l’adozione di servizi basati sul cloud computing rende le organizzazioni aperte a molti rischi e vulnerabilità durante il trasferimento delle informazioni da e verso reti protette attraverso una pipe pubblica, creando molte più opportunità di infezione o furto di dati.
La protezione del cloud sarà un argomento ancora più centrale nel 2010, mentre sempre più aziende adottano servizi quali "storage for rent", "software as a service", IT virtuale e hosting di applicazioni. Entra in gioco il concetto di protezione dei dati statici rispetto a quelli in movimento, imponendo alle organizzazioni di esaminare diversi meccanismi di sicurezza per proteggere i propri dati, inclusa la crittografia, l’ispezione del traffico SSL, DLP (Data Leakage Protection) e gli antivirus, per citarne alcuni. I dati statici nel cloud possono essere protetti con una funzione di filtro del traffico di tipo "lock and key" per impedire l’accesso non autorizzato, tuttavia i dati infetti non vengono necessariamente ripuliti nel cloud e possono essere reintrodotti nella rete durante il trasferimento.
4) Le applicazioni avranno ancora un ruolo: verrà adottata una sicurezza di secondo livello per consentire alle aziende di esercitare un maggiore controllo delle applicazioni, che vada oltre il semplice "consenti o nega".
Le aziende dovranno sempre di più confrontarsi con l’uso di applicazioni di social media da parte dei dipendenti, che non sempre hanno un vantaggio ovvio per il business, inoltre molti di questi tool portano con sé minacce veramente molto pericolose. Ne sono testimonianza Koobface e Secret Crush, che hanno preso di mira e provocato danni a milioni di utenti di Facebook e MySpace. Oltre ai siti di social networking, le minacce riguardanti le applicazioni hanno come obiettivo anche le applicazioni business-critical, motivo per cui molte società devono ricorrere all’implementazione di contromisure per arginare questi nuovi attacchi sofisticati e mirati. Nel 2010, tuttavia, le organizzazioni non dovranno implementare una politica all-or-nothing. La sicurezza delle applicazioni ha lo scopo di fornire controlli di sicurezza di secondo livello intelligenti per consentire la definizione di criteri applicativi capillari che abilitino o disabilitino le applicazioni in base al livello e lo screening di attività dannose all’interno delle applicazioni abilitate e la cattura ed eliminazione di tali attività a livello di gateway. Questo è un approccio molto più intelligente e produttivo rispetto all’alienazione di una forza lavoro con il rischio che, nel corso del processo, si perdano veicoli di marketing della prossima generazione a causa di una politica che vieta l’uso di Facebook/YouTube/MySpace e così via.
5) I servizi di sicurezza e di rete non sono entità estranee: una naturale evoluzione della tendenza al consolidamento dei dispositivi di rete consiste nell’integrare più funzionalità di rete nei dispositivi di sicurezza.
Nell’ultimo decennio, si è assistito a una riuscita convergenza di più dispositivi di sicurezza e di rete in un’unica apparecchiatura con l’incisiva adozione di soluzioni UTM (Unified Threat Management). Mentre le performance relative alla sicurezza sono diventate sempre più veloci, i clienti hanno progressivamente notato il vantaggio della convergenza dei servizi di sicurezza e di rete sulla stessa piattaforma, specialmente nel clima economico degli ultimi 18 mesi quando i vantaggi del consolidamento hanno avuto una buona risonanza presso i clienti. Nel 2010 un ulteriore consolidamento dei servizi di rete incontrerà la continua accettazione da parte dei clienti attenti al budget. Ad esempio, l’accelerazione WAN è stata accolta con estremo favore all’inizio dell’anno, quando il servizio è stato integrato in un dispositivo di sicurezza consolidato per accelerare il traffico legittimo, bloccando quello dannoso. Le funzioni di commutazione e VoIP potrebbero rappresentare ulteriori servizi di rete candidati all’integrazione futura nei dispositivi di sicurezza consolidati.
6) CaaS rispetto a SaaS: i cybercriminali prenderanno spunto dal nuovo modello di business Security-as-a-Service per implementare il proprio approccio Crime-as-a-Service, un "ambiente a noleggio" criminale, per così dire.
Quasi tutti hanno sentito parlare delle crescente popolarità di SaaS (Security as a Service), un servizio che consente alle aziende di liberarsi dal complesso compito di proteggere le proprie reti affidandolo, invece, in outsourcing a provider di servizi indipendenti. La popolarità dell’approccio alla sicurezza in outsourcing continuerà a crescere nel 2010, grazie all’economicità e alla facilità d’uso. Un tale eccellente modello non è passato inosservato ai cybercriminali, molti dei quali hanno adottato l’approccio "Crime as a Service", che consente di aumentare il loro raggio d’azione e nascondere la propria identità. Si prevede un aumento del numero di "crime kit" che consentiranno di realizzare pannelli di controllo centralizzati con cui i botmaster potranno amministrare in modo anonimo le loro reti dannose. Nel 2010 questi kit saranno prevedibilmente sviluppati in modo da includervi funzioni di manutenzione, guide e QA dai sindacati del crimine. Ad oggi, sono stati rilevati metodi CaaS comuni basati sul noleggio di reti per la distribuzione di malware/adware o la diffusione di spam. Si prevede che tutto ciò si evolverà in una vasta offerta di servizi: consulenze, hacker da ingaggiare, DDoS, furto di informazioni e attacchi estorsivi a partiti politici, governi, imprese e addirittura ambienti civili. Il processo di attacco diventerà così più facile e trasparente, collocando i requisiti tecnici dietro un servizio a noleggio.
7) Scareware e affini guadagnano terreno: dato che i consumatori stanno diventando più prudenti con lo scareware, si prevede che i cibercriminali alzeranno la posta nel 2010, tenendo le risorse digitali dei clienti in ostaggio a scopo di estorsione.
A causa della natura altamente redditizia, il software di sicurezza fittizio, o scareware, diventerà un punto di forza nel 2010. Considerata tuttavia la maggiore consapevolezza degli utenti, i vantaggiosi programmi di affiliazione alla base di queste campagne scareware inizieranno a ricercare nuove vie, sfruttando nuovi veicoli come il ransomware. Il ransomware crittografa in modo distruttivo file e dati nel computer della vittima, tenendoli in ostaggio con la minaccia di un ripristino teoricamente possibile solo tramite una chiave fornita allo scopo. Naturalmente queste chiave ha un costo e non è escluso che venga offerta mediante software di ripristino dati fraudolento, supportato dagli stessi programmi di affiliazione che supportano gli scareware. Recenti attacchi hanno già dimostrato una progressione del ransomware nell’utilizzo di servizi, come MMS, per inviare chiavi ai destinatari a proprio vantaggio.
8) I money mule si moltiplicano: utenti inconsapevoli potrebbero scoprirsi complici di un crimine, mentre i cibercriminali reperiscono nuovi "mule" per il riciclaggio dei loro guadagni illeciti.
Verranno creati altri veicoli per il riciclaggio di denaro sporco allo scopo trasferire l’esuberanza di contanti nella clandestinità digitale. I money mule, spesso individui innocenti utilizzati per trasferire fondi illeciti dietro pagamento di una commissione, saranno un esempio comune di tali veicoli. Verranno pubblicati annunci di lavoro più innovativi e dall’aspetto professionale per indurre i candidati a cedere alla tentazione e diventare "mule". I cybercriminali si spingeranno oltre e al di là dell’uso vistoso dei mule a cui abbiamo assistito fino ad oggi, concentrandosi su strategie atte a tenere nascosti i loro "collaboratori". Verranno ulteriormente sviluppate tecniche di autenticazione per distogliere l’attenzione dei ricercatori e delle autorità preposte all’applicazione delle leggi che tentano di comunicare con le reti criminali, mentre le vere informazioni, come gli account dei money mule, saranno caricate solo su connessioni autenticate.
9) Più piattaforme nel mirino: dato il crescente numero di utenti su nuove piattaforme, i cybercriminali punteranno gli attacchi oltre Microsoft Windows.
La maggior parte degli attacchi ha avuto come obiettivo le piattaforme Microsoft Windows semplicemente a causa della quota di mercato. L’ampia base di utenti e la vulnerabilità di componenti/software sviluppati internamente, offrono ampie opportunità di attacchi e molti altri ne sono previsti a seguito del rilascio dell’ultima versione di Windows 7. Nel 2010 due fattori principali favoriranno il diffondersi di attacchi ad altre piattaforme. Innanzitutto, più applicazioni potranno essere eseguite cross-platform (su molti dispositivi) in quanto tali piattaforme integrano il supporto per tecnologie, applicazioni Web e componenti supplementari (Flash, Javascript e così via). Di conseguenza, un solo vettore di attacco avrà a disposizione più obiettivi. Secondariamente, i cosiddetti hacker black hat, una risorsa in crescita, si concentreranno sullo sfruttamento di queste piattaforme. Sono state scoperte ulteriori vulnerabilità nelle piattaforme mobili e nei componenti, come i messaggi MMS sull’iPhone. È stato già osservato codice dannoso più sofisticato sulle piattaforme mobili, come SymbianOS nel 2009. Sebbene questa tendenza continuerà sicuramente nel 2010, nasceranno altre opportunità. Ad esempio, Palm ha recentemente reso aperto WebOS per gli sviluppatori.
10) I botnet si nascondono tra mezzi leciti: i botnet non si limiteranno semplicemente a nascondere il proprio codice binario per eludere il rilevamento. Si agganceranno invece ai veicoli di comunicazione autorizzati per propagare e dissimulare le proprie attività.
Oggi le minacce sono piuttosto miste, vengono introdotte attraverso molti vettori di attacco e sono associate a molti componenti di lavoro. Questo si è rivelato un modello di successo, in quanto lo scopo dei cybercriminali è di infiltrarsi efficacemente nei computer e superare qualsiasi misura di sicurezza eventualmente applicata. I botnet utilizzano da tempo questa tecnica per nascondere e pacchettizzare il codice binario dannoso in modo da evitare il rilevamento. Nel 2010 i botnet continueranno a tentare di eludere il rilevamento al di là del codice binario, concentrandosi sulle comunicazioni di rete. Ciò verrà realizzato sotto forma di agganciamento ai protocolli validi, crittografia delle comunicazioni, autenticazione e oscuramento. Sono già stati osservati botnet che comunicano attraverso gruppi di Twitter e Google e sicuramente questo ambito si espanderà. Queste attività contribuiranno inoltre a mascherare i server di controllo ed esecuzione di comandi.
