Il malware si sta evolvendo, diventa più subdolo. Finiti i tempi in cui gli effetti si vedevano a breve, oggi è facile diventare corresponsabili di atti criminosi senza nemmeno accorgersene. Una serie di indicazioni da chi si è sempre occupato di sicurezza. E prevenire è meglio che reprimere
E’ Stefano Volpi, country manager Italy di Trend Micro a presentarci lo stato dell’arte. Trend Micro, come lo stesso ci ricorda a ragion veduta, è sempre stata un’azienda visionaria. “Ormai non si attacca più per devastare, ma per sottrarre”. L’APT è un modo di attacco persistente, che si prolunga nel tempo, che cerca attraverso diverse strade, non ultima quella dei social network, di penetrare le difese, per quanto sofisticate, delle realtà aziendali. Non bastano più prodotti, ma servono servizi con un costante monitoraggio. Per questa ragione Trend Micro si è spostata dalla fornitura di servizi a quella di prodotti, e si è spostata nel cloud. Oggi la società si presenta con un fatturato di 1,2 B$ e 5.000 dipendenti. “Siamo stati i primi ad aver offerto sicurezza via cloud grazie a data center di grandi dimensioni che si sono evoluti negli ultimi 7 anni e che sono costati circa 400 milioni di dollari negli ultimi quattro anni”. L’evoluzione della sicurezza, il guardare al di fuori del perimetro aziendale, passa anche attraverso la deep security per ambiente Vmware.
A entrare maggiormente nei dettagli tecnici è Gastone Nencini, senior technical manager Italy, il quale ci fornisce una panoramica quantomeno preoccupante del mercato del cybercrime e di come agisce. Gli APT sono attacchi mirati e l’attenzione verso questi è aumentata con l’aumentare del giro di soldi su Internet. Nel mercato underground qualsiasi informazione è monetizzabile. Ora per attaccare un’azienda si attaccano i collaboratori per riuscire a entrare nel perimetro. Il sistema di attacco non si limita più a una semplice intrusione, ma è continuativo e caratterizzato da un obiettivo preciso. Occorre dunque un elevato controllo non solo di ciò che entra, ma anche, e forse soprattutto, di ciò che esce. Due elementi sono determinanti a questo proposito: la vulnerabilità dei server pubblici e le informazione lasciate sui social network dai collaboratori.
Tanto per dare una dimensione del fenomeno, si stima che i kit per il malware, provenienti soprattutto dai Paesi dell’Est, permettono la realizzazione di circa 6.000 nuovi malware all’ora e producono un fatturato di circa 16 M$. Osservando altre fonti sembra che il cybercrime, secondo stime del senato degli Stati Uniti, sia 1,5 volte il mercato della droga.
Ma come funziona in concreto l’APT? Sono cinque le fasi: la preparazione dell’attacco investigando sui collaboratori, spesso tramite i social network; la definizione della metodologia di attacco; la realizzazione della piattaforma di attacco; analisi della rete aziendale obiettivo del mio attacco; accesso ai dati e ai database che li contengono.
Grazie all’analisi dei dati raccolti tra febbraio e settembre di quest’anno, Trend Micro ha rilevato che il 91% delle minacce costanti evolute (APT) prevede azioni di spear phishing. Uno dei tanti dati su cui vale la pena di porre l’attenzione è come la posta a questo punto torni a essere un veicolo fondamentale per il malware e come i file exe, come veicolo di infezione, rappresentino ormai una percentuale piuttosto bassa (meno del 30%), mentre file in genere considerati innocui, ma in grado di sfruttare vulnerabilità degli applicativi che li utilizzano, diventano facili strumenti di contagio: RTF (38%), .XLS (15%) e .ZIP (13%).