Alla fine di ogni Security Summit si ha sempre l’impressione che le cose con il passare degli anni vadano sempre peggio. Purtroppo l’impressione trova conferma nel Rapporto Clusit 2015, dove vengono stilati gli attacchi noti del 2014, gli attori e le tecniche di attacco utilizzate. Attacchi che si fanno sempre più sofisticati e che colpiscono con maggior efficacia.

Questo è l’anno del IoT l’Internet of Things che si appresta a diventare il primo problema del CISO in azienda. Come gestire device atipici che possono connettersi alla rete aziendale? Quanti controllano le connessioni bluetooth oltre a quelle Wi-fi? C’è un trend in crescita di attacchi a questi dispositivi, bisogna fermarlo rivedendo le strategie di difesa adottate e riformulando gli standard utilizzati includendo i dispositivi IoT.

Come difenderci dal dipendente che è appena tornato dalla sua vacanza in Cina con il suo nuovissimo smartwatch acquistato a 10 euro che si connette via Bluetooth al telefono aziendale?

Dal Rapporto si evince quanto il Cybercrime sia cresciuto rispetto al 2014 +208% con un trend nel 2015 in costante salita. Stranamente si è visto in controtendenza l’Hacktivism con un trend in diminuzione nel 2015 (forse per i duri colpi inflitti ad Anon?). Se si analizzano i dati degli attacchi per tipologia, troviamo al primo posto i servizi Cloud che rispetto al 2014 sono incrementati del 586%!

Le tecniche di attacco più utilizzate sono gli APT che sono aumentati del 900%. Queste percentuali sembrano evidenziare la partecipazione di grandi organizzazioni sia criminali che governative nella cyber warfare. I grandi conflitti nell’est Europa e quelli nel medio oriente fanno da cassa di risonanza ad attacchi State sponsored. BlackOps portate a termine dai governi spostano la battaglia su internet, trovando evidentemente terreno fertile.

Il 2014 è stato anche l’anno dei Ransomware in particolare di Cryptolocker e delle sue varianti che hanno aperto un business da miliardi di dollari al Cybercrime. Purtroppo ancora oggi si fa fatica ad arginare questi tipi di malware che nel frattempo si stanno evolvendo, arrivando addirittura ad autoproteggersi in caso di individuazione da parte degli AV.

In Italia invece, sembra evidente che ancora non abbiamo la giusta preparazione in termini di security awareness. I dati forniti dalla Polizia Postale parlano chiaro, da parte delle forze dell’ordine vi è una grossa lacuna normativa che non permette di intervenire verso chi commette reati di truffa online in modo subdolo.

Nel contrasto al fenomeno del Phishing, su 91 mila denunce ci sono stati solo 31 arresti. Le somme di denaro sottratte ammontano a 15 milioni di euro e quelle recuperate dalla Polizia a solo 1,9 milioni. Purtroppo questo è un dato abbastanza triste che sottolinea come la Polizia che dovrebbe garantirci una certa protezione non ha i giusti strumenti e le capacità tecniche per affrontare queste situazioni.

Il settore mobile, invece, vede l’aumento di attacchi su svariati fronti, dal phishing via sms, al furto delle credenziali sul mobile banking. Gli attacchi sono in crescita, così come le App malevole e i fake store. Dall’altra parte, troviamo aziende come Blackberry che stanno investendo molto nel settore della sicurezza mobile. Di recente BlackBerry ha acquisito una società di sicurezza che si occupa di data encryption chiamata WatchDox.

Con questa acquisizione Blackberry vuole integrare nelle funzionalità di sicurezza del BES12 il sistema WatchDox che permetterà di avere documenti criptati e con accesso limitato condivisibili online con chiunque in modalità sicura.

Conclusioni

Ogni anno dal Security Summit si evince che non facciamo mai abbastanza per proteggerci e questo sembra essere un dato di fatto. Purtroppo arriviamo a difenderci solo dopo aver capito come ci hanno attaccato, ed è chiaro che questo evento ciclico ci porta ad arrivare sempre secondi. La soluzione dovrebbe essere quella di anticipare chi ci attacca sviluppando delle difese innovative e cercando di realizzare il primo 0day difensivo. Purtroppo però è come fare un vaccino per una malattia che non esiste. Quindi la domanda è lecita: saremmo destinati sempre ad arrivare secondi?