IronPort Systems, business unit di Cisco specializzata nello sviluppo di soluzioni anti-spam, anti-virus e anti-spyware, presenta il nuovo studio intitolato “Internet Security Trends Report 2008”. L’analisi delinea le principali tendenze attuali in ambito sicurezza e suggerisce modalità di difesa dalla nuova generazione di sofisticate minacce Internet attesa per il prossimo futuro.
L’era dei dilettanti è finita
“Il 2007 segna un punto di svolta. Infatti, proprio quando la complessità di progettazione del malware sembrava aver raggiunto i suoi massimi sviluppi, si sono concretizzate e imposte nuove tecniche di attacco. Tecniche talmente sofisticate – sicuramente non messe a punto da semplici dilettanti – da presupporre l’utilizzo di metodologie e di strumenti di ricerca e sviluppo alquanto complessi”, spiega Sébastien Commérot, Marketing Manager Southern Europe, Middle East & Africa di IronPort Systems. “Per un certo periodo di tempo le soluzioni di sicurezza atte a difendere i sistemi informatici dal malware hanno funzionato. Un successo che però ha portato a un’evoluzione e a un cambiamento nella natura degli attacchi. Nel 2007 molte di queste minacce, infatti, hanno vissuto una fase di adeguamento, il malware è diventato più cauto e i suoi livelli di complessità sono aumentati.
L’informazione è la nuova moneta di scambio mondiale
Lo spam, i virus e il malware implicano dei costi agli utenti colpiti da questi attacchi. Il tempo medio trascorso nella gestione dello spam varia dai 5 ai 10 minuti al giorno. I costi totali stimati per ripulire un singolo desktop ammontano a 500 dollari. La perdita di dati costituisce un aspetto ancora più costoso: che si tratti di un attacco maligno piuttosto che di un errore involontario, perdere delle informazioni può determinare un impatto negativo nella percezione di un brand, una riduzione del valore azionario, un danno alla reputazione aziendale. Comunicazioni elettroniche e scambio di informazioni costituiscono il principale vettore della perdita di dati nel moderno contesto aziendale. Le soluzioni di sicurezza oggi utilizzate, incluse le tecnologie firewall, non integrano funzionalità per la prevenzione delle perdite di dati in grado di tutelare e proteggere le informazioni in costante movimento. Strumenti di controllo importanti, come ad esempio la scansione dei contenuti, il blocco delle comunicazioni contenenti dati sensibili o la cifratura crittografica, sono infatti assenti. Si stima che negli ultimi 13 anni circa 60 milioni di utenti abbiano lasciato i propri dati personali esposti al rischio di possibili attacchi, e che i costi di ripristino e quelli legati alle perdite di produttività abbiano raggiunto a livello mondiale i 20 miliardi di dollari. Inoltre, il 60% dei dati corporate risiede su desktop e laptop non protetti, e il 48% delle organizzazioni non dispone di policy che permettano di informare i loro clienti nel momento in cui i relativi dati sono sottoposti a considerevoli rischi.
Uno sguardo al futuro: il social malware
Il malware più moderno porta con sé elementi tipici del social networking e dei siti di collaborazione associati al Web 2.0. Oggi il malware (come il Trojan “Storm”) è di natura collaborativa, adattiva, peer-to-peer e intelligente. Viaggia al di sotto delle soglie di rilevamento, rimanendo silente per mesi o addirittura anni sui PC di un’azienda o di un’abitazione privata. Le nuove varianti di Trojan e di malware avranno maggiori capacità di focalizzazione e minore durata di vita: un mix che le rende ancora più difficili da rilevare. Il vecchio atteggiamento secondo il quale “ciò che non vedo non mi può recare danno” non vale più. Le aziende ricevono pressioni sempre più forti rispetto alla loro capacità di tutelare i dati sensibili – che si tratti di numeri di carte di credito, di informazioni relative ai risultati di un’impresa, o di piani di mercato per un nuovo prodotto. Gli autori del malware stanno mettendo a punto sofisticate reti peer-to-peer con l’intento di raccogliere tali informazioni; si tratta di sistemi sempre più difficili da rilevare, e di conseguenza da bloccare. Gli addetti alla sicurezza IT devono quindi adottare nuovi strumenti per misurare e analizzare il traffico malware presente sulle proprie reti sviluppando e implementando un sistema di protezione completo che includa tecniche avanzate quali il rilevamento delle minacce basato su rete e il controllo degli accessi alla rete.
Statistiche e dati supplementari
Nel corso del 2008 i trend relativi allo spam e al malware saranno verosimilmente caratterizzati da un gran numero di attacchi mirati, sofisticati e nascosti. Nello specifico:
• Il volume dello spam è aumentato del 100% raggiungendo gli oltre 120 miliardi di messaggi su base quotidiana: il che equivale a circa 20 messaggi di spam al giorno per singolo utente a livello globale. Le valutazioni e le rilevazioni effettuate da IronPort hanno dimostrato che gli utenti corporate ricevono da 100 a 1.000 messaggi di spam ogni giorno.
• Lo spam ha diminuito la propria focalizzazione sulla vendita di prodotti optando piuttosto per l’ampliamento delle reti di spam. In precedenza gli attacchi di questo tipo erano infatti caratterizzati principalmente dalla vendita di alcune tipologie di prodotti (farmaceutici, mutui a tassi ridotti ecc.). Oggi invece si assiste a un sempre maggior numero di messaggi spam che reindirizzano a siti Web preposti alla distribuzione di malware. Ciò in genere è progettato per ampliare ulteriormente la dimensione e la portata della botnet che ha dato inizialmente origine allo spam. Nel 2007 il Threat Operations Center di IronPort ha registrato un incremento pari al 253% nel cosiddetto “dirty spam” (ovvero spam che contiene link che rimandano a noti siti di malware): un’ulteriore conferma della tendenza che vede gli autori del malware utilizzare un mix di tecnologie email e Web mirato alla propagazione delle minacce.
• Altra minaccia sono i virus, meno visibili ma altrettanto in aumento; gli autori di questa forma di minaccia hanno abbandonato la modalità degli attacchi di massa, come i noti “Netsky” e “Bagel”, tanto che nel 2007 i virus hanno mostrato una natura molto più polimorfa tipicamente associata alla proliferazione di botnet altamente complesse come “Feebs” e “Storm”. In una sola settimana il Threat Operation Center di IronPort è riuscito a evidenziare più di sei varianti del virus Feebs, ciascuna della quali ha iniziato a espandersi a ritmi vertiginosi prima ancora che potessero essere create le relative signature.
• Si è avuto un cambio di rotta anche per quanto concerne la durata degli attacchi, sostanzialmente diminuita. Negli anni passati gli spammer utilizzavano una determinata tecnica, come ad esempio l’uso di immagini embedded, anche per diversi mesi. Di recente invece si assiste ad attacchi limitati nel tempo ma più numerosi, come ad esempio limitati a un periodo di tre giorni nel caso dello spam MP3. Se nel 2006 la principale tecnica era l’image-based spam, nel 2007 si sono registrati oltre 20 diversi tipi di allegati utilizzati in base a una grande varietà di tecniche di breve durata.
Il report completo è consultabile all’indirizzo: http://www.ironport.com/securitytrends/