Sicurezza informatica: la situazione è allarmante, ma qualcosa si muove

Sicurezza informatica: la situazione è allarmante, ma qualcosa si muove

Tradizionale appuntamento annuale con l'analisi del Rapporto Clusit, che elenca i principali incidenti noti nel campo della sicurezza informatica, in Italia e nel mondo: le tendenze degli anni passati vengono confermate, ma sembra verificarsi una maggior attenzione da parte di governi e mondo politico

di Andrea Bai pubblicato il nel canale TLC e Mobile
 

Classificazione degli incidenti

Di seguito tre tabelle che rappresentano i criteri di sintesi utilizzati dal Clusit per rendere fruibili i molti dati raccolti. Nelle tabelle sono evidenziati in arancione gli incrementi percentuali superiori alla media, per sottolineare le tendenze in atto. Il confronto è stato condotto con i dati raccolti sia nel 2012, sia nel 2011.

Attaccanti

Dai dati raccolti dal Clusit è possibile osservare una prima classificazione in termini di origine dell'attacco e matrice degli attaccanti. Si tratta di una analisi che permette di capire come sia ripartita la distribuzione delle minacce informatiche, sebbene non offra indicazioni rilevanti sull'impatto degli attacchi stessi. Guardiamo ad esempio le attività di Cyber Espionage (dal computo del Clusit sono eslcuse tutte le vicende legate al Datagate) che raggiungono il 6% sul totale degli incidenti noti: una fetta così ridotta può erroneamente suggerire un fenomeno poco significativo, ma nella realtà i danni causati da questo genere di episodi sono sensibilmente superiori a quelli degli incidenti a matrice hacktivistica, che rappresentano il 39% del totale.

Il Cyber Crime, cioè le azioni volte ad ottenere direttamente un profitto, continua a confermarsi una vera e propria piaga andando ad occupare stabilmente il 50% del totale degli attacchi elencati dal rapporto e anche il già citato Hacktivism vede una forte crescita passando dal 24% del 2011 al 39% del 2013.

Un importante elemento di discontinuità rispetto alle precedenti edizioni del rapporto si trova nella completa scomparsa della categoria "Unknown": nel corso del 2011 per il 38% degli attacchi non è stato possibile stabilire un'origine certa, mentre nel 2012 questa categoria si era già notevolmente assottigliata al 9%. Si tratta di un riscontro indubbiamente positivo, grazie all'affinamento delle tecniche utilizzate per le operazioni di attribuzione degli attacchi e che inoltre permette di comprendere più a fondo la motivazione e la natura degli attaccanti, allo scopo di poter organizzare e mettere in campo le contromisure più adeguate.

Vittime

Una seconda classificazione è quella della distribuzione delle vittime, che getta una luce su quali siano i principali bersagli delle varie tipologie di attacchi informatici. Nel corso del 2013 si è registrata una piccola crescita degli attacchi indirizzati verso il settore governativo e una crescita ben più consistente degli attacchi verso il settore Banking/Finance che passa dal 5% del totale nel 2012 al 9% del 2013.

Anche in questo caso si riscontra un elemento di discontinuità rispetto alle precedenti edizioni del rapporto Clusit, con l'ingresso della nuova categoria delle Infrastrutture Critiche, al 3% del totale, dell'Automotive (vittime principalmente di episodi di spionaggio industriale) e delle associazioni ONG (bersagli di attività di spionaggio politico o di azioni di Hacktivism).

Tecniche di attacco

La classificazione delle tecniche degli attacchi rilevati nel 2013 evidenza una crescita degli episodi di DDoS, degli attacchi di Account Cracking e degli incidenti dovuti ad APT - Advanced Persistent Threat che passano dall'1% del 2012 al 7% del 2013.

La fetta maggiore è però rappresentata dagli attacchi che sfruttano vulnerabilità note o cattive configurazioni dei sistemi bersaglio, corrispondente al 22% del totale degli attacchi e in crescita dell'87% rispetto a quanto rilevato nel 2012. Continuano a rappresentare, purtroppo, una porzione importante del totale gli attacchi basati su tecniche di SQL Injection, al 19%. Nel complesso, il 58% degli attacchi è basato su tecniche abbastanza semplici ed alla portata praticamente di chiunque, e altresì facilmente arginabili con pochi opportuni accorgimenti.

Questi numeri ci permettono di elaborare due considerazioni. Da un lato i difensori non pongono sufficiente attenzione alla messa in sicurezza dei sistemi, non applicano le necessarie patch di sicurezza e non dispongono di sistemi di monitoraggio in tempo reale: si tratta di misure che, in sinergia tra loro, consentirebbero di bloccare tutti gli attacchi poco sofisticati. In secondo luogo il numero delle vulnerabilità note continua ad amentare e di conseguenza aumentano i punti deboli dei bersagli offrendo sempre più opportunità per gli attaccanti di perpetrare le loro azioni.

Rimane poi un 21% degli episodi per i quali non è possibile individuare con certezza quale sia la tecnica di attacco utilizzata: da un lato è un segnale di come manchi trasparenza e condivisione delle informazioni da parte delle vittime, dall'altro dimostra come la complessità delle tecniche utilizzate dagli attaccanti non consenta un'esatta identificazione.

In estrema sintesi tuttavia il dato più allarmante che emerge da questi dati è la lentezza con cui i difensori pongono rimedio alle vulnerabilità più banali.

 
^