PROTEGGIAMO gli endpoint

Transcript

1 Whitepaper PROTEGGIAMO gli endpoint Be Ready for What s Next.

2 Indice La crescente minaccia del malware... 4 Perché gli endpoint sono un obiettivo del cybercrime?... 5 Come vengono attaccati gli endpoint dai criminali informatici?... 7 La protezione degli endpoint dal crimine informatico... 9 Case study: la vostra attività è realmente al sicuro?... 11

3 Guerra in atto: obiettivo gli endpoint! In soli tre giorni, alla fine del 2009, alcuni criminali informatici hanno acquisito credenziali bancarie, nomi utente e password di Hillary Machinery, Inc., con sede a Plano, Texas, e hanno condotto oltre 45 transazioni singole con più di 40 beneficiari diversi, che hanno determinato una perdita totale di USD. Hillary Machinery è stata in grado di recuperare parte del denaro sottratto, ma vi sono ancora pendenze aperte per USD, oltre alle spese legali e giudiziarie ed ai costi dell azione legale tra la società e la propria banca. Troy Owen, proprietario della società, ha dichiarato: Le perdite subite non hanno comportato il nostro fallimento, ma di certo ci impediscono di mettere in atto i piani di crescita previsti. Se aprite un quotidiano in un qualsiasi giorno, leggerete storie di società che hanno subito attacchi da parte di criminali informatici. Le violazioni dei dati purtroppo stanno avendo una crescita sfrenata. I Trojan Horse delle banche sottraggono le credenziali bancarie e causano notevoli perdite finanziarie ai soggetti più diversi. Nel 2010, CSO Magazine ha condotto il Cyber Security Watch Survey. Il redattore capo Bill Brenner afferma Anche le società che compiono notevoli sforzi per mantenere sicuri i propri dati ammettono che è praticamente impossibile affrontare con successo queste ondate criminali. È in corso una guerra, una guerra contro criminali informatici che si prefiggono un solo obiettivo: fare soldi! Oggi i criminali informatici sono costantemente alla ricerca di dati che possano essere facilmente convertiti in profitto o di credenziali che consentiranno loro di sottrarre denaro direttamente dalle casse delle società. SANS.ORG, nel report The Top Cyber Security Risks, scrive Il numero di attacchi e l abilità dei criminali sono così grandi che molte organizzazioni hanno difficoltà a determinare quali delle nuove minacce e vulnerabilità costituisce il rischio maggiore per loro e come dovrebbero essere allocate le risorse per garantire che gli attacchi più probabili e pericolosi vengano affrontati per primi. Poichè attualmente le spese per la sicurezza vengono sostenute dai reparti IT, molti stanno trascurando il principale obiettivo degli attacchi: gli endpoint. L endpoint un desktop, un laptop, un dispositivo mobile di un utente è oggi l obiettivo più interessante e remunerativo per i criminali informatici. I sistemi endpoint sono diventati più mobili, rendendo il tradizionale perimetro IT inefficace per fornire il giusto livello di protezione agli utenti aziendali e a tutti gli altri asset. Secondo IDC, Le soluzioni endpoint sono ora la prima linea di difesa. In questo articolo presenteremo la crescente minaccia del malware, come i criminali informatici stanno attaccando gli endpoint e come è possibile proteggerli da queste sottrazioni e frodi. 3

4 La crescente minaccia del malware In Kaspersky Lab, durante i nostri 25 anni di attività nella protezione delle società dalle minacce Internet, abbiamo visto una crescita esponenziale delle minacce malware su Internet. I numeri sono veramente preoccupanti. Ogni giorno vengono scoperte più di nuove minacce, oltre 3,4 milioni in tutto il Più di nuove firme anti-malware vengono rilasciate ogni giorno per garantire la protezione dagli ultimi attacchi. In un giorno di particolare attività criminale, Kaspersky ha dovuto creare addirittura firme per combattere l elevato volume di minacce rilasciate in quella giornata. In aggiunta alla tradizionale protezione di workstation e server, sono state create più di firme per proteggere dal malware i dispositivi mobili. Questa tendenza è ancora più evidente nel 2010: Durante il primo trimestre 2010, sono stati eseguiti oltre 327 milioni di tentativi di infezione sui computer degli utenti in tutto il mondo, con un aumento del 26,8% sul trimestre precedente. Sempre durante il primo trimestre 2010, sono stati rilevati oltre 119 milioni di server che ospitavano malware, dei quali il 27,57% si trovava negli Stati Uniti, il 22,59% in Russia e il 12,84% in Cina. Il numero totale di exploit che avevano come obiettivo le vulnerabilità dei browser e dei plug-in, nonché dei visualizzatori di PDF, è aumentato del 21,3% e circa la metà aveva come obiettivo le vulnerabilità presenti nei programmi Adobe. Un recente white paper sul crimine informatico rilasciato da RSA rivela che l 88% delle società Fortune 500 hanno nelle loro reti PC infetti su cui operano Trojan Horse. Secondo Uri Rivner, di RSA, questi Trojan Horse sono occupati a spostare furtivamente terabyte di dati aziendali su zone sparse nella nuvola nera dell infrastruttura del crimine informatico. Questa informazione è coerente con i dati riportati da CNET News nell ottobre 2009, in cui si affermava che il 63% delle organizzazioni di medie dimensioni avevano sperimentato un aumento delle minacce informatiche durante quell anno. Secondo questo articolo, il 71% delle società statunitensi di medie dimensioni ritengono che gravi violazioni e gravi attacchi informatici potrebbero portarle fino al fallimento. Questa incredibile rivelazione evidenzia l attuale obiettivo del crimine informatico: fare soldi. In effetti, secondo l Internet Crime Complaint Center della FBI, mentre i crimini informatici segnalati sono aumentati del 22,3% nel 2009, le perdite riportate come conseguenza di tali crimini nello stesso anno sono più che raddoppiate, da 265 milioni USD a oltre 560 milioni USD. Queste cifre, inoltre, rappresentano solo gli attacchi che sono stati segnalati e che sono venuti alla luce. Poiché la grande maggioranza degli attacchi non viene segnalata, in realtà il numero di attacchi e le conseguenti perdite finanziarie sono significativamente più alti. 4

5 Oltre a metodi di attacco più insidiosi ed eclatanti relativi a grandi somme di denaro rubate in una sola intrusione, i criminali informatici non hanno più soltanto le grandi società come obiettivo. Piccole aziende, enti governativi statali e locali, scuole e istituti accademici sono diventati un obiettivo specifico dei criminali informatici perché spesso le loro spese per la sicurezza e la protezione IT sono ridotte. Negli Stati Uniti, le aziende di medie dimensioni hanno perso nel 2009 più di 100 milioni USD a causa di transazioni bancarie fraudolente. Anche il Pentagono, un organizzazione che ha chiaramente forti investimenti nella sicurezza, è stato vittima del cybercrime nel 2009, con la perdita di interi terabyte di dati sensibili, tra cui i dati del nuovo caccia F35 Lighting II. I dati più riservati del Dipartimento della Difesa sono archiviati su computer non connessi a Internet, tuttavia gli hacker sono riusciti ad accedere a tali dati ultra-sensibili attraverso computer endpoint appartenenti ad appaltatori esterni che operavano nella progettazione e costruzione di quei velivoli. Perché gli endpoint sono un obiettivo Come dicevamo prima, oggi le minacce malware sono sempre più indirizzate su un obiettivo: gli endpoint. Perché? Perché i criminali informatici sono così interessati agli endpoint? Diversi fattori hanno reso gli endpoint interessanti per il cybercrime: Dati decentralizzati. I dati non risiedono più su mainframe. Dati aziendali sensibili e riservati vengono continuamente creati, utilizzati e archiviati su pc fissi, laptop e dispositivi mobili. Accedere a tali dispositivi significa accedere a dati con un valore economico potenzialmente elevato. Le chiavi del regno. Insinuare il Trojan Horse giusto su un endpoint offre ai criminali informatici l accesso a dati e credenziali per altri interi sistemi aziendali, inclusi quelli finanziari e le operazioni bancarie online. Ogni giorno vengono persi milioni di dollari a causa di trasferimenti fraudolenti dai conti bancari delle aziende tramite l utilizzo di informazioni per l accesso catturate da Trojan Horse delle banche. Controllo completo. L accesso in profondità, a livello di root, sugli endpoint fornisce ai criminali informatici anche l accesso ai sistemi o ai dati a cui può accedere l utente finale. I criminali informatici hanno anche la capacità di far diventare l endpoint una macchina zombie che fa parte di una botnet più ampia, utilizzando il sistema per diffondere malware su altri sistemi. Infine, questo tipo di accesso agli endpoint può dare agli hacker la possibilità di controllare il contenuto delle , le chat su programmi di instant messaging, il traffico Web, singole sequenze di tasti e molto altro, con gli endpoint che diventano fonte di un gran numero di informazioni e opportunità per loro. Oggi gli hacker di computer non sono più giovani appassionati il cui scopo è quello di scrivere script in cerca di fama e di gloria. I criminali informatici di oggi cercano di accedere agli endpoint rimanendo nell ombra, in modo da rubare dati e denaro senza che l utente ne venga a conoscenza. 5

6 Numerosi fattori rendono gli endpoint un facile obiettivo: Facilità di accesso. Il perimetro della rete è diventato più permeabile, offrendo agli utenti finali la possibilità di accedere a tutto ciò che Internet può offrire e, dall altro lato, un nuovo obiettivo per il crimine informatico. Dati mobili. I dipendenti sono sempre più in movimento e viaggiano quotidianamente per il mondo, connettendosi a reti non sicure negli aeroporti, negli alberghi, a casa ecc. Questi sistemi sono al di fuori dei confini del perimetro aziendale e creano una costante minaccia per i dati aziendali e rendono il perimetro ancor più permeabile e accessibile per i criminali informatici. Vettori di attacchi multipli. Gli utenti finali oggi utilizzano l Internet aziendale sia per motivi di lavoro che per motivi personali, offrendo così ai criminali informatici molteplici vettori di attacco all endpoint. Siti Web aziendali diventano distributori di malware e i siti di social network sono ormai una vera e peopria palestra-laboratorio per gli operatori del cybercrime. I criminali informatici vanno a caccia di singole persone e società che utilizzano i social network online per tener traccia di amici, familiari, potenziali clienti e partner. Anche la navigazione sul Web per motivi personali, i siti di musica, quelli in cui raccogliere e scambiare video e così via sono vettori che possono consentire ai criminali informatici di diffondere malware sugli endpoint. Senza dimenticare la sempre presente minaccia costituita dalle . L obiettivo finale dei criminali informatici è spesso quello di installare il malware sugli endpoint. Sempre secondo RSA: Una volta installato, il malware, tipicamente un Trojan Horse, inizierà a registrare tutto il traffico relativo a Internet, a registrare quanto digitato dall utente e a catturare , password archiviate nel browser e una lunga lista di altri elementi. Il Trojan Horse non si ferma alle credenziali per operazioni bancarie online e ai dati sulle carte di credito bensì ruba i post sui social network, le cartelle mediche. le chat private, le schede elettorali e tutti i contenuti relativi al lavoro: credenziali per sistemi interni, inviate o ricevute, rendiconti finanziari aziendali, moduli Web con dati sensibili relativi ai clienti e compilati nei sistemi CRM. Una volta che un Trojan Horse è installato su un endpoint, può diventare prolifico e insidioso e incredibilmente proficuo in innumerevoli modi. Nessuna meraviglia, quindi, se i criminali informatici attaccano gli endpoint, e non per errore! Senza la giusta protezione, gli endpoint dell organizzazione offrono un ambiente ricco di obiettivi e di punti di ingresso. 6

7 Come attaccano gli endpoint i criminali informatici? Pensate di essere al sicuro? Pensateci attentamente. La sicurezza perimetrale della rete si sta dimostrando inefficace nel proteggere i nuovi obiettivi del crimine informatico. Secondo Uri Rivner, di RSA:... Il campo di battaglia sta cambiando; ora sono in prima linea i dipendenti, invece delle reti. Esaminiamo come i criminali informatici stanno attaccando gli endpoint oggi. Negli anni passati, il sistema operativo - essenzialmente Microsoft Windows - è stato il paradiso degli hacker. Poiché il sistema operativo è diventato progressivamente più sicuro, le applicazioni client di terze parti sugli endpoint sono diventate uno dei vettori di attacco preferiti dei criminali informatici. Gli utenti scaricano applicazioni quali WinZip, Realplayer, Quicktime, Adobe PDF e i plug-in dei browser (controlli ActiveX, codec video e così via) senza preoccuparsi troppo di gestirle. Questi programmi non documentati e non gestiti, pieni di vulnerabilità, vengono raramente aggiornati. I reparti IT raramente conoscono quali versioni di queste applicazioni vengono eseguite in ambienti lasciati a se stessi e quali livelli di patch delle applicazioni sono stati installati. Secondo statistiche di Secunia PSI, solo sul 2% dei computer Windows sono state installate tutte le patch più recenti. È attraverso queste vulnerabilità che i criminali informatici riescono ad accedere agli endpoint delle società e a utilizzare il malware per portare a termine i loro obiettivi criminali. Sono diversi i veicoli attraverso i quali i criminali informatici attaccano gli endpoint: La necessità di comunicare. Attualmente, 8 su 10 contengono contenuti nocivi o non desiderati. Secondo Gartner, la minaccia legata alle è aumentata di sei volte nel Le minacce includono allegati infetti, collegamenti di phishing e ridirezionamenti su server di terze parti che poi scaricano malware. Siti Web apparentemente innocui sono infetti. Oltre 1,73 miliardi di utenti, il 25% della popolazione mondiale, visitano ogni giorno oltre 234 milioni di siti Web. Nel solo 2009, sono comparsi su Internet 47 milioni di nuovi siti Web. I criminali informatici utilizzano la crescita esponenziale della navigazione su Internet per distribuire malware a utenti e a siti non sospetti. Due tecniche, inserimenti di SQL e di script nei siti, rappresentano l 80% di tutte le vulnerabilità sfruttate sul Web. I criminali informatici sfruttano le vulnerabilità del Web e utilizzano questi metodi di attacco per introdursi in siti Web di società e impiantare JavaScript ben mascherati che scaricano malware quando gli utenti accedono al sito. In questi attacchi, chiamati comunemente attacchi drive-by download gli utenti vengono infettati semplicemente visitando siti legittimi ed apparentemente innocui che sono stati compromessi da server di terze parti. Il malware non viene più distribuito tramite siti di gioco e pornografici; il 77% dei siti Web che contengono contenuti nocivi sono siti Web completamente legittimi, che sono stati compromessi da criminali informatici. 7

8 La voglia di rimanere connessi con gli altri. I social network sono sempre più popolari tra persone di tutte le età e nelle aziende. L esigenza di rimanere connessi con partner, clienti, potenziali clienti, familiari e amici ha indotto le società ad aprire la sicurezza del loro perimetro per una forma di comunicazione di massa che però purtroppo non è per niente sicura. Facebook, LinkedIn, Twitter e MySpace sono i principali social network ai quali le società consentono di accedere quotidianamente, sia per motivi personali che di lavoro. I criminali informatici stanno prendendo di mira l utilizzo in rapida espansione dei social network per fare denaro e per propagare malware sui desktop e nelle reti delle aziende. I social network sfruttano due tratti tipicamente umani: fiducia e curiosità. Il fattore fiducia entra in atto dal momento in cui si invitano solo persone conosciute e fidate, quindi i contenuti che inviano si pensa siano automaticamente sicuri. La curiosità, invece, ci spinge a fare clic. Gli utenti medi fanno clic praticamente su tutto. Il problema è che raramente sanno dove li porterà il clic o quali danni potranno essere arrecati aprendo un determinato file, pagina Web o applicazione. Questi due fattori concorrono a rendere i social network straordinariamente pericolosi. Paura, incertezze e dubbi. Scareware e ransomware sono modi sempre più comuni per frodare denaro a utenti non sospettosi e non esperti. Mentre si visita un sito Web, un messaggio popup segnala all utente che il sito contiene malware e che l utente è a rischio. Il messaggio offre protezione scaricando un software di protezione fasullo che costa da 30 a 60 USD. L esca, in questo caso, è proprio la protezione. In realtà, il denaro andrà perso e il software scaricato sarà malware, non un programma per proteggersi da esso. I truffatori tramite scareware guadagnano ogni settimana più del triplo dello stipendio settimanale di un CEO. 8

9 Protezione degli endpoint dal crimine informatico Sebbene la minaccia costituita dal malware sia cresciuta esponenzialmente, il budget allocato per la sicurezza IT non è cresciuto proporzionalmente. Ancora più importante, la spesa per la protezione degli endpoint non è cresciuta in proporzione con le minacce reali. Tradizionalmente, i reparti IT hanno concentrato le spese per la sicurezza sul perimetro - firewall, IDS, IPS, motori di spam e filtro degli URL. Queste spese sono assolutamente necessarie e sono una componente essenziale in una strategia di protezione su più livelli, tuttavia viene fatto poco per proteggere gli endpoint dagli assalti di malware provenienti da più vettori di attacco. I filtri degli URL impediscono agli utenti di accedere a quelli che sono considerati siti pericolosi, tuttavia non fanno niente per proteggere gli utenti da malware distribuito tramite drive-by-download su siti Web considerati validi ed innocui. I firewall sono stati configurati per consentire agli utenti di accedere a Internet senza limitazioni. Ironicamente, con questo processo si consente ai criminali informatici di accedere direttamente ai desktop. La protezione sugli endpoint è stata per lungo tempo considerata opzionale e il costo è stato il fattore di decisione fondamentale che veniva utilizzato per la scelta. Alcune società utilizzano persino software anti-malware gratuiti. Sfortunatamente, anche il malware che ne deriva è gratuito. Con i reparti IT concentrati sulla protezione del perimetro, i responsabili IT tendono a trascurare la protezione diffusa. Alcuni responsabili IT non riescono a distinguere tra i vari prodotti antivirus. Altri ritengono che tutti i software anti-virus nascondano qualcosa e scelgono quello che ritengono meno sospetto. Sebbene queste opinioni siano comprensibili, date le disastrose conseguenze che alcuni clienti hanno sperimentato, sono ben lontane dall essere oggettive. In effetti, vi sono grandi differenze nelle modalità con cui i software AV rilevano e rimuovono il malware dagli endpoint, come è stato dimostrato da numerosi laboratori di test indipendenti. È ormai giunto il momento di cambiare questo modo di pensare e concentrarsi sul rilevamento e sulla risposta sugli endpoint. Quando si valutano le soluzioni per la protezione degli endpoint è necessario considerare numerosi fattori: Tassi di rilevamento complessivi: efficacia del prodotto nel rilevare malware noto e sconosciuto, nel primo caso affidandosi ad analisi basate sulle firme e nel secondo basandosi su metodi euristici e analisi basate su regole. Il prodotto deve essere in grado di rilevare la gamma più ampia possibile di tipi di malware: Trojan Horse, virus, rootkit e altro. Punteggi elevati per un tipo di rilevamento e bassi per un altro tipo sono indice di protezione non efficace. Protezione olistica: il malware può essere introdotto in un endpoint in numerosi modi e i prodotti anti-malware validi devono essere in grado di bloccare efficacemente tutti i vettori di minaccia all endpoint. Il prodotto deve anche essere in grado di proteggere il sistema indipendentemente dalla sua collocazione fisica e di adattarsi facilmente a cambiamenti di collocazione in modo che sia possibile fornire maggior sicurezza quando si opera al di fuori del perimetro della rete aziendale. Firewall personali, ID, anti-spam, antivirus, anti-phishing, protezione da malware sul Web e altro devono tutti essere considerati vitali per una strategia di protezione globale dell endpoint. 9

10 Prestazioni: la protezione risulta poco utile se impedisce all utente di svolgere le sue attività quotidiane. Il Bloatware, o software ingombrante, come spesso viene chiamato il software AV, utilizza le risorse di sistema a un livello tale che il dipendente non è più in grado di utilizzare il sistema fino al termine della scansione. È particolarmente importante fornire una protezione che non abbia praticamente alcun impatto sulla produttività dei dipendenti. È possibile ottenere contemporaneamente protezione e prestazioni? Certamente! Gestibilità: la console di gestione per il software anti-malware è un pezzo estremamente importante di tutto il sistema e per decidere l acquisto. Una console di gestione complicata, non intuitiva e che impiega molte risorse renderà difficile gestire l approccio alla sicurezza e tutta la soluzione ne soffrirà. La gestione deve essere semplice, facile da utilizzare e tuttavia granulare, sufficientemente potente da ridurre il rischio di malware a tutti i livelli e sopratutto deve essere particolarmente di estremo supporto per distribuire e gestire rapidamente le molte istanze della sicurezza degli endpoint. Supporto: nessuno può permettersi di attendere 45 minuti o più prima di ottenere aiuto quando vi è un problema, probabilmente nemmeno voi. Prima di acquistare una protezione AV, è opportuno testare l assistenza data allo stesso per verificarne la velocità di risposta e l efficacia. In quanto tempo ottengo risposta? Quanto è utile ed efficace l assistenza ottenuta? Il supporto non deve essere un problema, deve essere un asset. Prezzo: questa categoria è stata lasciata appositamente per ultima. Tutti i fornitori AV sono attualmente molto competitivi in termini di prezzo. Tuttavia non sono altamente competitivi in termini di funzionalità. Il prezzo è importante, ma solo se avete trovato il software di sicurezza che fornirà la protezione, le prestazioni e la gestibilità giuste. La protezione degli endpoint non deve essere un acquisto casuale. La due diligence garantirà che venga fornito il livello di rilevamento e di risposta più alto per gli endpoint. 10

11 Case study: siete realmente al sicuro? Stephan, un amministratore presso la Jackson Public School del Mississipi, pensava di avere implementato la protezione corretta per tener lontano il malware dalla sua rete. Dovendo gestire postazioni, Stephan aveva effettuato un notevole investimento per garantire che tutte fossero al sicuro. Quando alcuni problemi legati alle prestazioni lavorative lo hanno spinto a passare a Kaspersky, ha scoperto però quanto in realtà non fossero sicuri. In seguito all installazione di Kaspersky, il team IT ha scoperto che la loro rete era profondamente infetta: installazioni di virus scoperte nei sistemi endpoint 43 Trojan Horse diversi 56 virus diversi oggetti infetti nella rete Il malware stava diffondendosi rapidamente! Il prodotto anti-malware che utilizzavano non aveva rilevato e rimosso il malware. L unico modo in cui è stato possibile scoprirlo è stato installando un pacchetto anti-malware di prima qualità: Kaspersky Lab. Un tale livello di infezione non era per niente giustificabile considerando l investimento che l organizzazione aveva effettuato per proteggersi da tale rischio. Il lavoro e il costo di rimozione di tutti i malware dal loro ambiente è continuato per diverse settimane, finché tutte le infezioni non sono state del tutto eliminate. Pensate di essere al sicuro, ma non ne siete certi? Chi sta accedendo ai vostri dati senza che voi ne siate al corrente? Chi ha accesso agli endpoint sfruttando la protezione del perimetro che avete implementato? Il prodotto anti-malware che utilizzate blocca realmente il malware e protegge gli endpoint? Queste sono domande reali che nell ambiente digitale odierno devono trovare risposte reali. È il momento di dichiarare guerra al crimine informatico e gli endpoint sono in prima linea! Nella seconda parte di questo articolo esamineremo dieci modi con cui i criminali informatici rubano dati e credenziali sfruttando le possibilità di accesso agli endpoint lasciate loro dai reparti IT. Per assicurarsi che il crimine informatico sia contrastato efficacemente e gli endpoint siano protetti è necessario un cambio di mentalità nei reparti IT e anche negli utenti. Per scaricare la seconda parte di Combating Cybercrime, accedere al sito 11

12 È il momento di dichiarere guerra al crimine informatico e gli endpoint sono in prima linea! Kaspersky Lab Italy sales.corporate@kaspersky.it e7fa 12