L a d i f f u s i o n e d e l r i s c h i o A P T i n I t a l i a

Transcript

1 Viale Monza, Milan, Italy P W H I T E P A P E R L a d i f f u s i o n e d e l r i s c h i o A P T i n I t a l i a Sponsored by: Trend Micro Giancarlo Vercellino I D C O P I N I O N L'industrializzazione degli attacchi informatici ha portato a un sostanziale cambiamento delle minacce con cui devono confrontarsi i Chief Security Officers, che da un lato assumono una forma altamente specifica e mirata, focalizzandosi su bersagli di elevata rilevanza industriale, dall'altro assumono un carattere altamente adattivo e articolato, impiegando una pletora di strumenti eterogenei, dai malware polimorfici fino al social engineering, con attacchi persistenti che si possono protrarre per settimane, mesi, anni: il fenomeno degli Advanced Persistent Threat (APT) ha ormai assunto una dimensione globale talmente preoccupante da occupare un posto di primo piano nell agenda dei C-Level. Il documento presenta la sintesi delle principali evidenze emergenti del fenomeno APT in Italia, così come risulta dall'indagine condotta da IDC nel corso dei mesi di marzo e aprile 2013 sul segmento enterprise e sponsorizzata da Trend Micro. L'intensità con la quale vanno moltiplicandosi le varianti dei malware da cui periodicamente devono difendersi le imprese di qualsiasi dimensione sta oltrepassando le capacità dei tradizionali sistemi aziendali di individuare correttamente le minacce emergenti. Da un lato i database per il riconoscimento dei malware assumono dimensioni sempre maggiori, determinando un impatto importante sulle performance dei server di sistema, dall'altro si rivelano sempre meno efficaci nel segnalare eventuali rischi provenienti dagli zero-day: nella filiera della sicurezza IT si apre lo spazio per fornitori specializzati come i Managed Security Service Providers, che rispondono all'escalation degli attacchi con la scalabilità delle architetture cloud e attraverso servizi di intelligence centrati su specifiche esigenze dei clienti. I servizi di Security Intelligence vanno progredendo verso soluzioni tecnologiche sempre più sofisticate per fronteggiare minacce altrettanto complesse, articolate ed evolute. Lo studio rappresenta la prima analisi estesa del fenomeno degli APT realizzata in Italia sul segmento enterprise. L indagine ha coinvolto un campione di 136 rispondenti rappresentativo del mondo della sicurezza IT nelle aziende italiane. Informazione per l'archivio: maggio 2013

2 I N D I C E P NELLO STUDIO 1 Metodologia... 1 Scenario 2 Risultati della ricerca 5 Contrastare il rischio APT con Trend Micro Deep Discovery 10 Learn More 11 Related Research IDC

3 I N D I C E D E L L E T A B E L L E P 1 Campione di riferimento dell'indagine, settore industriale, n= Campione di riferimento dell'indagine, dimensione aziendale, n= Campione di riferimento dell'indagine, ruolo dei rispondenti, n= IDC

4 I N D I C E D E L L E F I G U R E P 1 La Terza Piattaforma Tipologia delle minacce negli ultimi 12 mesi, risposte multiple, n= Le imprese bersaglio di attacchi APT in Italia, n= Valutazione delle conseguenze prevedibili degli attacchi, n= L'implementazione delle misure di sicurezza per settore industriale IDC

5 N E L L O S T U D I O M e t o d o l o g i a La ricerca è stata condotta attraverso un processo di campionamento casuale crossindustry sul segmento enterprise (addetti superiori a 1000 unità) coinvolgendo oltre 136 grandi imprese con sede in Italia. Lo studio ha coinvolto l'intero ambito del tessuto imprenditoriale italiano nel segmento enterprise, senza la definizione di quote per dare una rappresentazione specifica di un singolo comparto industriale. Lo studio ha un carattere esclusivamente campionario e non ha il proposito di estrapolare specifiche inferenze dei dati né sull intera popolazione enterprise né su uno specifico segmento settoriale o dimensionale. Lo strumento di indagine, composto da circa 20 domande di approfondimento sul tema della sicurezza IT e degli Advanced Persistent Threat (APT), è stato sviluppato in collaborazione con Trend Micro. Gli APT sono attacchi specifici e persistenti condotti da organizzazioni che dispongono di risorse e competenze anche molto estese, che consentono di articolare la minaccia informatica attraverso un ampio arsenale di strumenti, procedendo dai malware più tradizionali attraverso il social engineering fino a comprendere veri e propri strumenti di spionaggio industriale e militare. Il questionario è stato somministrato a un campione che comprende sia quelle figure che danno centralità di rappresentanza aziendale al tema della gestione della sicurezza IT (Chief Security Officer, Information Security Directors) sia quelle figure generaliste (comprendenti ad esempio gli IT Managers e gli IT Directors) che indicano la sicurezza IT come compito principale o ambito importante di responsabilità nel ruolo (86,8% dei rispondenti). Seguono le tabelle di sintesi che descrivono la distribuzione casuale dei rispondenti rispetto ai settori industriali, alle classi dimensionali e al ruolo aziendale (Tab. 1-3): T A B E L L A 1 C a m p i o n e d i r i f e r i m e n t o d e l l ' i n d a g i n e, s e t t o r e i n d u s t r i a l e, n = Settore % nel campione Distribuzione 10,3% Commercio 7,4% Finanza 8,1% Industria 20,6% Pubblica amministrazione 40,4% Servizi 13,2% Totale 100%

6 T A B E L L A 2 C a m p i o n e d i r i f e r i m e n t o d e l l ' i n d a g i n e, d i m e n s i o n e a z i e n d a l e, n = Dimensione % nel campione Addetti ,4% Addetti ,1% Addetti ,5% Totale 100% T A B E L L A 3 C a m p i o n e d i r i f e r i m e n t o d e l l ' i n d a g i n e, r u o l o d e i r i s p o n d e n t i, n = Ruolo aziendale % nel campione Chief Information Security Officer 13,2% Information Security Director/ Manager 11,8% Senior IT Manager/ Director 75% Totale 100% S c e n a r i o Razionalizzando le diverse tensioni evolutive che hanno caratterizzato l IT negli ultimi quarant'anni a livello internazionale, il settore è andato incontro a periodiche fasi di rinnovamento, aggiornandosi sia dal punto di vista delle soluzioni disponibili sia dei modelli di business, rimanendo sempre radicato a una piattaforma tecnologica fondamentale attorno alla quale costituire l'ecosistema e la struttura generale del settore. Nella visione tecnologica di IDC (Figura 1) si evidenziano tre momenti distinti di evoluzione del settore: La Prima Piattaforma. Fino agli anni '80 il locus dell'evoluzione tecnologica era dato dai terminali mainframe. La diffusione delle tecnologie ICT raggiungeva pochi milioni di individui ed esistevano poche migliaia di applicazioni sul mercato. La Seconda Piattaforma. A partire dagli anni '80 fino ai primi anni Duemila, si afferma il Personal Computer e l'architettura client-server come nuovo paradigma al centro dell'innovazione tecnologica. Gli utenti diventano centinaia di milioni e le applicazioni decine di migliaia IDC

7 La Terza Piattaforma. A partire dagli anni Duemila la diffusione di smartphones e nuovi dispositivi mobili sta al centro del rinnovamento e dell'espansione del settore, che si indirizza verso miliardi di ruoli sempre più eterogenei e differenziati, e milioni di applicazioni. F I G U R A 1 L a T e r z a P i a t t a f o r m a IDC ritiene che l avvento della Terza Piattaforma comporterà una radicale trasformazione del settore IT nel suo complesso, una rivoluzione dei modelli di business imperanti e una profonda ridefinizione dei tradizionali confini tra applicazioni come sono individuati dalle odierne tassonomie commerciali, con un sostanziale mutamento dello scenario con il quale dovrà confrontarsi la Sicurezza IT. La Terza Piattaforma sta sviluppando un circolo virtuoso di trasformazioni che comporterà nuove sfide e aspettative per la Sicurezza IT. L'accumulazione degli investimenti industriali del settore ha segnato la proliferazione dei data centers e la crescente richiesta di una sempre maggiore interoperabilità fra applicazioni porterà a

8 una crescente affermazione del cloud. Un ecosistema dove l informazione e la capacità di elaborazione e comunicazione diventano ubiquamente pervasive darà luogo a una transizione sempre più netta rispetto agli scenari economico-sociali del più recente passato. La progressiva attestazione del cloud sul mercato avrà un effetto positivo sulla diffusione dei dispositivi mobili più diversi, che diventeranno sempre di più un fondamentale strumento di supporto nelle relazioni sociali e professionali. L'intreccio tra mobilità e applicazioni sociali sposterà il focus in modo sempre più preponderante su smart devices del tutto inediti, caratterizzati da una sempre maggiore integrazione di sensori diversi, determinando un flusso tumultuoso e continuo di dati e informazioni che saranno prodotti sia da oggetti del mondo esterno sia da individui nelle reti sociali, facilmente accessibili su qualsiasi dispositivo, in qualsiasi momento, perché risiederanno su una infrastruttura informativa basata sul cloud. Lo sviluppo della Terza Piattaforma comporta la moltiplicazione delle connessioni in ambienti mutevoli, diversificati ed eterogenei con un conseguente incremento del profilo di rischio delle comunicazioni aziendali basate sull'infrastruttura IT. Nel nuovo scenario emergente la Sicurezza IT dovrà confrontarsi con sfide del tutto inedite. Sia gli osservatori promossi dai maggiori vendor della sicurezza sia gli osservatori promossi da centri ricerche indipendenti (es. il CERT presso la Carnegie Mellon University) convergono sempre più spesso nell'osservare che il grado di sofisticazione degli attacchi sta raggiungendo un livello ineguagliato con la comparsa di nuovi attori nell'arena del cyber crime e della cyber war: agenzie sovvenzionate da enti governativi (es. Comment Crew, APT1), organizzazioni criminali e associazioni di hacktivist (es. Anonymous) non soltanto stanno industrializzando il processo di produzione dei malware ma lo stanno anche ingegnerizzando per portarlo a un livello del tutto nuovo (ad esempio, si pensi al caso storico di Stuxnet oppure al caso più recente di Flame), sia dal punto di vista tecnologico sia dal punto di vista strategico: soprattutto negli ultimi tre anni, con il moltiplicarsi di attacchi eclatanti a livello globale (dalle minacce di Operation Aurora su Google fino a Night Dragon, LURID e persino il caso che ha colpito RSA), i media internazionali stanno prestando una particolare attenzione agli APT. Assai raramente gli attacchi informatici tradizionali presentano caratteristiche assimilabili agli APT: gli attacchi specifici e persistenti sono condotti da organizzazioni, non da singole individualità, e dunque dispongono di risorse e competenze che consentono di articolare la minaccia attraverso un ampia varietà di strumenti di intelligence e di tecnologie di infiltrazione agendo con caparbietà nel perseguimento di una missione altamente specifica; l arsenale degli APT è più che mai ampio ed eterogeneo, procedendo da malware e virus attraverso il social engineering fino a comprendere veri e propri strumenti di spionaggio industriale e militare. Nel momento in cui una parte sempre più importante dell'attività economica delle imprese viene veicolata attraverso la Terza Piattaforma, la sicurezza IT diventa un tema che interessa trasversalmente l'intera organizzazione, dove le diverse funzioni aziendali agiscono in misura sempre più organica e interdipendente attraverso budget cross-funzionali e responsabilità comuni che richiedono la conciliazione di interessi distinti. Dunque la valutazione degli impatti potenziali degli attacchi diventa sempre più complessa, richiede il coinvolgimento di molteplici ruoli e competenze per dare una compiuta rappresentazione del rischio APT e da questione puramente tecnica nel IDC

9 mansionario degli IT Manager diventa quindi un tema di rilevanza strategica nell'agenda del top management. Il nuovo scenario che si viene delineando richiede una revisione del perimetro di intervento della sicurezza IT con una estensione oltre la tradizionale DMZ: molte imprese affidano ancora la propria sicurezza a strumenti signature-based come antivirus, firewalls e IPS, tuttavia il rilevamento attraverso firme di minaccia standard sta diventando una prassi progressivamente inefficiente per rispondere all'industrializzazione degli attacchi. IDC stima che gli strumenti tradizionali siano in grado di tracciare soltanto dal 30% al 50% dei possibili attacchi, quindi occorre valutare con attenzione la possibilità di espandere in modo proattivo le misure di difesa ben al di là del perimetro di sicurezza come tradizionalmente inteso, promuovendo investimenti in nuove soluzioni di sicurezza basate su soluzioni di reputation, intelligence e behavioural analysis. Nell'evoluzione verso un modello di sicurezza che agisce preventivamente e proattivamente nella gestione del rischio APT, accanto a un fattore tecnologico i Vendors stanno valorizzando in misura sempre maggiore il fattore umano e l'expertise degli specialisti coinvolti nella sicurezza, il cui ruolo deve evolvere dalla gestione del monitoraggio ordinario alla governance dell'intelligence, partecipando attivamente alla definizione dei processi aziendali che presentano un elevato profilo di rischio e contribuendo alla formazione di una cultura e una sensibilità aziendale che orientano correttamente il comportamento delle risorse umane in talune circostanze. La competizione nella Terza Piattaforma richiede che alla Sicurezza IT venga riconosciuto un carattere olistico che estende la tradizionale tricotomia People, Process, Technology per comprendere al proprio interno anche la Mission aziendale. Ancora più che in passato occorre riconoscere che sebbene la sicurezza assoluta possa talvolta rappresentare un obiettivo utopico cionondimeno va considerata come un investimento di lungo termine, e dunque richiede un approccio strategico strutturato e la sponsorship del C-Level per conseguire il bilanciamento di obiettivi a volte contrapposti: da una parte, il livello di rischio massimo tollerabile per il perseguimento della Mission aziendale, dall'altro, l'implementazione di un dispositivo di sicurezza efficiente e sostenibile nel lungo termine. R i s u l t a t i d e l l a r i c e r c a L'indagine ha approfondito una lista ampia e articolata degli strumenti convenzionalmente impiegati in modo coordinato durante gli attacchi APT, ovvero, in particolare l'indagine ha interrogato il campione in merito alla frequenza di attacchi provenienti da malware zero-day, exploit zero-day, malware polimorfico, malware cifrato, botnet server, botnet malware e social engineering. Si ritiene che tali categorie consentano di coprire in modo abbastanza completo la gran parte delle minacce classificabili sul mercato, comprendendo l'arsenale principale degli strumenti coordinati negli attacchi APT. Il 57,4% dei rispondenti ha indicato di avere ricevuto almeno un attacco occasionale negli ultimi 12 mesi che può essere ricondotto ad almeno una delle tipologie prevalenti, il 13,2% ha segnalato che gli attacchi hanno una frequenza ormai regolare mentre il 5,1% riporta di osservare attacchi con frequenza inequivocabilmente crescente. La progressiva diffusione di una consapevolezza sempre più chiara del rischio APT porta ad osservare anche in Italia la medesima tendenza già osservata a

10 livello internazionale, con una pressione crescente esercitata in modo particolare sui settori strategici. Dal campione intervistato si evidenzia una tensione crescente su industria e finanza, mentre la pubblica amministrazione si conferma un bersaglio privilegiato subito dopo il comparto industriale per la parte maggiore degli attacchi. Un dato di interesse che occorre interpretare con attenzione è il grado di eterogeneità degli attacchi, ovvero il numero medio di attacchi di diverso tipo rilevati nel corso dell'ultimo anno: dal campione emerge che in media le imprese hanno subito attacchi di circa due tipologie diverse, mentre circa il 14% dei rispondenti riporta di avere subito attacchi ad alta eterogeneità (più di tre diversi tipi di attacchi). La maggiore eterogeneità degli attacchi si concentra sul settore finanziario e sul settore della distribuzione, che presentano una frequenza di attacchi eterogenei quasi doppia rispetto alla media campionaria. F I G U R A 2 T i p o l o g i a d e l l e m i n a c c e n e g l i u l t i m i 1 2 m e s i, r i s p o s t e m u l t i p l e, n = ,0% 10,0% 20,0% 30,0% 40,0% 50,0% Malware Zero-day 7,4% 31,6% 39,0% Social engineering 4,4% 30,9% 26,5% Malware polimorfico 4,4% 25,0% 20,6% Exploit Zero-day 1,5% 19,1% 17,6% Malware cifrato 1,5% 14,7% 13,2% Botnet server Botnet malware 0,7% 0,7% 11,8% 11,0% 11,0% 10,3% Attacchi negli ultimi 12 mesi Attacchi occasionali Attacchi regolari IDC

11 Approfondendo il dato a livello di singola tipologia di attacco (Fig. 2), alcuni degli strumenti impiegati tipicamente dagli APT risaltano in modo particolare dal campione, come ad esempio gli exploit-zero day e i malware zero-day, che coinvolgono tra il 19% e il 39% dei rispondenti, mentre soltanto una parte limitata del campione riporta i botnet (circa l'11%) come una minaccia effettivamente presente con cui gli IT manager hanno dovuto loro malgrado confrontarsi negli ultimi 12 mesi. Occorre interpretare questo risultato ricordando che la maggior parte dei sistemi di sicurezza IT delle imprese individuate nel campione è ancora basato su sistemi di rilevazione signature-based e quindi sono strutturalmente sprovvisti di strumenti adeguati per cogliere eventuali strategie di attacco coordinate attraverso botnet server. Ne consegue che una parte importante degli attacchi percepiti come occasionali potrebbe di fatto nascondere un attacco specifico e persistente, che attraverso il coordinamento di un arsenale tecnico eterogeneo per mezzo di modalità di social engineering (evidenziato come un rischio stabile e regolare dal 4,4% dei rispondenti) si propone di conseguire un vantaggio competitivo strategico oppure di compromettere l'operatività dell'impresa. Incrociando il dato delle diverse categorie di attacco con quello dei settori industriali, si osserva come alcune tipologie di attacco abbiano un carattere più spiccatamente cross-industry rispetto ad altre: dal campione emerge come i malware-zero day, quelli polimorfici e il social engineering rappresentino un rischio per l'intero comparto industriale in modo quasi indifferenziato, mentre i botnet vengono segnalati in modo specifico da alcuni settori strategici come la finanza e la distribuzione. F I G U R A 3 L e i m p r e s e b e r s a g l i o d i a t t a c c h i A P T i n I t a l i a, n = Dal campione emerge che negli ultimi anni il 9,6% delle imprese intervistate (Fig. 3) ha rilevato almeno un attacco APT, che ha determinato un impatto rilevante sul business aziendale nel 2,2% dei casi, mentre nel restante 7,4% dei casi l attacco è stato neutralizzato in tempo oppure ha sortito un impatto limitato sul business aziendale. Si tratta senza dubbio di un dato di interesse, con ogni probabilità

12 ampiamente sottostimato, soprattutto nella considerazione di un duplice aspetto: la maggior parte delle imprese non dispone ancora di un sistema di rilevazione adeguato rispetto al rischio APT e comunque prevale la tendenza a tacere eventuali attacchi per evitare eventuali impatti negativi sull immagine aziendale ed eventuali interventi sanzionatori delle autorità pubbliche. Dall'indagine risulta una consapevolezza chiaramente diffusa del rischio da parte del segmento enterprise: il 46,3% dei rispondenti ritiene che la propria organizzazione abbia un ragionevole timore rispetto agli attacchi altamente specifici e persistenti, il 18,4% esprime un timore crescente negli ultimi 12 mesi. La restante parte del campione ritiene che la propria organizzazione mostri ancora lacune nella considerazione del problema e nella consapevolezza dei possibili rischi. Il continuo avvicendarsi delle notizie di nuovi attacchi (da Operation Aurora fino al caso che ha colpito RSA) sta contribuendo a estendere la consapevolezza della necessità di aggiornare le misure di sicurezza aziendale. La quasi totalità del campione concorda nel valutare la gravità delle possibili conseguenza di un attacco APT: il 94,9% dei rispondenti ritiene che dagli APT possano risultare impatti di assoluta rilevanza su almeno una delle dimensioni prese in esame nell'indagine (Fig. 4). La perdita di dati personali e/o finanziari regolati dalla legge rappresenta la principale preoccupazione espressa dal campione (preoccupazione crescente/ molta preoccupazione: 79,4%), subito seguita dal timore relativo ai danni di immagine e reputazione (75,7%), mentre le multe comminate dalla pubblica amministrazione, sebbene guardate con timore crescente, rimangono ancora limitate (50,7%). Osservando questo dato dal punto di vista dei settori si osserva una sensibilità differenziata rispetto agli impatti. Si piazzano agli antipodi il timore per la perdita di dati, che ha un carattere generale e attraversa in modo trasversale tutti i settori, e il timore per la perdita di proprietà intellettuale, che interessa in misura assai specifica l'industria. Si aggiunge una ulteriore considerazione: esiste una attenzione abbastanza selettiva da parte di alcuni settori rispetto ai potenziali impatti sulla reputazione, in modo particolare da parte dei settori che più competono su asset intangibili, come i servizi, la finanza e la pubblica amministrazione, sebbene nel caso specifico di quest'ultima la competizione vada necessariamente intesa in senso più generale, politico e strategico, non soltanto in senso economico e commerciale. È possibile trarre alcune considerazioni di interesse dal confronto fra la percezione ex-ante del rischio APT e la valutazione ex-post del loro impatto: in particolare, si evidenzia un certo divario tra quanto viene ritenuto l impatto potenziale degli attacchi e quanto viene misurato effettivamente subito dopo. In particolare, si osserva che la perdita di dati e il danno alla reputazione sono indicati come impatti possibili con una frequenza in taluni casi anche doppia rispetto quanto segnalato dalle imprese effettivamente colpite da APT che hanno riportato una conseguenza effettiva rispetto tali dimensioni. Invece, si osserva l esatto contrario quando si analizza il costo degli interventi di ripristino dei sistemi, che spesso non viene indicato tra le principali dimensioni di impatto possibile, ma di fatto viene riportato come la prima dimensione in assoluto dalle imprese che hanno effettivamente subito un attacco APT. In base a quanto emerge dal campione si potrebbe osservare che alcune dimensioni di impatto, soprattutto gli impatti su valori intangibili come dati e reputazione, vengano in taluni casi tendenzialmente sovrastimate dai rispondenti, mentre altre dimensioni di impatto legate a valori tangibili, soprattutto il costo degli interventi di ripristino, siano tendenzialmente sottostimati IDC

13 F I G U R A 4 V a l u t a z i o n e d e l l e c o n s e g u e n z e p r e v e d i b i l i d e g l i a t t a c c h i, n = Perdita di dati personali/finanziari Danno alla reputazione/immagine Perdita di proprietà intellettuale Costo di ripristino dei sistemi Multe dalle authority pubbliche 0% 20% 40% 60% 80% 100% Preoccupazione crescente Molta preoccupazione Poca preoccupazione Nessuna preoccupazione Un ulteriore aspetto indagato nel corso della ricerca è stato l approfondimento delle misure di sicurezza IT adottate e pianificate a 12 mesi, per comprendere qual è la risposta organizzativa che le imprese italiane di grandi dimensioni stanno approntando per difendersi dagli scenari di rischio emergenti a livello globale. Le misure di sicurezza IT su cui si è condotto l'approfondimento appartengono a una ampia lista di soluzioni con un diverso grado di maturazione tecnologica: antimalware per pc/laptop, anti-malware per server, anti-malware per smartphone, intrusion prevention systems (IPS), analisi comportamentale, anti-malware a rilevazione euristica, tecnologie di correlazione per rilevare gli attacchi multivettoriali, l impiego di sandbox per la verifica di file sospetti, il whitelisting delle applicazioni, il monitoraggio dell integrità dei file, la deep packet inspection, l analisi del traffico di rete, l aggiornamento della protezione attraverso una threat protection network cloudbased. Dal campione traspare uno scenario in cui la sicurezza IT del segmento enterprise risulta sostanzialmente affidata a tecnologie signature-based: su quattordici diverse opzioni di sicurezza in media almeno una decina risultano regolarmente implementate dalle aziende intervistate, soprattutto le soluzioni di sicurezza più standard (Fig. 5, tabella in alto), come i firewall, gli anti-malware per PC e server, e gli IPS, mentre le tecnologie di security intelligence risultano ancora limitatamente diffuse nei diversi settori esaminati (Fig. 5, tabella in basso). Rispetto al rischio APT prevale un atteggiamento reattivo tra le imprese: soltanto il 4,4% ha deciso l implementazione di almeno una misura di sicurezza in seguito a un attacco di tipo APT, mentre il 22,8% elabora la propria sicurezza IT senza prendere in considerazione la specifica natura del rischio APT.

14 F I G U R A 5 L ' i m p l e m e n t a z i o n e d e l l e m i s u r e d i s i c u r e z z a p e r s e t t o r e i n d u s t r i a l e Anti-malware per PC/laptop Anti-malware per server Firewall Sistemi di prevenzione intrusioni (IPS) Analisi comportamentale Ispezione approfondita dei pacchetti Finanza Industria Commercio Distribuzione PA Servizi Analisi di correlazione Sandbox per file sospetti Whitelisting/contr ollo applicazioni Monitoraggio integrità file Rilevamento euristico Aggiornamento protezione cloud based Finanza Industria Commercio Distribuzione PA Servizi Implementazione di misure di sicurezza IT con frequenza limitata Implementazione di misure di sicurezza IT con frequenza elevata Implementazione di misure di sicurezza IT con frequenza moderata Approfondendo la pianificazione delle nuove misure di sicurezza, lo scenario potrebbe andare incontro a una sostanziale trasformazione a breve termine: il 37,5% prevede l introduzione di almeno una nuova misura di sicurezza nei prossimi 12 mesi, soprattutto quelle soluzioni più innovative che consentono di adeguare le architetture della sicurezza rispetto alle nuove minacce emergenti, in particolare le misure evidenziate sono gli anti-malware per smartphone, le soluzioni per l analisi comportamentale e l analisi di correlazione. Un numero sempre maggiore di imprese decide di allocare una parte importante del budget IT alla prevenzione degli APT: il 17% dei rispondenti indica che la propria impresa sta implementando o valutando l implementazione di specifiche misure di sicurezza per ridurre il rischio APT. C o n t r a s t a r e i l r i s c h i o A P T c o n T r e n d M i c r o D e e p D i s c o v e r y Con oltre 4900 dipendenti, di cui 1200 esperti di sicurezza informatica, Trend Micro è tra i più grandi operatori internazionali nel mercato della sicurezza, con un raggio di offerta che spazia da soluzioni di endpoint security fino a quelle di threat intelligence. Dal 1995 fino ad oggi Trend Micro ha progressivamente sviluppato la propria offerta nel campo della sicurezza dagli apparati fisici di rete attraversando la fase di virtualizzazione dei sistemi degli anni duemila fino al tema centrale della security intelligence degli ultimi anni, illustrando la capacità di cogliere la transizione dell ecosistema industriale dalla Seconda alla Terza Piattaforma dell IT IDC

15 Deep Discovery è la prima piattaforma di threat intelligence di Trend Micro progettata per contrastare in modo sistematico la crescente minaccia degli attacchi APT basandosi sulle fasi distintive che caratterizzano le strategie di attacco specifico e persistente. Di consueto gli APT hanno inizio con una fase di raccolta di informazioni attraverso minacce tradizionali per procedere a progressive intrusioni nella rete aziendale, raggiungendo una sempre maggiore profondità, attraverso la creazione di backdoor e di canali di comunicazione tra botnet server, muovendosi lateralmente all'interno dell'organizzazione attraverso tecniche di social engineering. Deep Discovery si avvale di una pluralità di specifici strumenti di intelligence per evidenziare contenuti pericolosi, comunicazioni sospette, comportamenti d'attacco e prevenire eventuali attacchi futuri, come, ad esempio, il framework di data mining Smart Protection Network per il rilevamento delle minacce zero-day, l integrazione con le principali piattaforme di Security Information and Event Management, la simulazione di malware in apposite sandbox, il sistema di analisi comportamentale per evidenziare eventuali condotte insolite nella rete aziendale. Disponendo delle informazioni raccolte da migliaia di ricercatori a livello mondiale e dai miliardi di eventi giornalieri esaminati dalla Smart Protection Network, Trend Micro punta allo stato dell arte delle soluzioni di threat intelligence per vincere le nuove sfide della sicurezza nell ecosistema complesso della Terza Piattaforma. L E A R N M O R E R e l a t e d R e s e a r c h Security Roundup, Report Q (Trend Micro, 6 maggio 2013) IT Security: CIO in Action Surviving a Security Breach (IDC #239582, February 2013) Introduction to Return on Security Investment. Helping CERTs assessing the cost of (lack of) security (ENISA, December 2012) C o p y r i g h t N o t i c e This IDC research document was published as part of an IDC continuous intelligence service, providing written research, analyst interactions, telebriefings, and conferences. Visit to learn more about IDC subscription and consulting services. To view a list of IDC offices worldwide, visit Please contact the IDC Hotline at , ext (or ) or sales@idc.com for information on applying the price of this document toward the purchase of an IDC service or for information on additional copies or Web rights. Copyright 2013 IDC. Reproduction is forbidden unless authorized. All rights reserved.