Nel corso del 2016 si è assistito al raddoppiamento delle attività di manipolazione e sabotaggio su strumenti It e servizi cloud relativamente semplici. Attacchi DDOS, phishing, o-days e altri generi di minacce sono diventate sempre più comuni ai danni sia di aziende private che di amministrazioni pubbliche. Il Paese che resta al primo posto per il numero di attacchi subiti durante l’anno sono gli Usa, seguiti dal Giappone. Sul podio, al terzo posto, anche l’Italia, a cui è stato destinato il 7,1% dei cyber-attacchi mondiali. È quanto emerge dall’Internet Secutiry Threat Report 2017 realizzato dalla società Symantec.
Attenta da sempre alla sicurezza delle reti di connessione, VueTel, azienda di telecomunicazioni che opera nel mercato dei servizi wholesale internazionali voce e dati con focus nel Mediterraneo e in Africa, ha stilato un vademecum di azioni principali che si possono effettuare per salvaguardare i sistemi da intrusioni esterne:
- Fare un update frequente di username e password in modo da renderle più sicure e aggiornare costantemente i sistemi operativi e le applicazioni esposte a internet, con particolare attenzione alla loro configurazione. Il fingerprinting è infatti lo step numero uno di chi decide di eseguire un attacco informatico per determinare quali software (e relative versioni) ci sono dietro a un servizio, così da poter capire quali sono le vulnerabilità aperte (bug) e avviare quello che si definisce ‘exploit’, o attacco mirato.
- Prestare particolare attenzione alla configurazione dei firewall, aprendo solo le porte e i protocolli necessari, in modo particolare da parte di quelle aziende che espongono i propri servizi su internet come banche o amministrazioni, e utilizzare tool di sicurezza che permettano di impostare delle soglie definite (per esempio, il numero di richieste al secondo o il numero di tentativi di autenticazione), così da poter bloccare richieste che eccedano il numero massimo stabilito.
- Aumentare il livello di cultura generale in ambito Cyber-Security, attivando corsi e processi di awareness rivolti ai dipendenti.
- Creare una connessione internet apposita per i Guest (ospiti) dell’azienda, così da non dover fornire credenziali d’uso puramente lavorativo, salvaguardando la sicurezza della rete aziendale e soprattutto dei suoi dati sensibili.
- Favorire una maggiore comunicazione e informazione verso gli enti preposti (come, per esempio, la polizia postale) in modo tale che il singolo dipendente possa contribuire a ridurre i tempi di rilevazione di eventuali attacchi informatici, permettendo così l’efficacia di una conseguente azione di contrasto.
“Tra i vari ambiti della Cyber Security, gli attacchi Dos e DDos sono tra i più frequenti – ha sottolineato Giovanni Ottati, Ceo di VueTel -. Il loro obiettivo è quello di generare un disservizio che può durare anche settimane, causando perdite economiche o reputazionali. I Dos (Denial of Service) sono gli attacchi effettuati da un solo e unico dispositivo verso un altro, volti a rendere non disponibile un certo servizio, solitamente un web server. Il DDos, invece, si presenta come un attacco Dos generato da più dispositivi ma rivolto comunque a un solo altro dispositivo, e quindi potenzialmente più invasivo ed efficace. Tutti gli attacchi Dos e DDos sono distinti in tre macro categorie tra attacchi di tipo volumetrico, di protocollo e di tipo applicativo. Mentre gli attacchi volumetrici e di protocollo cercano di portare a saturazione la banda internet del target o i buffer degli apparati di rete connessi al target (come router o server), quelli applicativi sfruttano invece una possibile falla di un servizio esposto ad internet, rivelandosi spesso imprevedibili e difficili da individuare”.
Qualora ci si rendesse conto di aver subito un attacco o qualora si indentificasse una possibile minaccia in uno o più dei dispositivi aziendali, o addirittura nella totalità della rete, VueTel consiglia di adottare alcune misure di contrasto contenitive nell’attesa che la minaccia venga arginata dagli operatori competenti come:
- Isolare i dispositivi su cui si è riscontrata la minaccia, per evitare che altri dispositivi o macchine siano esposti allo stesso rischio.
- Aggiornare immediatamente le patch di sicurezza di tutti i server e i dispositivi che possano in qualche modo essere attaccati o infettati.
- Individuare le dinamiche di diffusione della minaccia per cercare di rallentarle attraverso blocchi mirati del traffico della rete, nell’attesa dell’intervento degli esperti competenti.
- Attivare la collaborazione con gli enti pubblici competenti, come per esempio la Polizia Postale o il Cert, utilizzando protocolli condivisi stabiliti in precedenza.
Produrre un’eco su scala mondiale per ragioni ideologiche, politiche o di ribellione, oppure ricevere un ritorno economico sotto forma di riscatto, soprattutto quando ad essere attaccata è un’intera azienda, sono alcuni degli obiettivi che muovono gli autori dei cyber attacchi. Sempre secondo l’Internet Security Threat Report 2017, nel 2016 la richiesta di riscatto da parte di hacker per permettere alle realtà colpite di rientrare in possesso di dati e funzionalità dei propri dispositivi è aumentata vertiginosamente fino a raggiungere i $1077, il 266% in più rispetto all’indagine dell’anno precedente.
“È necessario implementare soluzioni di monitoring, in grado di classificare anomalie nel traffico dei dati in rete, e intervenire in maniera proattiva con tecniche di mitigation per poterle, se serve, debelllare – ha aggiunto Ottati -. A queste si aggiungono anche tecniche di machine learning, un sottocampo dell’intelligenza artificiale, per l’anomaly detection, che si basano sull’estrazione delle caratteristiche più salienti del traffico in condizioni normali e sulla classificazione dello stato della rete per capire se è in corso o meno un attacco”.
