L’evoluzione del ransomware: cosa succede in Italia?
La situazione italiana fotografata dal Cisco Security Capabilities Benchmark Study 2018 (SCBS), attraverso le interviste fatte a 200 CISO del nostro Paese, rileva che solo il 58% degli alert generati viene investigato. Il rimanente 42% sono eventi inascoltati, spesso i primi segnali di una campagna di malware in atto che viene magari scoperta più tardi quando l’azienda è ormai già vittima dell’attacco.
Questo succede perché mancano spesso il tempo e le persone necessari per far fronte a tutte le esigenze del dipartimento IT. Non a caso, sempre secondo l’SCBS:
- Il 24% delle aziende intervistate ha indicato nella mancanza di personale qualificato uno degli ostacoli principali per l’adozione di tecnologie avanzate di cyber security.
- Al 50% degli alert considerati realmente pericolosi non viene applicata la giusta misura di remediation.
Al contrario, nel mercato del crimine informatico vi è stato un miglioramento in termini di efficienza secondo l’Annual Security Report di Cisco.
Tale cambiamento è iniziato nel 2017 con i ransomware Nyetya e WannaCry: l’eccellenza in negativo di un sistema, quello del crimine informatico, che ha raggiunto vette di efficacia e ingegno senza confronti.
Dopo Nyeta e WannaCry infatti non è più decisivo il fattore umano nella riuscita delle campagne ransomware: adesso il ransomware si auto-propaga su larga scala da solo.
Siamo entrati nell’era del worm ransomware.
Nell’era del worm ransomware non serve più l’errore umano per attivare il ransomware
Prima di questa nuova fase evolutiva, il malware si contraeva scaricandolo da Internet, via e-mail cliccando un link oppure attraverso l’uso di memorie esterne. Canali in cui l’interazione umana risultava comunque fondamentale per infettare un dispositivo o un sistema con il ransomware. Oggi, con l’impiego di questi nuovi vettori da parte dei criminali informatici è sufficiente una postazione di lavoro attiva e priva di patch per lanciare un attacco ransomware attraverso la rete.
Il problema è che la pericolosità del malware auto propagante è di ben altra scala rispetto a prima. Secondo i nostri ricercatori può potenzialmente impedire il funzionamento di Internet.
Non solo. Una delle ragioni per cui Nyetya è riuscito a diffondersi su una così ampia scala è che ha fatto leva sulla cosiddetta “blockchain” ovvero la filiera di approvvigionamento.
In sintesi: gli utenti non hanno considerato che un aggiornamento software automatico potesse costituire un rischio per la sicurezza.
A dimostrazione che Nyeta è solo l’inizio nel settembre 2017 gli utenti del programma CCleaner sono stati oggetto di un attacco nascosto in un pacchetto di update.
Aumenteranno gli attacchi alle filiere di approvvigionamento?
Si. Secondo il Rapporto Annuale di Cisco aumenteranno sia in termini di velocità che complessità e i danni potranno persistere per mesi o addirittura anni.
Come affrontano questa situazione le aziende italiane?
1. Sono molte le attività che possono essere messe in atto. Un trend emergente che stiamo notando in molti nostri clienti è quello di dotarsi di soluzioni di Machine Learning (ML) che sfruttino un alto volume di dati di Threat Intelligence. Nel SCBS infatti il 76% delle organizzazioni italiane si affida al Machine Learning per gestire problematiche di questo tipo dove bisogna ottimizzare le risorse e diminuire il livello di rischio per l’azienda.
Perché quando si adotta una soluzione di Machine Learning viene posta attenzione sulla quantità di dati forniti da un Centro di ricerca?
Come sappiamo, i sistemi automatizzati sono fondamentalmente macchine che creano modelli comportamentali dei malware utilizzando i dati a propria disposizione: maggiore è la quantità e qualità dei dati analizzati e più precisi sono i modelli generali e pertanto le analisi fatte.
Facciamo un esempio concreto.
Le soluzioni di Machine Learning di Cisco come Cisco Cognitive Threat Analytics sono tutte basate sui dati forniti gratuitamente ai nostri clienti dal Centro di Ricerca di Cisco denominato Talos.
Qual è la quantità di dati che Talos fornisce?
– Un milione e mezzo di nuovi malware scoperti ogni giorno.
– 600 miliardi di email analizzate al giorno delle quali l’86% riconosciute come spam.
– Per capire la portata della telemetria offerta da Talos basti pensare che è l’unico centro di ricerca in grado di fermare automaticamente ogni giorno 300.00 malware.
2. Dietro una scelta tecnologica di questo tipo vi è spesso una cultura aziendale che vede nella cyber security un abilitatore del proprio processo di digitalizzazione, come è ben dimostrato dall’azienda Marcegaglia.
Investire infatti in cybersecurity significa produrre innovazione. Quando una organizzazione riesce in una maniera sostenibile a gestire un alto livello di rischio, quello è il momento in cui può offrire servizi e prodotti all’avanguardia in maniera continuativa ed efficiente.
Se ha letto questo Blog potrebbero interessarti anche:
Come investire budget e tempo nella sicurezza informatica
VPNFilter: novità sul malware che ha come obiettivo le piccole e medie imprese
Attacco WannaCry: cosa abbiamo scoperto finora!
Cisco ISE vince il primo premio come miglior Soluzione NAC agli SC Awards 2018
Tags:
