BlogTutte le informazioni nel settore informatico
Security
|
13 Maggio 2017
Report sulle minacce
Introduzione
Che inverno abbiamo passato nel mondo della sicurezza informatica!
Lo scorso autunno la sicurezza informatica ha sconfinato in maniera importante nella politica. Negli Stati Uniti si sono verificati attacchi alle entità associate a entrambi i maggiori partiti politici, apparentemente nel tentativo di influenzare le elezioni presidenziali. Il problema è entrato anche in una tribuna elettorale, con un moderatore che ha chiesto: “Le nostre istituzioni stanno subendo un attacco informatico, con il furto dei nostri segreti. La mia domanda è quindi: chi c’è dietro? E come possiamo combatterlo?”
Lo scorso autunno e ieri abbiamo inoltre assistito ai più gravi attacci che hanno approfittato della scarsa protezione dei dispositivi dell’Internet delle Cose. L’attacco a Dyn è stato costituito da un attacco di negazione di servizio distribuito (DDoS) che ha usato i dispositivi IoT come bot per disattivare l’importante fornitore di servizi DNS. Al suo culmine, l’attacco a Dyn ha generato 1,2 TB/s di traffico, causando di fatto la chiusura di molti noti siti web. In questo Report sulle minacce analizziamo il malware Mirai, che è stato alla base dell’attacco.
L’accoppiata fra l’importanza della sicurezza informatica in una democrazia funzionante e la crescente consapevolezza dei punti deboli presenti in Internet e nella protezione delle infrastrutture essenziali evidenzia il fatto che la sicurezza informatica è davvero diventata un importante argomento di geopolitica.
Questi i due argomenti principali del nostro report trimestrale sulle minacce:
■ spieghiamo il contesto e le ragioni per la condivisione delle informazioni sulle minacce; i vari componenti, fonti e modelli di condivisione delle informazioni sulle minacce; il modo in cui delle mature operazioni di sicurezza possono usare le informazioni condivise; le cinque problematiche critiche della condivisione da affrontare;
■ prendiamo in esame Mirai, che è stato responsabile della grande risonanza dell’attacco DDoS a Dyn, un importante fornitore di servizi DNS. Mirai è degno di attenzione nella misura in cui rileva e infetta i dispositivi IoT mal protetti, trasformandoli in bot che attaccano altri obiettivi.
Questi due argomenti principali sono seguiti da una ancor migliorata serie di statistiche trimestrali sulle minacce. Novità di questo trimestre sono i grafici che riepilogano l’attività dei casi riscontrati nel periodo. I dati che formano il quadro complessivo sono raccolti da fonti di dominio<pubblico, dal nostro team di risposta agli eventi Servizi Foundstone e dai nostri ricercatori antiminaccia. Le informazioni sono presentate su scala cronologica, per settori industriali e zone geografiche. Facci sapere cosa ne pensi.
La condivisione delle informazioni sulle minacce: ciò che non conosci può ferirti
La condivisione delle informazioni promette di potenziare la nostra capacità di proteggere le risorse e rilevare le minacce. Questo argomento principale offre una dettagliata analisi del contesto e delle motivazioni per la condivisione delle informazioni sulle minacce, elenca i vari componenti delle informazioni e le loro fonti, spiega il modo in cui delle operazioni di sicurezza mature possono usare le informazioni, espone le cinque problematiche critiche da superare e i modelli in evoluzione che sono comparsi sul mercato.
Per portare la condivisione delle informazioni sulle minacce a un livello superiore di efficienza ed efficacia, riteniamo che le aree da migliorare siano tre:
■ semplificare il triage degli eventi e fornire agli addetti alla sicurezza un ambiente migliore per indagare le minacce ad alta priorità;
■ migliorare la correlazione degli indicatori di compromissione in modo da comprenderne il nesso con le campagne di attacco;
■ trovare un modo migliore per condividere le informazioni sulle minacce fra i nostri prodotti e quelli degli altri fornitori.
Mirai, la botnet IoT
Il 21 ottobre 2016 Dyn, società di gestione dei DNS, ha subito un massiccio e complesso attacco DDoS. Al culmine dell’attacco Dyn è stata inondata da 1,2 TB/s di traffico, il volume più elevato di traffico DDoS mai registrato. L’analisi dell’attacco ha confermato che il traffico DDoS proveniva dai dispositivi IoT infettati dalla botnet Mirai.
Nello stesso mese è stato reso pubblico il codice sorgente di Mirai. La divulgazione ha già portato a dei bot derivati, anche se la maggior parte sembra essere guidata da degli script kiddie (smanettoni), il cui impatto è relativamente limitato. Il rilascio del codice sorgente ha inoltre generato offerte di “DDoS-as-a-service” basate su Mirai, che facilitano agli aspiranti pirati l’esecuzione di attacchi DDoS tramite i dispositivi IoT mal protetti.
In questo argomento principale esaminiamo: la botnet Mirai e i bot associati, compresi architettura e funzionamento interno; il processo di attacco e i molti vettori utilizzabili per inondare i bersagli; la sua evoluzione.
