SICUREZZA INFORMATICA NELLA PICCOLA E …...imprese, indipendentemente dalle dimensioni. Anzi, in Italia il numero di piccole e medie imprese sotto attacco sta crescendo. Secondo il

NETECH SOLUTIONS ACADEMY

Tutto quello che non bisogna sottovalutare, pensando che capiti solo agli altri: il Cybercrime colpisce anche noi,

prepariamoci

SICUREZZA INFORMATICA NELLA PICCOLA E MEDIA

IMPRESA

Benvenuto …………………………………………………………………… 3

Non se, ma quando ……………………………………………………… 4

Alcuni dati sul Cybercrime …………………………………………… 8

Principali Minacce ………………………………………………………. 12

Prevenire è meglio che curare ……………………………………. 23

Conclusioni ………………………………………………………………… 33

Bibliografia ………………..………………………………………………. 36

Coupon per l’acquisto di un Firewall .…………………………. 37

INDICE

2Copyright 2015 Netech Srl - www.netech-solution.it

Un caloroso benvenuto!

Ti ringraziamo per l’interesse che hai dimostrato scaricandoquesto e-book.

Nelle pagine che stai per leggere, troverai alcuni spuntisignificativi e suggerimenti utili da mettere subito in pratica.Potrai da un lato farti un’idea di massima sulla sicurezzainformatica, e dall’altro sapere come affrontare il temaall’interno della tua azienda.

Siamo convinti che i libri siano come amici fidati: da loropossiamo imparare modi per mettere a frutto il nostrotalento e la nostra intelligenza.

Informarsi è un atto di grande rispetto verso noi stessi e chici circonda.

Buona lettura!

Il team di NETECH

BENVENUTO


I tempi del “chi vuoi che sia interessato ad attaccare unocome me o come la mia azienda” sono finiti, da parecchianni. Oggi la sicurezza informatica è un problema che toccatutte le aziende, dai piccoli professionisti alle grandiimprese, indipendentemente dalle dimensioni. Anzi, in Italiail numero di piccole e medie imprese sotto attacco stacrescendo. Secondo il rapporto CLUSIT 2015, gli attacchicompiuti dal “Cybercrime” (crimine informatico) nel periodo2011-2014 sono aumentati di oltre il 208%.

Il numero e la gravità degli attacchi continuano adaumentare in un contesto nel quale si stima che 2/3 degliincidenti non vengano nemmeno rilevati dalle vittime. Nelreport CLUSIT 2014 sono state monitorate su scala globale1.600 aziende appartenenti a 20 diversi settori merceologici,osservando che nel periodo considerato, in media, lapercentuale di organizzazioni compromesse è statasuperiore al 90%, con alcuni particolari settori che hannoavuto un tasso di compromissione del 100% (Legale,Sanitario, Farmaceutico, Distribuzione).

Nel 2015 dunque la vera questione per i difensori (di dati,d’infrastrutture informatiche e di tutti quei servizi critici,realizzati tramite l’ICT) non è più “se”, ma “quando” sisubirà un attacco informatico (dalle conseguenze più omeno dannose), e quali saranno gli impatti conseguenti.

1NON SE, MA QUANDO


I livelli allarmanti di vulnerabilitàinformatica sono già oggi diventatiuna minaccia esistenziale per ognitipo di impresa: per ilprofessionista che vede tutti i suoidati criptati da un Ransomware(programma maligno con richiesta


NON SE, MA QUANDO

Gli attacchi informatici non sonoautomaticamente sinonimo dispionaggio industriale. Riguardanotutti, anche il cittadino comune. Gliattacchi considerati gravi nellamaggior parte dei casi non mirano aun utente specifico, ma a rubare piùinformazioni possibile, perché ilCybercrime non è altro che il vecchiocrimine con armi nuove: l’obiettivo èil denaro, indipendentemente dachi bisogna colpire per ottenerlo.

di un riscatto); per la PMI chescopre, magari con mesi o annidi ritardo, di essere stataderubata della propriacompetenza; per la PA che siritrova nell’impossibilità dioffrire servizi essenziali aicittadini; per la grande impresache subisce un danno economico importante a seguito di unattacco DDoS (che sovraccarica un sistema per bloccarlo) oal furto di milioni di dati personali dei propri clienti.

I malintenzionati (indipendentemente dalla loro natura e dailoro scopi), attirati da sostanziosi guadagni (non soloeconomici) sono aumentati di numero, si sono organizzati,ed hanno a disposizione strumenti sempre più sofisticati,che possono adattare e sostituire al bisogno constupefacente rapidità, acquistandoli a costi irrisori in unimmenso mercato “nero” high-tech di prim’ordine, conl’aggravante di non essere soggetta ad alcun tipo dilimitazione (salvo il contrasto delle Forze dell’Ordine), ingrado di colpire milioni di sistemi in poche ore cambiandotattiche e strategie in tempo reale e senza interruzione, daqualsiasi punto del pianeta.

Purtroppo non tutte le aziende hanno interesse adenunciare gli attacchi subiti e andare a fondo per capire chiè stato e quale prezzo. Molte preferiscono risolvere ilproblema e voltare pagina, senza indagare sulleresponsabilità, trascurando che il costo dovuto al dannosubito è notevolmente superiore all’investimento checomunque hanno poi dovuto affrontare per proteggersi daattacchi futuri.


NON SE, MA QUANDO

E’ recente la notizia degli attacchi Ransomware avvenuti inItalia lo scorso luglio 2015 verso piccole e medie imprese,attraverso email con bollette per il pagamento di energiaelettrica o di fatture dei fornitori che infettavano i sistemiWindows, criptando i dati dell’impresa e richiedendo unpagamento per la decifratura, in genere superiori ai 300euro, da pagare in "Bitcoin", una moneta virtuale che nonviene controllata da alcuna autorità centrale, ma vienegestita autonomamente attraverso i siti di cambio (oggi unBtc vale circa 250 euro). Riscatto che poi raddoppia e lievitacol tempo se si tarda a pagare.

Oltre al costo dell’eventuale riscatto, che comunque nongarantisce il recupero dei dati, quanto costa alprofessionista o alla piccola e media impresa perdere datiaziendali necessari a condurre l’attività?

Beh, sicuramente costa meno dotarsi di sistemi diprotezione, prima di essere attaccati! Ma anche sel’affermazione è ovvia, spesso gli imprenditori preferisconoignorarla.


Bitcoin Exchange

NON SE, MA QUANDO

Un malware è un software creato appositamente percausare danni a un computer, per avere accesso ai dati degliutenti presenti nel sistema informatico su cui viene eseguito.L‘istituto AV-TEST, ad esempio, registra oltre 390.000 nuoviprogrammi maligni al giorno.

Secondo ESG Malware Tracker di Sigma Software in Italia cisono circa 600.000 computer al mese infettati da malware.

Ma di che cosa dobbiamo effettivamente avere paura noiprofessionisti e imprenditori comuni? In realtà di moltinemici, i più temibili dei quali, a livello quantitativo almeno,sono i malware, che hanno avuto un incremento di oltre il273% negli ultimi 4 anni.

2ALCUNI DATI SUL CYBERCRIME


Da quanto rilevato da Business Week / Symantec, l’Italia è al7° posto nel mondo per gli attacchi Cybercrime e il 41%delle aziende italiane intervistate nel 2015 dal PonemonInstitute ha dichiarato di aver subito almeno un attaccoinformatico criminale andato a buon fine nei 12 mesiprecedenti subendo un costo medio pro capite per laviolazione dei dati di €125.


ALCUNI DATI SUL CYBERCRIME

Fonte: ESG MalwareTracker di Sigma Software 2015

Fonte: Sigma Software 2015

Inoltre, il Microsoft Security Intelligence Report nel 2014riporta per l’Italia un tasso medio di esposizione a malwaredel 22%, contro una media mondiale del 19% (ed unapercentuale addirittura doppia di infezioni da PasswordStealers - furto di password - e Monitoring Tools - Strumentidi monitoraggio nascosto - rispetto ai principali Paesi),mentre negli Stati Uniti, in Inghilterra e in Germania questovalore è compreso tra il 13% e il 15%.

In un campione dominato dalla presenza di attaccanti di tipocriminale, prevalgono gli incidenti causati da tecnichesconosciute (che passano al 40% dal 14% del 2013), SQLi (increscita al 20% dal 11% del 2013) e DDoS (in calo, essendolo strumento più usato dagli Hacktivist), seguiti da quellibasati sul furto di account (in crescita dal 3% del 2013) edalle APT (come Cryptolocker), che passano dal 3% al 10%.In particolare quest’ultimo dato, unito alla prevalenza divulnerabilità “Sconosciuta”, dà una misura dell’incrementodei livelli di rischio avvenuto nell’ultimo anno.



Infine, dall’analisi FASTWEB emerge chiaramente quale sia lasituazione reale sul campo. La bassa percentuale di attacchigravi di dominio pubblico contro bersagli italiani conferma lacronica mancanza di informazioni che affligge il nostro Paesesu questo tema, il che rappresenta un ulteriore vantaggioper criminali e malintenzionati.

La sensibilità su questi argomenti nasce più dalleinformazioni apprese attraverso i mass media, che tramite icanali specializzati (riviste scientifiche, corsi, congressi, ecc).

Occorre inoltre prendere atto che la maggior parte delleaziende italiane non ha una persona dedicata ad occuparsidei rischi informatici. Solitamente nelle piccole e medieaziende questa responsabilità ricade sul responsabile deisistemi informativi, che a volte ricopre prevalentemente altriruoli, o sull’imprenditore, che spesso si accorge delproblema solo dopo aver subito un attacco informatico.

Dalla mancanza di una figura, come l’IT Security Manager,in grado di far dialogare in maniera proficua il business con iproblemi tecnici ed i rischi ad essi connessi, ne consegueuna ridotta capacità nel pianificare un’adeguata strategiamirata ad affrontare il problema.

Ne scaturisce un’idea vaga di come e dove investire il budgetdedicato ad affrontare questi problemi così che spesso sirischia di essere guidati più dalle sensazioni che dal livelloeffettivo di rischio.



Le principali minacce secondo CLUSIT sono:

Per la maggior parte si tratta appunto di Cybercrime, cioè diazioni rivolte a una massa indistinta di persone,professionisti e aziende con lo scopo di rubare i loro dati eusarli per fare soldi.

Le minacce più pericolose per i Liberi Professionisti e le PMIsono quelle attuate con tecniche sconosciute e MultipleThreads/APT (es. Cryptolocker) che oltre ad essere in fortecrescita, insieme costituiscono il 50% degli attacchi gravi alleattività d’impresa. Ed è soprattutto su questi attacchi chebisogna attuare una strategia di prevenzione e difesa.

3PRINCIPALI MINACCE


- 40% Sconosciute (in crescita)- 20% SQLi (in diminuzione)- 20% DDoS (stabili)- 10% Account Cracking (in crescita)- 10% Multiple Threads/APT

(in forte crescita)

Fonte: CLUSIT 2015

In analogia con quanto riportato nel rapporto CLUSIT,secondo Fastweb la motivazione principale per cui vengonoperpetrati attacchi informatici rimane quella criminale. Inparticolare il 93% degli attacchi è legato al Cybercrime,mentre il 7% ha come obiettivo il furto di dati, comecredenziali di accesso o altre informazioni sensibili.

Purtroppo non esiste una legge in Italia che obbliga adenunciare un attacco informatico, per cui l’elenco di quelliraccolti nei report non può considerarsi effettivamentecompleto.

Vediamo ora le minacce più importanti per la vulnerabilitàdei liberi professionisti e delle PMI.


PRINCIPALI MINACCE

SQLi

Gli attacchi SQL Injection sfruttano le vulnerabilità delloStructured Query Language (SQL) comunemente utilizzatonei modelli relazionali per disabilitare o penetrare neidatabase. Stanno diventando un mezzo sempre più diffusodi sabotaggio e infiltrazione dei siti web, rivolto a diversi tipidi funzioni all'interno di un sito.

Gli attacchi SQL Injection aggrediscono direttamentel'applicazione, oppure la logica di trasferimento dei dati a undatabase, dove possono compromettere attivamente i datiarchiviati all'interno. Attualmente costituiscono il secondotipo di minaccia più diffuso, che attacca i siti webimmettendo dei codici in un modulo web per impossessarsidel database associato al sito.

In media, un'applicazione web bersaglio può subire 71attacchi all'ora. In alcuni casi, sono stati registrati fino a1.300 tentativi di attacchi SQL all'ora a specificisiti/applicazioni. Questi assalti hanno un impatto che va dalrallentamento delle performance del sito al completo bloccodel Servizio, oltre al potenziale furto di dati e allacompromissione delle informazioni personali (AccountCracking).

Ad esempio il furto di informazioni personali attuato conquesta minaccia, nel giugno 2012 è costato a LinkedIn 1milione di dollari per risarcimenti immediati, oltre ad altri 2milioni di dollari per gli aggiornamenti necessari a prevenireattacchi futuri dopo che erano state rubate più di 6,5 milionidi password (Fonte: zdnet.com).


PRINCIPALI MINACCE

http://www.zdnet.com/breach-clean-up-cost-linkedin-nearly-1-million-another-2-3-million-in-upgrades-7000002115/

DDoS

I Distributed Denial of Service (DDoS) sono attacchi volti arendere inaccessibili alcuni tipi di servizi. Questo genere diattacchi possono essere divisi in due tipologie differenti:volumetrici ed applicativi.

Gli attacchi di tipo volumetrico mirano a generare unvolume di traffico maggiore o uguale alla banda disponibile,in modo da saturarne le risorse.

Gli attacchi di tipo applicativo mirano a generare un numerodi richieste maggiore o uguale al numero di richiestemassimo a cui un server può rispondere (es. numero dirichieste web HTTP/HTTPS concorrenti). Dal momento cheun attacco DDoS ha bisogno di un grande sincronismo, èprobabile che sia portato avanti da un numero ristrettodi hacker che controllino una o più reti di bot (botnet).

La rilevazione effettuata dal rapporto CLUSIT indica che i treprincipali obiettivi degli attacchi DDoS sono le istituzionigovernative (Ministeri, Pubbliche Amministrazioni locali ecentrali, ecc), le banche ed il settore industriale.

Un DDoS non mira a rubare o cancellare informazioni, ma aricattare, chiedendo in molti casi del denaro per farfunzionare di nuovo il servizio.

Se un sito di e-Commerce viene preso di mira, subisce undanno per mancata vendita.


PRINCIPALI MINACCE

Defacement

Un altro diffuso scopo degli attacchi sono i defacement(dall’Inglese deturpazione), cioè la variazione di una paginaweb (tipicamente la home page) a scopi dimostrativi.

La maggior parte dei siti web che hanno subito undefacement appartengono al settore privato, ed inparticolare siti web di piccole e medie imprese, seguiti dallacategoria dei siti E-Commerce, la cui percentuale è salitarispetto all’anno passato dell’11%, cosi come le categorie disiti Governativi e quelli legati all’ambiente Assicurativo.

Questo non vuol dire necessariamente che le piccole emedie imprese siano prese di mira più facilmente, mapotrebbe voler dire che i siti di questo genere di impresesono mediamente più vulnerabili.

Vulnerabilità delle piccole aziende

Vulnerabilità che spesso è dovuta anche ai dispositiviembedded (modem via cavo, router ADSL) che hanno unelemento in comune: appaiono trasparenti all’utente finaleo necessitano di competenze al di sopra della media peraccedervi e gestirli. Di conseguenza, spesso non vengonogestiti e monitorati per lunghi periodi di tempo. Questamancanza di attenzione determina in genere un accessoaperto con credenziali predefinite o credenziali esposte aInternet.


PRINCIPALI MINACCE

Gli stessi problemi possono sorgere con dispositivi aziendalicome router commerciali e dispositivi per videoconferenzache devono essere protetti, aggiornati o monitorati, poichési trovano in case e piccoli uffici dove è poco probabile che cisia personale dotato delle conoscenze e delle competenzenel campo della sicurezza IT necessarie per gestirli.

Secondo il rapporto CLUSIT nel 2013, in tutto il mondo eranopresenti 161 milioni di punti di accesso wireless. I principalifornitori di questo tipo di dispositivi sono TP-Link con unaquota di mercato del 39% e D-Link e Netgear, ciascuno conl’11%. Poiché questi dispositivi costituiscono i gateway perl’accesso a Internet di uffici domestici e piccole aziende,quando vengono scoperte vulnerabilità al loro interno, leimplicazioni sono considerevoli. I malintenzionati possonoattaccare questi gateway e utilizzarli ad esempio comezombie in una botnet DDoS.

Simili tecniche di attacco e vulnerabilità possono essereapplicate anche ad altri dispositivi con funzionalità Internet,come telecamere, media center, dispositivi di storage,sistemi di allarme, controller di dispositivi, stazioni wireless abanda larga e così via.

I malintenzionati non devono più attaccare i computercollegati a questi dispositivi, i quali hanno una maggioreprobabilità di essere protetti da software antivirus e firewall.La maggior parte degli attacchi malware diretti a questi tipidi dispositivi ai fini dell’utilizzo in una botnet DDoS passeràinosservata, dato che gli utenti non dispongono dimeccanismi di protezione.


PRINCIPALI MINACCE

APT (ADVANCED PERSISTENT THREAT)

APT significa Advanced Persistent Threat (minacciapersistente avanzata), una tipologia di attacchi mirati epersistenti diventati particolarmente famosi in seguitoalla campagna malware che ha colpito il New York Times.

Gli attacchi APT non funzionano come gli attacchi normali.Quando si pensa ai cyber criminali o agli hacker chediffondono malware, si pensa in genere che il loro obiettivosia infettare il maggior numero di computer possibile (per ilfurto di credenziali, la costruzione di botnet o altri tipi disoftware dannosi). Quanto più ampia è la rete, maggioresarà l’opportunità di rubare soldi, risorse informatiche equalsiasi altro dato prezioso. A un hacker APT, invece,interessa principalmente infettare un computer di unapersona specifica.

L’obiettivo finale di un attacco APT è compromettere uncomputer che contiene specifici dati di valore.

L’ideale per loro sarebbe piazzare un keylogger (registratoredi password) o un backdoor (porta d’accesso) nel computerdel capo esecutivo o del dirigente di una importanteazienda. Ma è difficile attaccare con esito positivo i dirigentiperché hanno a loro disposizione team specializzati insicurezza IT e strumenti di ultima generazione cheproteggono i loro sistemi.


PRINCIPALI MINACCE

http://www.netech-solution.it/advanced-persistent-threat/

Ecco perché, al posto di puntare ad alti livelli aziendali, glihacker APT preferiscono colpire un impiegato che si trovi unpo’ più in basso nella scala gerarchica oppure un liberoprofessionista o anche i dipendenti di piccole e medieimprese. Il computer di questo impiegato non avrà dati diparticolare valore, ma trovandosi all’interno della rete in cuisi trovano i computer con più valore, verrà usato perraggiungere e infettare quest’ultimi.

Chiunque, con una connessione a Internet, può essere unbersaglio potenziale.

Le Advanced Persistent Threat o APT rappresentano unadelle linee di frontiera negli attacchi informatici, che si trovasempre più al centro dell’attenzione per due primati"negativi".

Il primo è l'elevato danno che sono in grado di arrecare,ulteriormente aggravato dall’alto livello di efficacia chesolitamente riescono a conseguire.

Il secondo è la difficoltà incontrata dalle soluzioni diprotezione di tipo più tradizionale nel contrastarleefficacemente.

Questo perché le APT rappresentano una minaccia che nonsi limita a una semplice intrusione rivolta a inserire unmalware ma che punta, invece, a predisporre un attaccocontinuativo nel tempo che prosegue fino a quandol’attaccante non è riuscito nel suo intento di penetrareall’interno della rete del suo target.


PRINCIPALI MINACCE

http://www.netech-solution.it/advanced-persistent-threat/

L’APT è un processo di attacco che segue regole precise edeterminate e che è stato studiato e definito tanto da poteressere ricondotto a cinque fasi specifiche.


La predisposizione di una protezione efficace dovrà quindiconfrontarsi con le vulnerabilità associate a ognuna diqueste fasi, predisponendo contromisure in grado di operarenon solo in modo efficace ma anche sinergico tra loro.

Ultima, e tremendamente efficace, ad aggiungersi nellacategoria delle minacce APT è quella che prende il nome diRansomware.

Come la maggior parte del malware, anche il Ransomwarepuò provenire dall’apertura di un allegato malevolo inun’email, da un clic su un pop-up ingannevole osemplicemente dalla visita di un sito web compromesso.Mette a rischio le aziende in una delle seguenti modalità:bloccando lo schermo di un utente rendendo il computerinutilizzabile fino a quando il malware viene rimosso, oppurecrittografando i file di tutti i dischi in rete.

Quest’ultima modalità sta rapidamente emergendo comeuna vera minaccia per le aziende, a causa della sua capacitàdi bloccare permanentemente gli utenti dai propri file e dati,non solo sui singoli PC ma sull’intera rete aziendale.

PRINCIPALI MINACCE

Il Ransomware è un attacco che utilizza sempre di più lacrittografia per rendere inutilizzabili tutti i dati fino alpagamento di un riscatto. Inoltre, gli attacchi si sonoconcentrati su aziende di piccole e medie dimensioni,utilizzando CryptoLocker, uno dei ceppi di Ransomware piùdistruttivi e dannosi mai visto.

Da quando è stato individuato a fine estate del 2013,CryptoLocker ha preso di mira oltre un milione di computer.Una volta attivato sul PC di un utente, CryptoLocker avviauna ricerca su tutte le cartelle e drive a cui è possibileaccedere dal computer infetto, compresi dischi di back-up inrete sui server aziendali. Successivamente inizia ascombinare i file utilizzando una crittografia di tipo militarevirtualmente impossibile da decriptare.


PRINCIPALI MINACCE

I file rimarranno crittografati a meno che l'azienda non paghionline un riscatto a una organizzazione criminale in cambiodella chiave di decriptazione che permetterà di rendere i filenuovamente leggibili. Ma senza garanzia, dati gliinterlocutori, che una volta effettuato il pagamento i filecriptati torneranno ad essere leggibili.

Senza esagerare, questa perdita di proprietà intellettuale edei dati confidenziali può avere implicazioni gravi, addiritturafino all’impossibilità di continuare l’attività aziendale oprofessionale.

Purtroppo i casi in Italia sono molti e in aumento.


PRINCIPALI MINACCE

Secondo PWC nel 2014 ci sono stati 81 Cyber attacchi alminuto, e quelli più pericolosi e dannosi, oltre che in fortecrescita, sono i Ransomware (Cryptolocker, Cryptowall,ecc.). Non importa quale sia il business di una PMI, ogniazienda è appetibile per un cyber criminale. Qualsiasiinformazione di tipo commerciale, dati personali, indirizzi e-mail, know-how ecc. è vendibile al mercato nero percommettere frodi, per diffondere malware e per mettere inatto altri crimini.

Nonostante questi dati, la maggior parte dei liberiprofessionisti e delle PMI non hanno difese adeguate erischiano quotidianamente di perdere tutti i dati critici per ilfunzionamento della loro attività.

4PREVENIRE

E’ MEGLIO CHE CURARE


Troppo spesso si sente parlare di imprenditori che sono corsiai ripari solo dopo avere subito un simile attacco, spendendodiverse migliaia di Euro per recuperare in parte i dati persi.Per non parlare di quei casi in cui la perdita definitiva deidati aziendali ha messo a rischio il futuro stessodell’impresa.

E’ di estrema importanza non sottovalutare il crescentefenomeno ed affidarsi quindi ad esperti in grado di metterein reale sicurezza l’azienda, con opportune configurazioni eservizi di protezione. Non è sufficiente dotarsi di un antiviruso di un firewall, soprattutto se gratuito, perché bisognasapere come configurarli correttamente e utilizzarlicongiuntamente con servizi cloud per la sicurezza,fondamentali per la prevenzione di attacchi sconosciuti o diRansomware. Come detto in precedenza queste duetipologie di minacce costituiscono il 50% degli attacchi gravi.

Vediamo i metodi per prevenire gli attacchi SQLi, DDoS esoprattutto Ransomware.


PREVENIRE E’ MEGLIO CHE CURARE

Proteggersi dagli attacchi SQLi

La protezione principale è il controllo da parte delprogramma che gestisce i dati in ingresso, tenendo conto ditutte le possibili combinazioni di caratteri speciali e dioperatori, e bloccandoli.

Per i programmi già in uso è opportuno verificare che questicontrolli ci siano, ed in caso contrario modificareopportunamente il programma.

Per la verifica di vulnerabilità al SQL injection sonodisponibili sul mercato dei software di verifica (scanning), siaproprietari che open source. È poi opportuno che i messaggicon i codici di errore non forniscano, seppurinvolontariamente, informazioni preziose per un attaccanteche ci sta provando.

È opportuno configurare il sistema in modo che forniscamessaggi d’errore abbastanza generici e senza informazionidi dettaglio. Inoltre è necessario verificare che i privilegiusati dagli utenti sul database SQL non siano quelli superiorida amministratore: in caso contrario occorre ridurli.

Infine, come per tutto il software, è indispensabileaggiornare tempestivamente il database server e gliinterpreti degli script, soprattutto per eliminare eventualivulnerabilità.



Proteggersi dagli attacchi DDoS

Nel caso in cui un sito web di nostro interesse sia oggetto diun attacco DDoS si hanno ben poche possibilità diintervenire, da utenti, in qualche maniera. Solo gliamministratori di sistema, infatti, saranno in grado dimitigare gli effetti del tentativo di rendere instabilel’ambiente informatico sotto il loro controllo. Varie lecontromisure, più o meno efficaci, che possono esseremesse in atto.

Sinkholing (inghiottitoio). In caso di attacco, questa tecnicaprevede di deviare tutto il traffico verso un vicolo cieco, inmodo da preservare la stabilità e la piena funzionalità dellerisorse informatiche. Ha il punto debole di rendereinaccessibile la risorsa, deviando sia il traffico lecito sia iltraffico illecito, ma quanto meno salva l'infrastrutturainformatica – sia a livello hardware sia a livello software – dadanni irreparabili.

Router e firewall. Prima che un attacco colpisca l'obiettivo,però, è possibile arginare il traffico in arrivo da protocollinon essenziali e da indirizzi IP non validi applicando dei filtria livello di router e firewall. In caso di attacchi più sofisticati(attacchi che utilizzano diversi livelli di protocollo dicomunicazione e numerose direttrici di attaccocontemporaneamente) però, questa tecnica risulta esserepoco efficace se non del tutto inutile.



Sistemi di rilevazione delle intrusioni. Alcuni softwareinstallati su server e sistemi di controllo dei data center sonoin grado di individuare quando dei protocolli “legittimi” edessenziali per il funzionamento del servizio sono utilizzatiper portare un attacco. Se integrati con un firewall sono ingrado di bloccare il traffico relativo al protocollo malevoloindividuato e sventare l'attacco o quanto menominimizzarne gli effetti

Server. L'adeguata configurazione del server e dei serviziche ospita è uno dei migliori antidoti per mitigare gli effettidi un attacco DDoS. Un amministratore di sistema, adesempio, può indicare quali e quante risorse può utilizzareun servizio e come questo può rispondere alle richieste chearrivano dall'esterno: in questo modo, in caso di un attaccoapplicativo, gli effetti non si ripercuoteranno sull'interosistema informatico ma si limiteranno a mettere fuori uso ilsolo software oggetto dell’attacco.

Sovrastimare le necessità. Si tratta, probabilmente, dellatecnica difensiva che ha la maggior efficacia nel difendersi daun attacco DDoS, ma che è alla portata per lo più delleaziende internazionali. Effettuando una stima in eccessodelle risorse che saranno necessarie a un determinatosistema informatico, si sarà in grado di fronteggiare, senzagrossi problemi, attacchi che puntano a saturare la banda ola capacità di calcolo di un server o di un centro dati.Facendo ricorso a una ampia rete di distribuzione che siestende in diversi Stati, ad esempio, si sarà in grado difronteggiare un attacco diretto verso uno dei server o unasezione della rete, semplicemente deviando il traffico ineccesso verso altri server “gemelli” posti anche a grandedistanza e non sottoposti all’attacco.



Proteggersi dagli attacchi Ransomware

Cosa possono fare le aziende per proteggersi da questi nuovie pericolosissimi tipi di attacchi particolarmente aggressivi?

Innanzitutto, è fondamentale che le aziende implementinole stesse best-practice di sicurezza di base consigliate perproteggere i computer da qualsiasi altro tipo di malware:

Assicurarsi che il software anti-virus sia aggiornato conle più recenti firme;

Verificare che il sistema operativo e le versioni delsoftware applicativo siano aggiornati;

Installare un firewall sia in entrata che in uscita sul PC diogni utente;

Educare gli utenti sulle tecniche di “social engineering”,specialmente quando si trovano di fronte ad allegatisconosciuti che arrivano nella posta indesiderata;



Tuttavia, si tratta di misureche non offrono unaprotezione totale dagliattacchi. È troppo facile perun dipendente cliccareinavvertitamente su unallegato di posta elettronica,provocando un'infezione.

È anche relativamente facile per i criminali che stanno dietrouna truffa Ransomware fare piccoli aggiustamenti al codicemalware, permettendogli di bypassare l’antivirus dalrilevamento basato su firme, rendendo in questo modo leaziende vulnerabili.

Una protezione migliore grazie alle sandbox

Per difendersi contro i nuovi Ransomware che non possonoessere rilevati dalle soluzioni antivirus convenzionali, unanuova tecnica di sicurezza permette di isolare i file dannosiprima che entrino nella rete in modo che l'infezioneaccidentale non si verifichi.

Senza incidere sul flusso aziendale, questa tecnologia apre ifile sospetti che arrivano via email e controlla il lorocontenuto in un ambiente virtualizzato e protetto notocome “sandbox” (la gran parte delle abitazioni statunitensine ha uno nel giardino di casa: un piccolo rettangolo disabbia - immerso nel verde del prato tagliato all'inglese -dove i bambini possono giocare in piena sicurezza etranquillità. – in ambito informatico ambiente protetto ditest).



Il sandboxing permette di isolare programmi e applicazioni(o parte di essi) e testarli in un “ambiente operativo reale”senza però correre il rischio che possano arrecare danni alsistema informatico. Ideale, quindi, per testare gli effetti diun programma in via di sviluppo o di un virus di cui si saancora poco.

Nonostante possa apparire come una funzione futuristica oriservata a una “élite” di programmatori esperti, è verol'esatto contrario: pur non accorgendocene, abbiamo a chefare con sandbox tutti i giorni, nell'utilizzo quotidiano del PC:Google Chrome e Internet Explorer, ad esempio, sono dotatidi “recinti di sabbia” nei quali far girare le pagine web che sivisitano per evitare che queste possano provocare danniall'intero computer.



Nella sandbox, il file viene monitorato in tempo reale perregistrare qualsiasi comportamento insolito, come adesempio tentativi di apportare modifiche di registro, azioni oconnessioni di rete anomale. Se il comportamento del filerisulta essere sospetto o potenzialmente dannoso, questoviene bloccato e messo in quarantena, per prevenire ognipossibile infezione prima che raggiunga la rete - o le caselledi posta degli utenti – azzerando così il rischio che possacausare danni.

I dispositivi firewall di ultima generazione, disponibili perogni dimensione d’azienda e di budget: ufficio casalingo,libero professionista, PMI e grande impresa; si appoggianoad una serie di servizi cloud per creare un ambiente diprova protetto ed esterno alla rete aziendale per l’analisi deiRansomware e delle minacce sconosciute.

Una di queste è la soluzione WatchGuard APT Blocker cheoltre all’analisi comportamentale per determinare se un fileè maligno, identifica e inoltra i file sospetti a un sandbox dinuova generazione su cloud, un ambiente virtuale in cui ilcodice viene analizzato, emulato e infine eseguito perdeterminarne il potenziale di minaccia.



http://www.netech-solution.it/firewall



Minacce avanzate, tra cui quelle persistenti APT (AdvancedPersistent Threats) sono progettate per riconoscere i metodidi rilevamento e rimanere nascoste.

L’emulazione dell’intero sistema di APT Blocker – che simulal’hardware fisico, incluse CPU e memoria – fornisce ilmassimo livello di visibilità nel comportamento dei malware,ed è inoltre estremamente difficile da rilevare per i malwareavanzati. APT Blocker estende la protezione dall’universo delmalware noto fino a quello ancora sconosciuto, fornendoall’azienda la sicurezza necessaria contro le minacce odiernein continua evoluzione.

Il massimo livello di protezione poi lo si ottiene aggiungendoall’installazione di un APT Blocker anche il backup in clouddei propri file (quantomeno quelli che si ritengono di vitaleimportanza), che crea una copia in una ubicazionesuperprotetta (e comunque offline dalla rete aziendale)tutte le volte che tali file vengono modificati.

Le aziende dovrebbero prendere in considerazione questeulteriori precauzioni per assicurarsi di non cader vittime dicriminali informatici che necessitano solamente di unaminuscola falla di sicurezza per entrare nella rete e prenderein ostaggio gli asset dell’azienda. Il ransomware rappresentauna grave minaccia potendo potenzialmente catturare tutti ifile e i dati di una società in un istante.



http://www.netech-solution.it/backup-cloud/



Come riportato dal documento UNICRI sulla Linee guida perla Sicurezza Informatica nelle PMI, quest’ultime sono unbersaglio molto attraente per i cyber criminali, perchésfortunatamente sottovalutano ancora troppo questaminaccia.

Non importa quale sia il business di una PMI, ogni aziendaè appetibile per un cyber criminale perché qualsiasiinformazione di tipo commerciale, dati personali, indirizzi e-mail, proprietà intellettuali, ecc. è vendibile al mercato neroper commettere frodi, per propagare malware e per metterein atto altri crimini.

I pericoli in ambito aziendale sono costituiti non solo daidanni prodotti dall’attacco in sé, ma soprattutto dalleconseguenze che questi attacchi causano nel lungo periodo.

Assistiamo infatti sempre più ad attacchi mirati comel’appropriazione dei dati sensibili, la cancellazione dei datistessi o il furto di materiale coperto da diritti sulla proprietàintellettuale.

Il Cybercrime è più forte e diffuso di quanto si possaimmaginare, dato che la maggior parte degli attacchi nonviene ancora rilevata e denunciata. Le perdite dovute alcrimine informatico possono anche arrivare a diversimilioni di euro per le singole aziende.

5CONCLUSIONI


Il fenomeno del Ransomware è in forte aumento, arrivatoglobalmente a 8,8 milioni di attacchi nel 2014. E’ un tipo diattacco molto redditizio perché, nel caso che non siano statieffettuati regolari backup, su dispositivi offline o in cloud,l’utente pur di recuperare i propri dati è disposto a pagare ilriscatto, anche senza garanzie.

I fattori che i criminali informatici considerano sono due:la presenza di soldi/dati da rubare e la facilità di violare unobiettivo. Le PMI purtroppo soddisfano entrambi questirequisiti.

Non sempre però le aziende si accorgono di essere stateviolate e spesso non sanno come proteggersi, credendoerroneamente che le azioni da mettere in atto siano solo ditipo tecnico e che siano economicamente impegnative.

Quello che manca alle PMI è principalmente un quadro diassistenza all’implementazione della loro sicurezzainformatica che comprenda non solo aspetti tecnici, masoprattutto uno schema di policy da implementare neglianni in base all’evolversi del Cybercrime.


CONCLUSIONI

Ecco perché le PMI dovrebbero rivolgersi ad esperti comeNetech Srl, in grado di valutare tutti gli aspetti (tecnici,tecnologici, organizzativi, processuali, evolutivi e di policy)legati alla propria sicurezza ed essere indirizzati adinvestimenti sostenibili, ma soprattutto idonei.

La vera frontiera che ogni imprenditore deve abbattere èquella culturale, infatti molte azioni difensive contro ilCybercrime possono essere messe in atto anche a costilimitati.


CONCLUSIONI

http://www.netech-solution.it/

Copyright 2015 Netech Srl - www.netech-solution.it 36

I contenuti di questo e-Book sono una raccolta opportunamente selezionata ed organizzatadi informazioni tratte da diverse fonti autorevoli disponibili pubblicamente in internet, chenel loro insieme costituiscono una parte importante della letteratura sul tema dellasicurezza informatica.

Tutti gli argomenti a cui si fa riferimento nel presente e-Book sono accessibili qui:

http://www.wired.it/attualita/tech/2015/06/09/attacchi-informatici-in-crescita/

https://clusit.it/rapportoclusit/

http://it.ibtimes.com/cyber-space/cybercrime-notevole-crescita-degli-attacchi-livello-globale-1408013

https://www.av-test.org/en/statistics/malware/

http://www-03.ibm.com/security/data-breach/

http://www.microsoft.com/security/sir/default.aspx

http://www.enigmasoftware.com/top-20-countries-the-most-cybercrime/

https://blog.kaspersky.it/che-cose-una-apt/1070/

http://www.tomshw.it/articoli/le-5-fasi-di-un-attacco-apt-46697

http://www.digital4.biz/trade/nuove-frontiere-di-attacco-ecco-cos-e-e-come-funziona-un-ransomware_43672152425.htm

http://www.malaboadvisoring.it/index.php?option=com_docman&task=doc_download&gid=103

http://www.pwc.com.cy/en/press-releases/2014/cybersecurity-incidents-2014.html

http://www.itgovernance.co.uk/blog/why-smes-are-an-attractive-target-for-cyber-criminals-and-what-they-can-do-about-it/

http://www.unicri.it/in_focus/files/La_Criminalita_Informatica_e_i_Rischi_per_l_Economia_e_le_Imprese_FZ_DEFINITIVO_2015_06_11.pdf

http://www.enigmasoftware.com/malware-research/malwaretracker/

http://www.fastweb.it/internet/sandbox-cosa-sono-come-funzionano-e-come-crearne-uno/

http://www.watchguard.com/it/

Tutti i Copyright ed i Marchi sono di proprietà dei rispettivi Titolari

Realizzato da Actrae di Re Fulvio

BIBLIOGRAFIA

http://www.wired.it/attualita/tech/2015/06/09/attacchi-informatici-in-crescita/

https://clusit.it/rapportoclusit/

http://it.ibtimes.com/cyber-space/cybercrime-notevole-crescita-degli-attacchi-livello-globale-1408013

https://www.av-test.org/en/statistics/malware/

http://www-03.ibm.com/security/data-breach/

http://www.microsoft.com/security/sir/default.aspx

http://www.enigmasoftware.com/top-20-countries-the-most-cybercrime/

https://blog.kaspersky.it/che-cose-una-apt/1070/

http://www.tomshw.it/articoli/le-5-fasi-di-un-attacco-apt-46697

http://www.digital4.biz/trade/nuove-frontiere-di-attacco-ecco-cos-e-e-come-funziona-un-ransomware_43672152425.htm

http://www.malaboadvisoring.it/index.php?option=com_docman&task=doc_download&gid=103

http://www.pwc.com.cy/en/press-releases/2014/cybersecurity-incidents-2014.html

http://www.itgovernance.co.uk/blog/why-smes-are-an-attractive-target-for-cyber-criminals-and-what-they-can-do-about-it/

http://www.unicri.it/in_focus/files/La_Criminalita_Informatica_e_i_Rischi_per_l_Economia_e_le_Imprese_FZ_DEFINITIVO_2015_06_11.pdf

http://www.enigmasoftware.com/malware-research/malwaretracker/

http://www.fastweb.it/internet/sandbox-cosa-sono-come-funzionano-e-come-crearne-uno/

http://www.watchguard.com/it/

NETECH SOLUTIONS ACADEMY

SICU

REZZA

INFO

RM

ATIC

A

NELLA

PIC

CO

LA E M

EDIA

IMP

RESA

37Copyright 2015 Netech Srl - www.netech-solution.itOttobre 2015

Netech aiuta le PMI ad essere più sicure edimpenetrabili, bloccando il 99,99% di emailspam, eliminando il costo annuale di oltre 125€per dipendente, dovuto alle interruzionidell’attività di business, per gli attacchi malwaremirati alla compromissione dei dati aziendali.

Netech aiuta ad inibire la perdita accidentale didati, e ad evitare la fuoriuscita incontrollata delleinformazioni aziendali, con un risparmio di 150€per GB.

Lo ha fatto anche per Yamaha Motor Italia.

http://www.netech-solution.it/wp-content/uploads/2015/10/Watchguard-Yamaha-Motor-Italia.pdf

Documents

SICUREZZA INFORMATICA NELLA PICCOLA E …...imprese, indipendentemente dalle dimensioni. Anzi, in Italia il numero di piccole e medie imprese sotto attacco sta crescendo. Secondo il