Nel presente 'post' si vuole brevemente riassumere alcuni dati inerenti alle minacce malware individuati e pubblicati da Yoroi durante l’anno solare 2017. Comprendere i principali attori malware del 2017 e classificarli per tipologia di business, secondo lo standard Thomson Reuters Business Classification (TRBC), può risultare interessante al fine di attuare azioni difensive per la propria organizzazione. Molto importante sottolineare che i dati presentati sono inerenti ad incidenti gestiti, quindi incidenti che hanno bypassato i sistemi perimetrali e che sono cosi giunti all’interno dell’organizzazione vittima. Questi dati sono una piccola parte dei dati rilasciati pubblicamente nel Cyber Security annual Report realizzato da Yoroi.
Comprendere la distribuzione dei malware sui principali settori industriali analizzati è un’informazione molto preziosa per il difensore, l’IT Manager e il CSO che, in funzione del settore della propria organizzazione, può decidere di attuare azioni specifiche fondando le sue decisioni su dati reali e statistici.
Il grafico che segue evidenzia le principali famiglie di malware per tipologia di business.
Interessante notare come il settore bancario sia soggetto a quasi la totalità di attacchi di tipologia Trojan. Mentre la tipologia Banker rappresenta una minaccia per l’utente dell’istituto bancario e non direttamente per l’stituto stesso. La totale assenza di minacce di tipologia Banker in ambiente bancario non deve perciò causare sorprese. Si evidenzia la presenza di attacchi di tipologia Ransomware su tutti i principali settori analizzat sottolineando la criminalità distribuita della minaccia e quindi l’assenza nel panorama italiano di minacce “mirate” aventi come implementazione lo strumento “Ransomware”.
I settori Tessile e Abbigliamento, Bevande, Attrezzatture macchinari e Trasporti sono stati quelli colpiti dal più vasto numero di famiglie di malware differenti. Questa osservazione esclude attacchi mirati a tali organizzazioni ma più semplicemente attacchi di natura criminale. Non è possibile effettuare la medesima affermazione per quanto riguarda istituti bancari e tutte le tipologie di business ove si evidenziano poche famiglie di malware coinvolte.
Il grafico che segue evidenzia i principali portatori di malware divisi per tipologia di business.
Risulta interessante osservare la principale tipologia di file utilizzata per trasportare malware e suddividerla per tipologia di business al fine di permettere ai CIO/CISO di provare a “prevedere” possibili vettori di infezione attuando policy di utilizzo interno di file specifici
Dal grafico precedente si evince che i documenti “Office” siano i principali file utilizzati per trasportare malware, in quanto presenti nella maggior parte dei settori di business analizzati, come ad sempio: “Servizi bancari”, “Vendita al dettaglio” e “Alimenti e Medicinali/Integratori”.
Tale osservazione è coerente con il grafico delle tipologie di malware in quanto i principali Trojan sono tipicamente file “eseguibili”. Questo fatto è dovuto principalmente a policy interne alle organizzazioni che utilizzano (tipicamente) strumenti di condivisione e non abilitano il passaggio di documenti “office” attraverso vettori come le eMail o sistemi Messanger.
Interessante notare la forte presenza di propagatori “eseguibili” nelle organizzazioni appartenenti alle classi “Macchinari, Attrezzature e Computer”, “Automobili e parti di ricambio” e “Vendita al dettaglio”. In queste organizzazioni sono ancora fortemente presenti file eseguibili sia per assenza di policy specifiche sia per necessità di strumenti “portable” al loro interno. Non è da sottovalutare la presenza di sistemi di vecchia generazione che per soddisfare funzionalità specifiche del business relative alla presenza di organismi SCADA e di sistemi embedded, necessitano di tale tipologia di file (file “eseguibile”) per effettuare aggiornamenti e/o il mantenimento degli stessi.
Sopratutto in questi settori, dove la presenza di file eseguibili è ancora elevata, è altamente consigliato un sistema di monitoraggio e di difesa proattivo per garantire un elevato livello di controllo e di sicurezza sulla rete e sui file che la popolano.
Il grafico seguente evidenzia i principali percorsi di attacco classificati per tipologia di business.
Il risultato evidenzia nuovamente la presenza di policy strutturate e di azioni di “enforcement” in ambito “Servizi bancari” dove è stato pressoché eliminato il principale percorso di attacco (attraverso le email).
NB: Non vengono presi in considerazione i numerosissimi tentativi di attacco bloccati da sistemi perimetrali come Firewall, Proxy, AV, Anti Spam, etc etc.
Il percorso di attacco basato sulle email resta presente in modo preponderante su tutte le categorie di business mentre, grazie a una imponente presenza di “perimetro” il percorso di attacco basato sul “Download diretto” risulta insignificante per alcune classi di business. Si sottolinea la totale assenza dei seguenti percorsi di attacco: “Social Media” e “Exploiting”. Contrariamente a quanto osservato durante l’anno 2016 la presenza di Exploiting Kits risulta essersi ridotta notevolmente nel panorama mondiale. Nello specifico in Italia non si sono osservate minacce di questa tipologia.
È molto importante dotarsi di sistemi di protezione, ma come questi dati dimostrano essi non riescono a garantire una sicurezza infallibile. Mentre la sicurezza al 100% continua a non essere raggiungibile (AGI Post) adottare un sistema di Difesa Informatica (Cyber Defence) puo aiutare notevolmente ad incrementare la sicurezza ed a ridurre l' impatto che un attacco informatico puo avere sulla propria organizzazione.