Nonostante la crescente attenzione alla sicurezza informatica negli ultimi anni, il numero di violazioni dei dati continua ad aumentare. Mentre le aziende si concentrano maggiormente (e spendono di più) sulla sicurezza, i criminali informatici intensificano i loro sforzi. Lo vediamo soprattutto nel campo delle minacce persistenti avanzate (APT) dirette ai dispositivi dell'Internet of Things.
Gli incentivi, sia finanziari che di altro tipo, che spingono i criminali informatici contemporanei sono notevoli.
I pacchetti di ransomware sono facilmente disponibili sul Dark Web e il ransomware fornisce una forte motivazione finanziaria ai criminali. Anche gli attori delle minacce degli Stati nazionali sono entrati nel panorama delle minacce, portando avanti attacchi a sfondo politico.
Per questi e altri motivi, il numero di ceppi di malware è in aumento e il malware prodotto sta diventando sempre più avanzato man mano che le aziende intensificano i loro sforzi di difesa informatica.
Questa tendenza non è destinata a cessare presto, perché gli incentivi per i malintenzionati sono troppi.
Vulnerabilità nell'Internet degli oggetti
L'Internet degli oggetti (IoT) si riferisce alla rete di dispositivi abilitati a Internet utilizzati sia dai consumatori che dalle aziende. Tutto, da un pacemaker connesso alla rete a un rilevatore di fumo Nest a una Tesla a guida autonoma, è un dispositivo IoT.
I dispositivi IoT sono sempre più diffusi. Purtroppo, anche i cyberattacchi IoT sono sempre più diffusi. Attacchi IoT:
- Sono facili da avviare grazie al codice disponibile pubblicamente, sia nel Dark Web che nei repository di codice come GitHub.
- Hanno un'alta percentuale di successo
- Sono difficili da rilevare e da rimediare, consentendo alle minacce costanti evolutive (APT)
- Consentono a un aggressore di ottenere un punto d'appoggio all'interno della rete di un'organizzazione.
- Consente all'aggressore di aggiungere altri dispositivi alla propria botnet (le botnet possono essere utilizzate per attacchi DDoS, spamming e così via).
Il numero di vulnerabilità sta crescendo in generale e gli attacchi contro i dispositivi dell'Internet of Things sono particolarmente in aumento.
Le superfici di attacco dell'Internet degli oggetti
Gli aggressori iniziano a cercare i dispositivi IoT vulnerabili e cercano di comprometterli. Gli aggressori possono farlo in massa. Possono permettersi di non riuscire a violare i dispositivi più volte, ma i dispositivi IoT devono subire un attacco solo una volta per essere compromessi.
A peggiorare la situazione, i dispositivi IoT presentano spesso una serie di vulnerabilità, sia note che sconosciute. Il numero di vulnerabilità IoT è in aumento e gli utenti spesso non applicano le patch o non installano gli aggiornamenti in modo tempestivo, rendendo molto più facile per gli aggressori compromettere i dispositivi.
Un'altra area di preoccupazione è che i dispositivi IoT spesso sono dotati di credenziali predefinite che non vengono mai aggiornate. Questo rende la questione delle vulnerabilità e delle patch praticamente irrilevante: se un aggressore può semplicemente forzare le credenziali o ottenerle da un elenco pubblicamente disponibile, allora il dispositivo potrebbe anche essere già compromesso.
Alcune caratteristiche delle minacce persistenti avanzate dell'IoT
Tecniche di evasione
Le minacce persistenti avanzate sono spesso progettate per eludere il rilevamento attraverso l'offuscamento del codice, il rilevamento dell'ambiente virtuale e molti altri metodi.
Tecniche di occultamento
I criminali informatici sono sempre più bravi a nascondere il malware che infetta un sistema.
Autopropagante
Molte APT, oltre a rimanere su un sistema in modo persistente, cercano altri sistemi da infettare.
Efficienza delle risorse
Questo è un fattore che separa le minacce costanti evolutive IoT dalle tradizionali minacce costanti evolutive su computer normali. Le APT IoT hanno bisogno di meno del 5% della potenza di calcolo di un dispositivo medio per operare e, a volte, il malware è abbastanza intelligente da regolarsi dopo aver rilevato la capacità di memoria del dispositivo.
La nuova catena di morte informatica dell'IoT
La cyber kill chain è la serie di passaggi eseguiti dagli attori delle minacce. Ogni fase può in teoria essere identificata e bloccata dalle difese informatiche. Lockheed Martin ha descritto la "Cyber Kill Chain" per le minacce costanti evolutive come:
Tuttavia, per i dispositivi IoT, ci sono ulteriori fasi nella kill chain che rendono le APT IoT ancora più minacciose. La nuova catena di morte dell'IoT si presenta come segue:
Le minacce costanti evolutive dell'IoT non mirano semplicemente a infettare un singolo dispositivo o una rete, ma proliferano su altri dispositivi e si nascondono per rimanere persistenti.
Strategie di difesa IoT
Gli aggiornamenti del sistema sono essenziali per correggere le vulnerabilità, ma spesso non sono fattibili o non vengono eseguiti per altri motivi. Una volta rilasciata la patch, gli aggressori possono decodificare l'exploit, rendendo vulnerabili i dispositivi non aggiornati. Inoltre, i fornitori spesso non possono o non vogliono tenere il passo con le patch di tutte le vulnerabilità scoperte nei loro prodotti.
La messa in quarantena è una possibile soluzione in caso di infezioni. Tuttavia, a causa dei vincoli del mondo reale, potrebbe essere impossibile o poco pratico mettere in quarantena i dispositivi. Ad esempio, potrebbe essere difficile mettere in quarantena una telecamera di sicurezza che mostra segni di compromissione ma è essenziale per il monitoraggio della sicurezza dell'edificio.
IoT APT: le strategie di difesa consigliate da OPSWAT
Per fermare le APT IoT è necessario bloccare tutte le minacce nascoste nei dati. Anche in questo caso, i criminali informatici possono facilmente permettersi di fallire, ma le difese informatiche devono avere sempre successo.
Le difese basate sul rilevamento sono vulnerabili alle tecniche di occultamento del malware. Le minacce avanzate possono persino ingannare le sandbox eseguendo in modo casuale o rilevando se si trovano o meno in un ambiente virtuale prima di essere eseguite. Inoltre, anche la migliore tecnologia di rilevamento anti-malware potrebbe non vedere arrivare una minaccia zero-day.
OPSWAT crede nella combinazione di strategie basate sul rilevamento con la prevenzione avanzata delle minacce. La nostra tecnologia di sanificazione dei dati (CDR) neutralizza le minacce presenti nei documenti o nelle immagini che entrano in una rete, disarmando e ricostruendo i file con la rimozione dei contenuti potenzialmente dannosi. Qualsiasi file può e deve essere sottoposto a questo processo, indipendentemente dal fatto che venga rilevata o meno una minaccia.
Oltre a sfruttare la sanificazione dei dati (CDR), le organizzazioni che utilizzano dispositivi IoT dovrebbero seguire il più possibile le best practice di sicurezza, aggiornando regolarmente i dispositivi e reimpostando le credenziali di accesso predefinite. Infine, i dispositivi abilitati alla rete dovrebbero essere collegati a Internet solo se assolutamente necessario.
