Archivi categoria: Ricerche

Perché gli analisti SecOps lottano per sopravvivere

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

Le violazioni sono inevitabili, ma è il modo in cui si reagisce che fa la differenza. Questa filosofia è stata adottata da anni dalle organizzazioni più mature al mondo nel campo della sicurezza informatica. Eppure solo di recente questo approccio si è diffuso nella maggior parte delle imprese. Ciò ha portato a una nuova attenzione sul processo di rilevamento e risposta alle minacce, grazie alla creazione dei Security Operations Center (SOC). Rispetto alla teoria però, la realtà può essere molto diversa. Senza gli strumenti giusti, gli analisti SecOps, sia interni che esterni al SOC, possono trovarsi sotto una pressione estrema che influisce sulla produttività, sulla soddisfazione sul lavoro e sulla condizione mentale. La risposta a questo problema non passa solo dalla tecnologia, ma anche attraverso l’investimento in una piattaforma in grado di aiutare gli analisti a dare la giusta priorità agli avvisi in modo efficace. Quest’ultimo può essere un ottimo punto di partenza.

Oltre la difesa del perimetro della rete aziendale

Le tecniche di attacco moderne e furtive hanno reso il tradizionale approccio “castello e fossato” in gran parte insostenibile. Non è efficace concentrare tutti gli strumenti di sicurezza informatica in possesso nella difesa del perimetro della rete aziendale, quando i malintenzionati possono entrare abbastanza facilmente, tramite  phishing e credenziali trafugate. Basta dare uno sguardo superficiale ad alcuni dei più popolari marketplace del dark web per capire che ottenere tali accessi è facile, oggi più che mai. Una volta dentro, gli stessi cybercriminali usano strumenti come Cobalt Strike, PSExec e Mimikatz per rimanere sotto i radar, spostandosi al tempo stesso lateralmente, rendendo ancora più difficile il loro rilevamento.

Il vecchio modello di sicurezza perimetrale è ormai superato, perché il perimetro stesso, come già noto, è scomparso da tempo. Oggi comprende un ambiente distribuito di endpoint in remoto, app e infrastrutture cloud, dispositivi IoT e molto altro ancora. È fluido e si estende ben oltre i confini della rete aziendale tradizionale. La negligenza, o poca consapevolezza, dei dipendenti è inoltre un altro pericoloso fattore di rischio. Soprattutto oggi che il personale lavora da remoto, su dispositivi potenzialmente insicuri che condividono con altri membri della famiglia. Distrazioni e comportamenti rischiosi a casa rendono più probabile la possibilità che i dati di accesso aziendali finiscano per essere venduti sul dark web.

Sommersi dagli allarmi

Tutto ciò ha posto un’attenzione molto maggiore sui processi di rilevamento e risposta alle minacce aziendali e sul lavoro svolto da parte degli operatori di sicurezza. Ma sia che tu stia gestendo un SOC o gestendo un team di analisti all’interno di un tradizionale reparto di sicurezza IT, c’è un problema. Le organizzazioni hanno accumulato un gran numero di strumenti di sicurezza negli ultimi anni. La sfida è che tutte queste soluzioni emettono allarmi in grandi quantità e su base giornaliera. I SIEM non sempre fanno il loro lavoro per trovare l’ago in questo pagliaio, a meno che non vengano messi a punto regolarmente ed in maniera continuativa nel tempo da esperti.

Il risultato è un sovraccarico degli avvisi e una nuova ricerca  Trend Micro indica che ciò sta causando seri problemi per i Team SecOps. Abbiamo intervistato oltre 2.300 responsabili di  IT security in 21 Paesi, in organizzazioni di tutte le dimensioni e abbiamo scoperto che oltre la metà (51%) ritiene che i propri team siano sommersi dagli allarmi. La percentuale aumenta maggiormente per chi opera in settori come quello immobiliare (70%), legale (69%), hospitality (65%) e retail (61%).

Il 55% ha ammesso di non essere sicuro circa le capacità di stabilire le priorità o di rispondere a questi allarmi. Ciò significa che alcuni di questi passeranno accidentalmente senza essere adeguatamente indagati (falsi negativi). Molti altri saranno analizzati nonostante siano un falso allarme, facendo perdere tempo agli analisti. In media, più di un quarto (27%) del tempo dei team SecOps è dedicato alla gestione di questi falsi positivi.

SecOps sotto pressione

Sfortunatamente, questo sta avendo anche un grave impatto sul benessere degli analisti. Circa il 70% degli intervistati riferisce di sentirsi emotivamente influenzato dal proprio lavoro. Molti non riescono a rilassarsi a causa dello stress e dell’impossibilità di staccare la spina, diventando irritabili con amici e familiari quando finalmente riescono a ottenere un po’ di tempo libero.

Molti altri hanno affermato che la pressione li ha portati a disattivare del tutto gli avvisi, ad allontanarsi dal proprio computer sentendosi sopraffatti dal volume di alert ricevuti o addirittura a ignorare completamente gli avvisi. Inutile sottolineare che questo tipo di comportamento rende molto più probabili le possibilità di una violazione irreparabile. Con il moderno ransomware c’è il rischio sia di interruzioni del servizio paralizzanti, che di furto di dati regolamentati dal GDPR, con conseguenti maggiori controlli e potenziali multe. Anche il pagamento del riscatto non è una garanzia che il rischio sia stato affrontato. La ricerca evidenzia che i gruppi di hacker hanno sempre più probabilità di rompere la loro promessa di non diffondere i dati rubati, anche una volta che la vittima in questione li ha pagati.

Un approccio migliore

Qual è allora la soluzione al problema? I team SecOps possono avere molti strumenti di sicurezza, ma l’unica cosa che in molti dimenticano è una piattaforma in grado di stabilire le priorità e correlare gli avvisi su più livelli dell’infrastruttura IT. In questo modo su e-mail, reti, server cloud ed endpoint, possono lavorare in modo più produttivo, concentrandosi sui segnali che contano e filtrando i pericoli.

I risultati potrebbero essere determinanti e dare la possibilità di  intercettare le minacce più velocemente, prima che abbiano la possibilità di avere un impatto sull’organizzazione. Non solo, ma una volta affrontato il problema del sovraccarico degli avvisi, gli analisti SecOps possono lavorare in modo più produttivo, con livelli di stress inferiori, il personale è più felice e ha meno probabilità di cambiare azienda. Altrettanto importante è l’idea di una sicurezza proattiva come fattore abilitante. Con la speranza che le violazioni gravi possono essere individuate e risolte rapidamente, i leader aziendali potranno investire in nuove iniziative digitali per guidare l’innovazione e la crescita. Questo è esattamente ciò di cui le aziende hanno bisogno, se vogliono pianificare un percorso di ripresa post-pandemia.

La Zero Day Initiative di Trend Micro è la migliore al mondo nella scoperta di vulnerabilità

Uno studio indipendente di Omdia rivela che la ZDI nel 2020 ha scoperto il 60,5% dei bug

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

Siamo felici di annunciare che la Zero Day Initiative (ZDI) ha scoperto il 60,5% delle vulnerabilità del 2020, secondo l’ultimo studio di Omdia, dal titolo “Quantifying the Public Vulnerability Market: 2021 Edition”, che ha coinvolto 11 aziende di security di livello mondiale. La ZDI mantiene così la posizione di programma indipendente per la scoperta di vulnerabilità più grande al mondo, per il tredicesimo anno di fila. La ZDI ha registrato il maggior numero di scoperte di vulnerabilità a tutti i livelli di gravità, con il 77% delle divulgazioni di livello critico o di alta gravità.

Come i recenti eventi relativi a Microsoft Exchange Server hanno evidenziato, le vulnerabilità sono cruciali per chi combatte il cybercrime in prima linea. Trend Micro continua a impegnarsi per incentivare i ricercatori a trovare e divulgare in modo responsabile i bug. Di questo beneficiano gli utenti di tutto il mondo e in particolare i clienti Trend Micro TippingPoint, che sono protetti in media per 81 giorni prima che l’azienda colpita da una vulnerabilità rilasci una patch.

Omdia ha valutato 1.365 vulnerabilità uniche e verificate, scoperte nel 2020 e rivendicate dalle 11 aziende esaminate. Di queste, ZDI ne ha rilevate 825, tre volte di più rispetto al vendor in seconda posizione, che ne ha rivelate 242. La ZDI ha aumentato la sua copertura del mercato dell’8,2% rispetto all’anno precedente, rafforzando ulteriormente la sua posizione di leader del settore. Lo studio ha anche riconosciuto il programma ZDI Research Rewards, simile ai programmi frequent flyer, che consente ai ricercatori di guadagnare maggiori premi e bonus continuando a lavorare con la ZDI.

“Il numero delle vulnerabilità scoperte da tutti i ricercatori indipendenti ammonta a meno della metà di quelle rivelate da Trend Micro”. Ha affermato Tanner Johnson, analista principale di Omdia. “La ZDI si concentra sulle vulnerabilità in una vasta gamma di settori, con gran parte dei propri sforzi rivolti alle vulnerabilità nei software di rete e PDF, fondamentali per la sicurezza aziendale”.

Fondata nel 2005, la ZDI di Trend Micro è stata pioniere nel mercato della divulgazione responsabile delle vulnerabilità, con un meccanismo di premi per incentivare i ricercatori. A oggi, il programma ha segnalato più di 7.500 vulnerabilità ai fornitori interessati. Oltre 10.000 ricercatori in tutto il mondo hanno ricevuto più di $25 milioni in premi.

Il report di Omdia “Quantifying the Public Vulnerability Market: 2021 Edition” è disponibile al seguente link

Trend Micro influenza il futuro della cloud security con MITRE ATT&CK® for Containers

Nuovi framework aiutano le aziende a costruire e distribuire ambienti container sicuri

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

Siamo orgogliosi di aver contribuito, attraverso le nostre ricerche, allo sviluppo di un nuovo framework per i container da parte di MITRE. L’intelligence sulle minacce di Trend Micro ha contribuito in maniera decisiva allo sviluppo di ATT&CK for Containers. Trend Micro ha collaborato con MITRE, fornendo anni di ricerche, per creare input basati su prove reali che sono stati utilizzati per il framework.

“Trend Micro è stata una delle aziende che ha risposto al nostro appello quando abbiamo cominciato a sviluppare ATT&CK for Containers attraverso il Center for Threat-Informed Defense” Ha affermato Jen Burns, lead cybersecurity engineer at MITRE. “Il nostro obiettivo è aiutare le aziende a rimanere protette utilizzando le knowledge bases, ad esempio ATT&CK, come un linguaggio comune. Le realtà che hanno esperienza negli attacchi del mondo reale, come Trend Micro, aiutano la nostra community dedicata alla security a raggiungere gli obiettivi”.

Trend Micro ha fornito prove di attacchi reali per supportare sette tecniche MITRE. Due di queste sono nuove e uniche per ATT&CK for Containers. Le aziende possono utilizzare queste tecniche per comprendere al meglio come gli attaccanti prendano di mira gli ambienti container e come proteggersi dalle minacce.

È stato un privilegio supportare MITRE nello sviluppo del nuovo framework per container. La vasta community di ricerca all’interno di Trend Micro è focalizzata nel proteggere le organizzazioni e il mondo digitale dalle minacce presenti e future. Abbiamo visto i container come un’opportunità in crescita per i cybercriminali già diversi anni fa e abbiamo lavorato duramente per affrontare le minacce. Collaborazioni come questa con MITRE, conferiscono al nostro lavoro un’importanza più ampia e siamo felici di sostenere i loro sforzi.

Trend Micro Cloud One – Container Security si basa sulla grande esperienza e conoscenza dell’azienda nel proteggere le organizzazioni. È uno strumento progettato per facilitare la sicurezza dei workflow relativi alla creazione, sviluppo ed esecuzione dei container e allo stesso tempo aiutare gli sviluppatori ad accelerare l’innovazione e minimizzare le interruzioni in questi ambienti.

Ulteriori informazioni sulle soluzioni Trend Micro per i container sono disponibili a questo link

Industry 4.0: un attacco cyber mette KO la produzione per giorni

La mancanza di collaborazione tra IT e OT frena i progetti di security

A cura di Gastone Nencini, Country Manager Trend Micro Italia

Il 61% delle aziende manifatturiere ha subito un attacco informatico e lotta per implementare la tecnologia necessaria a gestire in maniera efficace i rischi cyber. Inoltre, il 75% delle aziende che ha subito un attacco ha dovuto affrontare un blocco della produzione e per il 43% questa interruzione è durata più di quattro giorni.

I dati emergono dalla nostra ultima ricerca, “The State of Industrial Cybersecurity: Converging IT and OT with People, Process, and Technology”.

Le industrie manifatturiere di tutto il mondo stanno raddoppiando gli sforzi di trasformazione digitale, per migliorare significativamente le proprie smart factory. La mancanza di una piena consapevolezza della security negli ambienti OT e le divergenze con le conoscenze IT creano però un disequilibrio tra i processi, le tecnologie e le persone, che concede un vantaggio ai cybercriminali. Per questa ragione Trend Micro ha integrato l’intelligence IT con quella OT e offre una soluzione integrata che garantisce maggior controllo e visibilità sull’infrastruttura.

Lo studio afferma che la tecnologia è vista come la sfida maggiore di cybersecurity per il 78% del campione, a seguire le persone (68%) e i processi (67%). Meno della metà delle aziende ha però affermato di aver iniziato un percorso tecnologico per migliorare la sicurezza.

Tra le misure di cybersecurity meno implementate, le capacità di asset visualization (40%) e segmentazione (39%), a testimonianza di come siano le più tecnicamente critiche da adottare. Le aziende con un alto grado di collaborazione IT-OT hanno dimostrato di essere più inclini a sviluppare misure di cybersecurity rispetto alle altre e questo si riflette nei dati relativi all’utilizzo di firewall (66% vs. 47%), di capacità IPS (62% vs. 46%) o di segmentazione della rete (54% vs. 37%). Per quando riguarda le novità organizzative, alcune organizzazioni hanno nominato un Chief Security Officer (CSO).

Trend Micro raccomanda un approccio in tre punti per mettere al sicuro le smart factory:

  • Prevenire, riducendo i rischi di intrusione nei punti fondamentali dove vengono scambiati i dati, come ad esempio la rete o le aree DMZ. Questi rischi potrebbero includere chiavette USB, laptop esterni o gateway IoT
  • Rilevare, identificando comportamenti anomali nella rete come le comunicazioni C&C o tentativi multipli e falliti di log-in. Prima si riesce a rilevare l’attacco, prima si ferma la minaccia con un impatto minimo
  • Persistere, è cruciale difendere le smart factory da qualsiasi tipo di minaccia che sia sfuggita ai livelli di prevenzione e rilevamento. Le soluzioni Trend Micro TXOne Network per la sicurezza delle reti e degli endpoint industriali, sono progettate appositamente per gli ambienti OT. Sono in grado di funzionare a una vasta gamma di temperature e hanno il minimo impatto sulle prestazioni

Ulteriori informazioni sulla ricerca sono disponibili a questo link

Ulteriori informazioni sulle soluzioni Trend Micro per le smart factory sono disponibili a questo link

Trend Micro ottiene il riconoscimento MITRE Engenuity ATT&CK® per l’eccezionale capacità di protezione dagli attacchi

La piattaforma di rilevamento e risposta di Trend Micro ha dato prova delle sue capacità nelle diverse simulazioni

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

Siamo felici di annunciare di aver ottenuto risultati eccellenti nell’ultima ATT&CK Evaluation a cura di MITRE Engenuity. La piattaforma Trend Micro Vision One ha infatti rilevato il 96% degli attacchi all’interno di una simulazione che imitava il comportamento di due famigerati gruppi APT.

Diversamente dalle organizzazioni che verificano l’abilità di un prodotto nel rilevare e prevenire i tipi di malware, MITRE Engenuity’s ATT&CK Evaluation valuta la capacità di rilevare gli attacchi mirati sfruttando i comportamenti conosciuti dell’avversario. Nelle simulazioni di quest’anno, MITRE Engenuity si è focalizzata sulle tecniche associate a noti gruppi come Carbanak e FIN7.

Parte della security è trovare gli strumenti che vengono utilizzati in un attacco: MITRE Engenuity aggiunge la capacità di riconoscere le tecniche utilizzate da un attaccante, a prescindere da quali strumenti vengono utilizzati. Abbiamo ottenuto il 96% di visibilità ed è un grande risultato, specialmente se consideriamo che il test riproduceva le tecniche utilizzate da due gruppi cybercriminali tra i più capaci. Il framework MITRE ATT&CK è complesso, come gli attacchi che permette di modellare. Utilizzare il framework ATT&CK non solo in situazioni di test ma tutti i giorni, è quello che può aiutare i SOC a rispondere alle minacce, per questo lo abbiamo integrato nei nostri prodotti.


Il test di quest’anno ha incluso la simulazione di due violazioni, una a un hotel e l’altra a una banca, utilizzando tattiche APT come l’elevazione dei privilegi, il furto delle credenziali, i movimenti laterali e l’esfiltrazione dei dati.

Trend Micro Vision One ha ottenuto i seguenti risultati:

  • Ha formito il 96% di copertura dell’attacco, con una visibilità di 167 dei 174 passi dell’attacco. Questa ampia visibilità permette alle aziende di avere un quadro completo dell’attacco e rispondere più velocemente
  • Il 100% degli attacchi rivolti a Linux è stato identificato, compresi i 14 momenti diversi dell’attacco. Dato importante se consideriamo il grande utilizzo di questo sistema operativo
  • La piattaforma Trend Micro Vision One ha identificato 139 punti di telemetria, per fornire una visibilità efficace della minaccia e comprendere e investigare al meglio l’attacco
  • Il 90% degli attacchi è stato bloccato attraverso un rilevamento e risposta automatizzati, proprio all’inizio di ogni test. Azioni tempestive liberano risorse velocemente, permettendo ai team di focalizzarsi su criticità più importanti

Trend Micro Vision One permette alle aziende di vedere meglio e rispondere più velocemente, correlando automaticamente i dati di telemetria relativi a email, endpoint, server, workload cloud e reti, per rendere il rilevamento e la risposta ancora più veloci.

Le prestazioni, rispetto alle tecniche utilizzate da due dei più formidabili gruppi cybercriminali del mondo, dimostrano il valore nel rilevamento e nella risposta alle minacce e nella capacità di ridurre il rischio informatico.

Il framework MITRE ATT&CK aiuta l’industria a definire e standardizzare come descrivere le tecniche di attacco informatico, offrendo alle organizzazioni un linguaggio comune e regolarmente aggiornato per valutare il rilevamento e la risposta nel modo più efficiente possibile.

La forte prestazione di quest’anno nella valutazione MITRE Engenuity ATT&CK è la seconda consecutiva per Trend Micro, le cui capacità sono state impressionanti anche nei test del 2020.

Il report completo MITRE Engenuity ATT&CK Evaluation è disponibile a questo link

Italia quarta al mondo per attacchi malware

Anche il 2021 inizia sotto il segno dei cybercriminali, l’Italia a febbraio è il quarto Paese più colpito dai malware. A gennaio era in quinta posizione

A cura di Lisa Dolcini, Head of Marketing Trend Micro Italia

I cybercriminali non si sono presi una pausa nei confronti dell’Italia e i numeri in crescita degli ultimi mesi lo confermano. Il Paese, a livello globale, era già settimo per numero di attacchi malware nel 2020, ma a gennaio 2021 era salito in quinta posizione. A febbraio consolida ulteriormente il trend negativo attestandosi al quarto posto, preceduto solamente da Giappone, Stati Uniti e India.

Il dato emerge dall’ultimo report di Trend Micro Research, la divisione di Trend Micro, leader globale di cybersecurity, specializzata in ricerca&sviluppo e lotta al cybercrime.

I malware che hanno colpito l’Italia a febbraio sono stati 4.643.540. La top five dei Paesi più attaccati è guidata dal Giappone (27.599.476), seguito da Stati Uniti (21.476.151) e India (4.988.024). Quinta la Germania con 3.919.174 attacchi.

La famiglia di malware più rilevata a febbraio in Italia, a livello business, è stata quella di DOWNAD, mentre i consumatori sono stati colpiti maggiormente da DRIDEX, malware specializzato nel sottrarre le credenziali bancarie. I settori più colpiti sono stati il manifatturiero, la sanità e la PA.

I dati sono frutto delle analisi della Smart Protection Network, la rete di intelligence globale di Trend Micro che individua e analizza le minacce e aggiorna costantemente il database online relativo agli incidenti cyber, per bloccare gli attacchi in tempo reale grazie alla migliore tecnologia disponibile sul mercato. La Smart Protection Network è costituita da oltre 250 milioni di sensori e blocca una media di 65 miliardi di minacce all’anno.

A febbraio 2021 la Smart Protection Network di Trend Micro ha gestito 422 miliardi di query e fermato 6,2 miliardi di minacce, di cui circa il 90% arrivava via e-mail.

Ulteriori informazioni sulla Trend Micro Smart Protection Network sono disponibili a questo link

Trend Micro: nel 2020 bloccate 16,7 milioni di e-mail ad alto rischio sulla scia della pandemia di COVID-19

Pubblicato il Cloud App Security Roundup. Tra i fenomeni osservati un aumento dei malware, delle attività di phishing e del furto di credenziali

A cura di Lisa Dolcini, Head of Marketing Trend Micro Italia

Nel 2020, Trend Micro ha bloccato 16,7 milioni di e-mail che contenevano minacce ad alto rischio indirizzate ai clienti di servizi email basati su web e che avevano oltrepassato i filtri nativi di queste applicazioni. Rispetto al 2019, queste minacce sono cresciute di un terzo.

Il dato è evidenziato dal report Cloud App Security Roundup, elaborato sui dati della soluzione Trend Micro Cloud App, che offre un secondo livello di protezione per Microsoft Exchange Online, Gmail e altri servizi.

La pandemia di COVID-19 ha costretto molte organizzazioni ad accelerare i propri piani di digital transformation e le app SaaS sono diventante indispensabili per il lavoro da remoto. Purtroppo però, ovunque ci sono degli utenti ci sono anche delle minacce e i cybercriminali hanno preso di mira i punti più deboli delle aziende, resi ancora più fragili dalla pandemia. Trend Micro Cloud App Security si è confermata indispensabile nel fornire un ulteriore livello di protezione e ognuna delle minacce intercettate rappresenta un rischio sventato di subire un furto dati, un attacco ransomware o altro di ancora più grave.

I malware, il furto di credenziali e le mail di phishing sono raddoppiati nel 2020, mentre le truffe BEC (Business Email Compromise), hanno registrato una lieve diminuzione.

I dati del report Cloud App Security Roundup

E-mail contenenti malware: Trend Micro ha rilevato 1,1 milioni di e-mail che contenevano malware, facendo registrare un +16% rispetto al 2019. Emotet e Trickbot i malware maggiormente rilevati

Phishing: Trend Micro ha intercettato 6,9 miioni di e-mail di phishing, facendo registrare un +19% rispetto al 2019. Senza considerare i tentativi di furto di credenziali, il numero di minacce in questa categoria è cresciuto del 41% rispetto all’anno precedente. Sfruttando anche la pandemia, i cybercriminali hanno tentato di estorcere informazioni personali o finanziarie

Phishing di credenziali: Trend Micro ha rilevato 5,5 milioni di tentativi di furto di credenziali, permessi dagli attuali filtri di sicurezza cloud nativi. Il dato segna un +14% rispetto al 2019. Alcuni attacchi sono anche supportati da truffe telefoniche

BEC (Business Email Compromise): in questa categoria di attacchi si è registrata una diminuzione del 18%, ma le perdite sono invece aumentate del 48% tra il primo e il secondo trimestre 2020

Trend Micro Cloud App Security offre una protezione multi livello integrata che comprende:

  • Capacità di machine learning attraverso la soluzone Writing Style DNA
  • Capacità di intelligenza artificiale per rilevare i tentativi di phishing
  • Analisis sandbox dei malware
  • Tecnologie di file, web ed e-mail reputation
  • Capacità di rilevare documenti infetti
  • Data Loss Prevention
  • Trend Micro Vision One, una soluzione integrata per il rilevamento e risposta delle minacce all’interno dell’intera infrastruttura

I dati del report sono generati da Trend Micro Cloud App Security™, una soluzione API che protegge una vasta gamma di applicazioni e servizi cloud tra cui Microsoft OneDrive for Business, SharePoint Online, Microsoft Teams, Google Drive, Box, Dropbox e Salesforce.

Ulteriori informazioni sono disponibili al seguente link

Cybersecurity 2020: l’Italia è quinta al mondo per attacchi macro malware (prima in Europa), settima per attacchi malware e undicesima per attacchi ransomware

Trend Micro presenta il report annuale delle minacce. L’Italia continua a essere tra i Paesi più colpiti al mondo da malware e ransomware

A cura di Gastone Nencini, Country Manager Trend Micro Italia

Le minacce informatiche continuano a flagellare l’Italia, che nel 2020 a livello mondiale risulta il quinto Paese più colpito dai macro malware (primo in Europa) il settimo per attacchi malware e l’undicesimo per attacchi ransomware. I dati emergono da “A Constant State of Flux: Trend Micro 2020 Annual Cybersecurity Report”, il report di Trend Micro Research sulle minacce informatiche che hanno colpito nel corso dell’anno passato.

Mondo: rilevate 119.000 minacce al minuto

Nel 2020 Trend Micro ha rilevato 119.000 minacce al minuto, facendo registrare un +20% rispetto al 2019. Le cause di questo incremento sono da ricercarsi nel lavoro da remoto che ha determinato l’incremento della pressione cybercriminale su molte infrastrutture. Gli attacchi alle reti domestiche sono infatti cresciuti del 210% raggiungendo i 2,9 miliardi. Il phishing continua a essere una delle tattiche più sfruttate dai cybercriminali, il 91% di tutte le minacce è arrivato infatti via email e gli URL unici di phishing intercettati sono stati 14 milioni. Il numero di vulnerabilità pubblicate dalla  Zero Day Initiative di Trend Micro è cresciuto del 40%, per un totale di 1.453 vulnerabilità, l’80% delle quali è stato etichettato “ad alto rischio”.

Italia: cosa è successo nel 2020

  • Macro Malware – L’Italia è il Paese più colpito in Europa, quinto al mondo, con 12.953 attacchi ricevuti
  • Malware – Il numero totale di malware intercettati in Italia nel 2020 è di 22.640.386. Cinque milioni in più rispetto al 2019. L’Italia occupa la posizione numero sette a livello mondiale
  • Ransomware – Nel 2020 l’Italia, preceduta dalla Germania, è il secondo Paese più colpito in Europa, con il 12,2% dei ransomware di tutto il continente. Nel mondo, l’Italia è l’undicesimo Paese maggiormente attaccato da questa minaccia. Ai primi tre posti Turchia, Cina e India
  • App maligne – Il numero di app maligne scaricate nel 2019 è di 170.418. L’Italia è undicesima al mondo
  • Le minacce arrivate via mail sono state312.232.742
  • Visite a siti maligni – Le visite ai siti maligni sono state 11.548.546. I siti maligni ospitati in Italia e bloccati sono stati 2.883.335
  • Online Banking – i malware di online banking intercettati sono stati 4.468

In tutto il mondo, Trend Micro ha bloccato nel 2020 un totale di 62,6 miliardi di minacce

  • Il report completo è disponibile a questo link
  • Ulteriori informazioni sono disponibili all’interno del sito Trend Micro

App e social media solo audio: quali sono i rischi per gli utenti e come proteggersi

Trend Micro ha studiato e approfondito il fenomeno dei social media audio attraverso una ricerca, svolta tra l’8 e l’11 febbraio.

A cura di Federico Maggi, Senior Threat Researcher di Trend Micro

Recentemente i social media basati su audio come ClubHouseRiffrListen, Audlist, e HearMeOut hanno catturato l’interesse di un numero sempre maggiore di utenti. Come qualsiasi altra tecnologia però, app come queste non sono immuni dai rischi per la sicurezza.

Quali sono i rischi per la sicurezza degli utenti di queste nuove piattaforme social basate su audio?

Ecco di seguito una cartella dei rischi di queste piattaforme.

1. Intercettazione del traffico di rete e intercettazioni in generale

Un utente malintenzionato può scoprire chi partecipa alla conversazione analizzando il traffico di rete. Questo processo può essere automatizzato e consente di ottenere informazioni riservate, anche riguardo alle chat private tra due o più utenti. In questo caso, ClubHouse è al lavoro per implementare opportune contromisure.

2. Clonazione della voce e deepfake

Un utente malintenzionato potrebbe impersonare un personaggio pubblico clonando la voce e utilizzandola per far dire cose che la persona non direbbe mai, con conseguenze anche gravi sulla reputazione. Un malintenzionato potrebbe anche clonare la voce e creare un profilo falso di un famoso trader, attirare gli utenti a unirsi in una stanza e avallare una determinata strategia finanziaria, per esempio.

3. Registrazione opportunistica

Come indicato nei termini di servizio della maggior parte (se non di tutte) le app, il contenuto della maggior parte dei social network solo audio è pensato per essere effimero e “solo per i partecipanti”. Chiaramente questo non impedisce ai malintenzionati di effettuare registrazioni, clonare account, seguire automaticamente tutti i contatti dell’account per renderlo più autentico, unirsi a un’altra stanza e utilizzare il campione del discorso per far dire alla voce “clonata” frasi che possono compromettere la reputazione del personaggio “vittima.”

4. Molestie e ricatti

Tipicamente gli utenti ricevono una notifica quando gli utenti seguiti si uniscono a stanze pubbliche. Questo meccanismo fornisce la possibilità a un malintenzionato di sapere quando la propria vittima si unisce a una stanza pubblica. L’aggressore potrebbe quindi unirsi a quella stanza, chiedere al moderatore di parlare e dire qualcosa o trasmettere in streaming un audio preregistrato per ricattare o molestare la vittima. Questo processo può essere facilmente eseguito automaticamente tramite l’uso di script. Fortunatamente, la maggior parte delle app ha anche funzionalità per bloccare e segnalare utenti offensivi.

5. Servizi underground

Alcuni utenti stanno già discutendo circa l’acquisto di pacchetti di follower, con presunti sviluppatori che promettono di creare bot utilizzabili per black marketing. Sebbene illegali, questi servizi non costituiscono un rischio diretto per i dispositivi digitali del cliente, ma prevedono che il cliente interagisca con soggetti non accreditati e tipicamente interessati al profitto tramite attività illecite.

6. Canali audio nascosti

Utilizzando queste piattaforme, i cybercriminali possono utilizzare l’audio per creare cosiddetti “covert channel,” (ad esempio attraverso tecniche di steganografia), creando dei canali di comando e controllo (C&C). Se i social network audio continuano a essere popolari, gli aggressori possono considerarli un canale alternativo affidabile per future botnet.

Come proteggersi?

Alcuni suggerimenti per un uso sicuro degli strumenti social basati su audio:

  • Unirsi a stanze pubbliche e parlare come se si parlasse in pubblico. Gli utenti dovrebbero dire cose che direbbero solo in pubblico, in quanto c’è la possibilità che qualcuno, nella stanza virtuale, stia registrando (anche se la registrazione senza consenso scritto è contraria ai termini di servizio della maggior parte, se non di tutte, le app)
  • Non fidarsi di qualcuno solo per il suo nome. Queste piattaforme al momento non hanno processi di verifica dell’account. Meglio controllare sempre che la biografia, il nome utente e i contatti dei social media collegati siano autentici
  • Concedere solo le autorizzazioni necessarie e condividere i dati strettamente indispensabili. Ad esempio, se gli utenti non vogliono che le app raccolgano tutti i dati dalla propria rubrica, possono negare l’autorizzazione e lo strumento continuerà a funzionare correttamente

La ricerca è stata condotta tra l’8 e l’11 febbraio 2021 da Federico Maggi, Senior Threat Researcher Trend Micro. Al momento della pubblicazione, alcuni dei problemi descritti in questo documento potrebbero essere stati o sono attualmente in fase di risoluzione da parte dei fornitori delle app. I marchi qui menzionati sono stati informati dei risultati della ricerca.

Ulteriori informazioni sono disponibili a questo link

Connected car sempre più vulnerabili agli attacchi cyber

Il nuovo studio Trend Micro analizza le nuove minacce informatiche ai veicoli e come difendersi

A cura di Federico Maggi, Senior Threat Researcher di Trend Micro

La tecnologia che supporta le auto connesse rimane vulnerabile agli attacchi informatici. Il dato emerge da “Cyber Security Risks of Connected Cars”, l’ultimo studio Trend Micro, leader globale di cybersecurity. La ricerca descrive alcune situazioni spiacevoli in cui i conducenti potrebbero ritrovarsi e le minacce alla sicurezza e all’incolumità delle persone all’interno del veicolo. I ricercatori Trend Micro hanno infatti valutato 29 scenari di attacco, secondo il modello di minaccia DREAD[1] per l’analisi qualitativa del rischio. Questi attacchi potrebbero essere lanciati da remoto contro i veicoli delle vittime, ma anche dall’interno di questi ultimi.

Esempi e highlights degli attacchi cyber alle connected car:

  • Gli attacchi DDoS ai sistemi di trasporto intelligenti (ITS) potrebbero sovraccaricare le comunicazioni delle auto connesse e rappresentare un rischio elevato di malfunzionamento. In questa categoria di attacchi si possono trovare alcuni esempi, come cartelli stradali compromessi per mostrare messaggi di attivismo politico, macchine per il pagamento dei pedaggi messe fuori uso da ransomware, monitor delle stazioni non funzionanti e sistemi di controllo del traffico esposti direttamente su Internet, tra cui segnali stradali, sensori ambientali e telecamere a circuito chiuso.
  • I sistemi delle auto connesse che sono esposti e vulnerabili sono facilmente individuabili e questo li rende a rischio ancora maggiore di subire attacchi
  • Oltre il 17% di tutti i vettori di attacco esaminati è ad alto rischio secondo il modello DREAD e richiede una conoscenza limitata della tecnologia dei veicoli per essere sfruttato. Per questa ragione, gli attacchi potrebbero essere realizzati anche da persone poco qualificate

Questa ricerca dimostra che gli aggressori che cercheranno di sfruttare le tecnologie a bordo delle moderne auto connesse beneficiano di ampie possibilità. Fortunatamente, al giorno d’oggi le opportunità di attacco sono limitate e i criminali non hanno ancora trovato modi affidabili per monetizzare, anche se abbiamo visto che ne parlano nei vari forum underground. Grazie alle recenti normative delle Nazioni Unite, che impongono a tutte le auto connesse di includere la sicurezza informatica e a un nuovo standard ISO, questo è sicuramente il momento migliore per identificare e affrontare al meglio il rischio informatico delle auto, mentre andiamo verso un futuro di veicoli connessi e autonomi.[2]

In tutto il mondo, le spedizioni di autovetture con connettività integrata raggiungeranno i 125 milioni nel 2022 e il futuro è rappresentato da veicoli completamente autonomi. Questo progresso creerà un ecosistema complesso, che comprenderà cloud, IoT, 5G e altre tecnologie chiave, ma che presenterà però anche un’enorme superficie di attacco, costituita da milioni di endpoint e utenti finali.

Man mano che il settore continuerà a svilupparsi, criminali informatici, hacktivisti, terroristi, Stati Nazionali, addetti ai lavori e persino operatori senza scrupoli avranno molteplici opportunità di monetizzare e sabotare. Dopo aver studiato i 29 vettori di attacco, la ricerca afferma che il rischio complessivo di attacchi informatici è “medio”. Tuttavia, ogni volta che applicazioni SaaS vengono incorporate nell’architettura elettrica/elettronica (E/E) dei veicoli e i criminali informatici creano nuove strategie di monetizzazione, l’evoluzione negli attacchi porta a minacce di rischio più elevate.

Per mitigare i rischi delineati nello studio, la sicurezza delle auto connesse deve essere progettata con una visione integrata di tutte le aree critiche, per proteggere la supply chain dei dati end-to-end.

Trend Micro suggerisce le seguenti linee guida per la protezione delle connected car:

  • Implementare processi di avviso, contenimento e mitigazione efficaci, presupponendo di subire una compromissione
  • Proteggere la supply chain dei dati end-to-end attraverso la rete E/E dell’auto, l’infrastruttura di rete, i server back-end e il VSOC (Vehicle Security Operations Center)
  • Rafforzare ulteriormente le difese e prevenire la ripetizione degli incidenti in base agli eventi subiti
  • Le tecnologie di sicurezza pertinenti includono firewall, crittografia, controllo dei dispositivi, sicurezza delle app, scanner di vulnerabilità, code signing, IDS per CAN, AV e molto altro

Trend Micro offre soluzioni di sicurezza informatica IoT specifiche per le auto connesse, ulteriori informazioni sono disponibili a questo link

Ulteriori informazioni sulla ricerca e il white paper sono disponibili a questo link


[1] Il modello DREAD valuta quanto è grave il danno, quanto è facile l’attacco da lanciare e replicare, quanto è facile trovare una debolezza sfruttabile e quanti utenti potrebbero essere interessati

[2] https://unece.org/press/un-regulations-cybersecurity-and-software-updates-pave-way-mass-roll-out-connected-vehicles