63
ottobre 2014
quantificabile in maniera tangibile con risorse rubate
o sottratte, ma anche sotto l’aspetto più intangibile
della reputazione del brand.
Abbiamo riscontrato che con solo 3 delle 9 tipo-
logie di attacco individuate si può spiegare il 75%
degli incidenti di sicurezza riscontrati dalle orga-
nizzazioni finanziarie. Questi sono gli attacchi ad
applicazioni Web (27% degli incidenti analizzati),
attacchi DoS (26% ) e skimming (22%), ovvero ma-
nomissione di un dispositivo di pagamento con
carta per installare uno ‘skimmer’ che acquisisce
automaticamente i dati della carta del cliente, di
solito indirizzata agli ATM.
Migliorare la difesa in queste tre aree potrebbe aiu-
tare le organizzazioni finanziarie a ridurre notevol-
mente il rischio.
Cosa possono fare banche e assicurazioni per pro-
teggersi dagli attacchi alle web application?
Nel nostro dataset del 2014 viene evidenziato che
poco meno di due attacchi su tre a web app erano
attribuibili a gruppi di attivisti guidati da un’ideo-
logia. Questi attacchi mirano più a causare disagi
e danni piuttosto che rubare i dati delle carte di
pagamento. Tecnicamente parlando, è difficile di-
fendersi dagli attacchi a web app perché gli hacker
hanno a disposizione una grande varietà di tecniche
e combinazioni per violare questi sistemi online. Ciò
nonostante si possono adottare utili contromisure:
usare un sistema di autenticazione multi-fattore;
prendere in considerazione il passaggio a un con-
tent management system statico anziché eseguire
un codice per generare un contenuto ad ogni ri-
chiesta; migliorare i criteri di blocco e monitorare
le connessioni in uscita.
E per quanto riguarda gli attacchi DoS?
La portata degli attacchi DoS è salita del 115% dal
2011. Se questi attacchi sono raramente collegati
a tentativi di furto di dati, possono essere invece
estremamente dannosi per la reputazione e le ope-
razioni di business, mettendo fuori uso e-banking,
piattaforme di trading, ma anche sistemi interni
potenzialmente esposti a internet. In questo caso
è utile tenere separati gli asset più importanti, te-
stare i servizi anti-DoS e, soprattutto, disporre di
un piano: i principali team devono sapere come
reagire in caso di attacco.
E poi ci sono gli attacchi skimming: come difen-
dersi?
I gruppi criminali organizzati responsabili di at-
tacchi skimming stanno diventando estremamen-
te sofisticati nelle loro tattiche; qualcuno utilizza
la tecnologia di stampa 3D per creare riproduzioni
delle fasce ATM difficilmente distinguibili da quelle
reali. Possono essere installate in pochi secondi e
trasmettono i dati della carta in modalità wireless.
Di conseguenza, la maggior parte delle violazioni
sono rilevate solo dopo che i clienti notano un’at-
tività fraudolenta sui loro conti. Tuttavia, esistono
delle azioni che le aziende possono intraprendere:
utilizzare terminali anti-manomissione; adottare
metodi di controllo anti-manomissione; incorag-
giare gli utenti a essere vigili facendo in modo che
segnalino immediatamente eventuali anomalie, e
infine avere uno staff dedicato a ispezionare gli ATM
il più spesso possibile per ridurre i momenti in cui
lo skimmer potrebbe agire indisturbato.
Sono sufficienti questi accorgimenti?
La battaglia contro il cybercrime continua, e gli
hacker hanno gli occhi puntati sul ricco bottino
dei dati che le istituzioni finanziarie detengono. Se
si somma questo fatto con i tempi più lunghi che
impiegano le organizzazioni a identificare le com-
promissioni, spesso settimane o mesi, rispetto ai
minuti o le ore che ci vogliono invece per subire una
violazione, è chiaro che risulta necessario adottare
un intervento più mirato.
Per ridurre il rischio, le aziende devono implemen-
tare almeno i principi base di un programma di In-
formation Risk Management e mantenere questo
investimento iniziale nel corso del tempo: dalle reti
alla tecnologia di base per la difesa dei dati quali
firewall, anti-virus, identity e access management
agli aspetti meno tecnici delle policy per la gestione
del rischio e della sicurezza e lo sviluppo dei pro-
cessi. I servizi di scansione delle vulnerabilità delle
applicazioni oggi sono proposti anche in modalità
Software-as-a-Service, consentendo alle aziende di
identificare le vulnerabilità delle applicazioni web
prima che siano sfruttate. I nostri servizi DoS De-
fense Detection & Mitigation analizzano il traffico
a livello della rete, mentre la compliance PCI può
aiutare le organizzazioni a trasformare la loro tec-
nologia e i loro processi per proteggere i dati delle
carte da attacchi skimming e web-based. In poche
parole, bisogna passare all’offensiva e non stare sul-
la difensiva, dal momento che il cybercrime esiste
e nessuno ne è immune, e questo è un dato certo.
