Verizon 2016 Data Breach Investigations Report

Servizi finanziari

Negli ultimi anni, il cambiamento dei requisiti di compliance normativa ha causato numerosi disequilibri nel settore dei servizi finanziari. Mentre le organizzazioni reagiscono ai cambiamenti, gli incidenti di sicurezza – largamente causati da intrusioni e furti – sono diventate di stretta attualità.

L’edizione 2016 del Verizon Data Breach Investigations Report (DBIR) si basa su nove tipologie di violazioni già individuate nel nostro report del 2014. Solo tre di queste categorie rappresentano l’88% di tutti gli incidenti nel settore dei servizi finanziari, prevalentemente con attacchi alle applicazioni web e attacchi denial of service (DoS). Il dataset di Verizon comprende numerose istituzioni finanziarie di tutto il mondo, tra cui banche commerciali, istituti di brokeraggio, compagnie assicurative e cooperative di credito.

Gli attacchi alle applicazioni web hanno costituito il 48% di tutti gli incidenti di sicurezza nel settore dei servizi finanziari. Questo è dovuto all’impatto, nel 2015, di Dridex – una tipologia di malware ideata per introdursi nei conti bancari, che ha causato un’impennata nel numero di casi. Gli attacchi DoS hanno rappresentato il 34% degli incidenti complessivi. Questi ultimi sono in generale una potente minaccia per le imprese, ma sono anche sempre più usati per perpetrare violazioni di sicurezza dei dati finanziari. Lo skimming di carte di pagamento ha contato per il 6% degli incidenti.

Scopriamo queste tre tipologie di incidenti in modo più approfondito e come è possibile migliorare i propri sistemi di difesa.

Attacchi alle applicazioni web

Gli attacchi alle applicazioni web si verificano quando gli hacker usano credenziali rubate o sfruttano vulnerabilità nelle applicazioni web – sistemi di content management (CMS) o piattaforme di e-commerce nella maggior parte dei casi.

Quasi la metà di tutti gli incidenti di sicurezza nel settore dei servizi finanziari rientrano nella tipologia di attacchi alle applicazioni web – la quota più significativa di qualunque settore che abbiamo considerato.

Il drammatico incremento nel numero di attacchi alle applicazioni web presentato nel DBIR di quest’anno è dovuto alle nuove informazioni raccolte dalle organizzazioni rimaste coinvolte nel “takedown” della botnet Dridex del 2015. Quest’ultimo ha rappresentato l’82% di tutte le violazioni in cui si è verificato un furto di dati.

In molti incidenti sono state sfruttate delle credenziali rubate, infettando i dispositivi con virus che catturano le combinazioni dei tasti. La maggior parte degli attacchi non erano mirati, ma piuttosto il risultato di infezioni da malware opportunistici.

Qual è la soluzione?

  • Utilizzare l’autenticazione a due fattori: l’autenticazione basata su una password a singolo fattore non è adatta per la protezione di dati critici. È preferibile usare l’autenticazione a due fattori per mettere in sicurezza tutte le applicazioni web, bloccare gli account dopo ripetuti tentativi falliti e considerare anche l’utilizzo della biometrica.
  • Applicare rapidamente le patch: istituire un valido procedimento di patch per tutte le piattaforme CMS e i plugin di terze parti.
  • Monitorare tutti gli accessi: rivedere il bilanciamento dei carichi, le applicazioni web e le transazioni registrate sul database per aiutare nell’identificazione di attività malevoli e convalidare tutti gli accessi.

Denial of Service

Gli attacchi DoS sono una forma dolosa di disruption. Essi utilizzano botnet per compromettere un network attraverso elevati volumi di traffico, comportando una battuta di arresto nelle attività e bloccando servizi chiave per le aziende.

Gli attacchi DoS continuano a crescere in misura, frequenza e complessità con picchi di banda in decine di gigabits per secondo, sufficienti per bloccare anche l’infrastruttura più solida.

A differenza di altri tipi di attacco, che tentano di raccogliere dati sensibili e potenzialmente redditizi, gli attacchi DoS sono ideati per causare danni all’organizzazione. Possono colpire sistemi critici come le piattaforme di online banking, gestione delle policy, di quoting e di trading, costando potenzialmente milioni al giorno in perdite di fatturato – senza menzionare l’eventuale danno alla reputazione aziendale.

Qual è la soluzione?

  • Isolare gli asset: in questo modo è possibile prevenire l’utilizzo di sistemi meno vitali per lanciare attacchi su quelli critici per il business. Isolare i sistemi più importanti su differenti circuiti di rete.
  • Avere un piano di mitigation: conoscere i dettagli del proprio servizio di Dos mitigation – e quello che è possibile aspettarsi in termini di disponibilità di servizi e di infrastrutture. Formare il personale chiave sulle migliori azioni da intraprendere qualora dovesse verificarsi un incidente.
  • Verificare le lacune: non bisogna aspettare che una violazione accada per scoprire che ci sono lacune o mancanze nel proprio piano. È fondamentale testare e aggiornare la propria infrastruttura e i processi nel momento in cui ci sono cambiamenti o emergono nuove minacce.

Skimming delle carte di pagamento

Lo skimming delle carte di pagamento avviene tramite l’installazione di “skimmer” su sportelli bancomat (ATM), terminali POS o pompe di carburante per leggere i dati della banda magnetica della carta al momento del pagamento.

Lo skimming resta un crimine redditizio, apparentemente facile da eliminare. La maggior parte degli attacchi sono riconducibili a organizzazioni criminali. Gli “skimmer” possono essere particolarmente difficili da individuare, anche per un occhio attento.

Mentre gli skimmer delle carte di pagamento costituiscono appena il 6% degli incidenti in questo settore, essi rappresentano un caso su dieci di tutte le violazioni di dati confermate (9%) – secondo solo agli attacchi alle applicazioni web.

Tutte le violazioni di skimming delle carte di pagamento nei servizi finanziari sono relative agli sportelli bancomat (ATM). Questo significa che le filiali possono affrontare la maggior parte degli incidenti di skimming semplicemente monitorando i propri sportelli.

Qual è la soluzione?

  • Monitorare i terminali di pagamento: stabilire un processo per controllare l’integrità fisica degli sportelli bancomat e di altri terminali, introducendo corsi di aggiornamento per gli impiegati.
  • Valutare la sostituzione degli ATM: alcuni sportelli automatici sono più resistenti alle manomissioni di altri, fattore da prendere in considerazione quando si acquistano nuove attrezzature.
  • Usare dispositivi di controllo che rendano evidente la manomissione: monitorare le riprese a circuito chiuso degli sportelli automatici per tenere sotto controllo segnali di manomissione e considerare l’applicazione di adesivi sui terminali che si rompono in caso di manomissione.

Grafico 2

Il Data Breach Investigations Report (DBIR) è il report più completo della sua categoria. Giunto al nono anno di pubblicazione, raccoglie violazioni di dati da tutto il mondo, con l’obiettivo di rivelare cosa sta davvero succedendo nel panorama della cybersecurity. L’edizione 2016 fornisce informazioni su oltre 100.000 incidenti di sicurezza da 82 paesi diversi, con oltre 2.260 violazioni di sicurezza analizzate.

Almeno un terzo degli incidenti nel settore dei servizi finanziari è stato scoperto nel giro di qualche giorno, o meno. Ma il 15% è rimasto sconosciuto per mesi o più. I sistemi nel settore finanziario sono stati compromessi nel giro di minuti o meno nel 98% dei casi. Questo suggerisce che gli attaccanti hanno molto tempo per trovare quei dati potenzialmente redditizi che stanno cercando.

Condividi sui Social Network:

Articoli simili