Indagine

Furto della proprietà intellettuale: ci vogliono anni per scoprirlo

Spesso le aziende violate sono messe a conoscenza dell’incidente direttamente dalle forze dell’ordine e faticano a rendersene conto da sole. Il dato allarmante emerge da un’indagine condotta da Verizon.

Pubblicato il 25 Ott 2012

proprietà-intellettuale-150216114837

Gli attacchi mirati alla proprietà intellettuale di un’impresa sono spesso talmente mirati, e il più delle volte condotte con l’ausilio di un “insider”, che l’organizzazione che li subisce ci mette anni per scoprirli. Il dato emerge da un’indagine pubblicata questa settimana da Verizon.

Il Verizon Data Breach Investigations Report (DBIR) Snapshot on Intellectual Property Theft fornisce l’analisi di 85 violazioni dei dati indagate dalle forze dell’ordine e dalle squadre forensi nel corso degli ultimi due anni.

Le imprese dei servizi finanziari e del settore della Pubblica Amministrazione pesano per i 2/3 sul totale delle violazioni analizzate dallo studio. Si è riscontrato che gli aggressori esterni sono spesso sollecitati da addetti ai lavori interni, che li aiutano ad arrivare a carpire segreti relativi a brevetti e altre forme di proprietà intellettuale. Spesso, durante questi attacchi si utilizzano malware e credenziali di account rubate.

Più della metà delle intrusioni ha avuto luogo presso aziende del Nord America. La maggior parte delle violazioni risulta operata da attaccanti esterni, cybercriminali “professionisti”, gruppi di attivisti o aziende concorrenti. Circa l’87% delle violazioni analizzate da Verizon riguarda la proprietà intellettuale. Nel 46% dei casi, sono stati coinvolti degli addetti ai lavori interni all’organizzazione target.

“In una percentuale compresa tra il 30 e il 35% dei casi si ha qualche tipo di collusione – ha dichiarato Jay Jacobs, co-autore del report -. Un agente esterno specificamente sollecitato da un agente interno o, al contrario, un personaggio interno corrotto con la lusinga del profitto facile da un professionista del cybercrimine”. L’analisi mette in luce come database e file server contengono l’80% circa degli asset compromessi nel corso delle violazioni analizzate.

Il personale interno “di fiducia” spesso gioca un ruolo fondamentale nel furto della proprietà intellettuale. Di frequente, infatti, i malintenzionati hanno una finestra di poche ore a disposizione per compromettere i sistemi e carpire le informazioni attraverso un accesso privilegiato messo loro a disposizione da un insider.

Il più delle volte, inoltre, ci sono voluti mesi e, talvolta, anni perché le organizzazioni che avevano subito il danno scoprissero il furto operato. In quasi la metà (48%) dei casi analizzati nella relazione, infatti, dal momento della compromissione dei dati al momento della scoperta sono passati mesi e, talvolta, anni.

Anche la determinazione della portata della violazione è risultato un processo piuttosto lungo. Nel 53% dei casi osservati violazioni ci sono voluti mesi prima che le squadre forensi capissero i termini della violazione e riuscissero a ripristinare sui sistemi le normali condizioni di funzionamento. I sistemi di monitoraggio interni, inoltre, spesso non sono riusciti a rilevare le attività anomale o non sono stati in grado di prevedere i furti in maniera proattiva. In molti casi, le imprese hanno appreso della perdita della proprietà intellettuale da parte delle forze dell’ordine.

Il ruolo del social engineering

In molti casi, gli aggressori hanno utilizzato credenziali di accesso rubate e, spesso, hanno preso di mira i dipendenti di basso e medio livello per ottenere un punto d’appoggio all’interno dell’organizzazione. Gli investigatori hanno trovato prove di malware keylogger sui sistemi di alcune organizzazioni violate.

Il malware è progettato per registrare le sequenze dei tasti premuti dalle vittime per ottenere le credenziali degli account o altre informazioni sensibili. Una volta all’interno, i criminali informatici sono andati alla ricerca di utenti privilegiati, nel tentativo di avvicinarsi ai database server o ai file server che contenevanoo le informazioni relative alla proprietà intellettuale. “L’uso di credenziali rubate è una tendenza registrata in tutti gli attacchi che abbiamo osservato – ha chiarito Jacobs -, così come il social engineering è stato al centro di molti degli attacchi iniziali, utili per ingannare i dipendenti e ottenere le loro password d’accesso ai sistemi IT protetti”.

Attacchi “brute force” e dictionary sono stati utilizzati con regolarità dai criminali informatici per ottenere l’accesso alle applicazioni, ai database e ai file server. “Autenticazione e uso di password di default sono sicuramente un tallone d’Achille in tutti i settori che abbiamo analizzato”, ha messo in guardia l’esperto.

I dipendenti di medio e basso livello sono stati coinvolti come insider in circa i 2/3 delle violazioni che hanno visto la partecipazione di un addetto ai lavori interno, seguiti a ruota dal personale dell’area “finanza” e dai dirigenti. Amministratori IT e amministratori di rete sono stati i più “virtuosi”, coinvolti in meno di una violazione su 10.

L’uso improprio, da parte dei dipendenti, delle credenziali degli account e dei privilegi di accesso è stato osservato in più della metà delle violazioni che coinvolgono il furto di proprietà intellettuale. L’appropriazione indebita o lo skimming (scrematura) sono state riscontrate nel 28% delle violazioni della proprietà intellettuale.

“Il coinvolgimento di un insider riguarda tipicamente qualcuno che lavora con i dati e i processi – ha chiarito Jacobs -. In genere si pensa al database administrator o a un utente con privilegi di tipo amministrativo, ma alla fine si scopre che, spesso, il palo è un utente finale medio, qualcuno che non è a conoscenza delle policy di sicurezza, che viene avvicinato da un agente esterno e attirato con incentivi di carattere economico a partecipare alla truffa”.

Lo studio mette in evidenza la difficoltà di identificare e tenere traccia dei dati sensibili relativi all’organizzazione e dei segreti commerciali, dicono gli esperti. Jeff VanSickel, consulente senior per la sicurezza del network presso la società SystemExperts ha detto che le organizzazioni con programmi di sicurezza molto maturi conducono una valutazione per capire meglio il grado di rischiosità agli attacchi esterni o interni alla proprietà intellettuale.

Conoscere quali dati debbano essere protetti e capire dove sono immagazzinati all’interno del sistema IT aziendale è un buon punto di partenza, secondo l’esperto.La valutazione dei dati sensibili è, però, un progetto lungo e spesso costoso, che coinvolge sia la parte commerciale che il team IT. Molte aziende scelgono il modo più opportuno per proteggere i dati piuttosto che concentrarsi sulla protezione di applicazioni altamente sensibili, sistemi e workstation attraverso appositi sistemi di monitoraggio.

Logging e monitoraggio, antivirus, intrusion detection, crittografia e controllo degli accessi devono, quindi, essere parte integrante di un programma di sicurezza completo. Un sistema di valutazione è altresì necessario per risolvere gli errori di configurazione ed eliminare le impostazioni predefinite e le password di default.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati