Secondo i dati del recente "Mobile Security Report 2017", rilasciato da Cybersecurity Ventures, le connessioni Wi-Fi e mobile peseranno per l'80% circa del traffico Internet globale nel 2025. La stessa ricerca stima, poi, che nel 2020 il 30% del traffico IP nel mondo sarà rappresentato da connessioni operate attraverso smartphone (erano l'8% nel 2015), destinate a diventare il 55% nel 2025.

Anche in Italia la situazione non cambia. Secondo le ultime evidenze dell'Osservatorio Mobile B2c Strategy della School of Management del Politecnico di Milano, infatti, gli italiani sono sempre più inseparabili dagli smartphone: per il 50% dei surfer, il mobile ha già soppiantato – o sta gradualmente sostituendo – il pc, mentre per il 38% le due piattaforme hanno la medesima rilevanza. È alta, inoltre, la percentuale dei mobile surfer che non disattiva mai la connettività dei propri smartphone: oltre due terzi degli intervistati (68%) ammette di avere il Wi-fi sempre attivo, mentre la percentuale scende a poco più di un terzo (37%) per la geo-localizzazione e al 19% per il Bluetooth. Le aziende sono consce dell'importanza che questo strumento ha per le proprie strategie e, su 170 aziende intervistate, solo l'8% non ha ancora lavorato per rendere mobile responsive il proprio sito web.

La moda delle App

Smartphone e tablet stravolgono completamente lo scenario della produttività dei lavoratori e quello delle interazioni con i clienti/utenti. Oltre agli aspetti legati all'uso di device personali per finalità di lavoro, non va trascurata un'altra questione fondamentale: il fenomeno (dilagante) delle App mobile. Secondo i dati della "Mobile Security and Risk Review" stilata da MobileIron, all'adozione massiccia dello smartphone come strumento di lavoro non corrisponde un'adeguata risposta alle minacce informatiche: il 79% delle imprese usa oltre una decina di App, ma la sicurezza non è sempre all'altezza. A conferma di questa tendenza arrivano i dati (allarmanti) sulle infezioni da malware: HummingBad ha già infettato oltre 85 milioni di device, QuadRooter è stato individuato su circa 900 milioni di device e The Godless su circa 850mila. Il problema è che la mobile security è una competenza tutto sommato ancora "nuova" per molte imprese e le policy interne sembrano incapaci di tenere il passo con l'evoluzione tecnologica.

Gartner stessa, nel suo studio "Predicts 2017: Endpoint and Mobile Security", ipotizza per quest'anno un incremento esponenziale degli attacchi mobile (di cui i casi noti Pegasus e XcodeGhost sembrano essere stati solo un "assaggio") e delle vulnerabilità di questi ambienti tra le quali spiccano, negli ultimi mesi, Stagefright e Heartbleed, giusto per citarne un paio.

Gli analisti del response team della nota società di ricerca confermano che lo spyware Pegasus, per esempio - che a metà del 2016 ha attaccato milioni di dispositivi a cuore iOS (il sistema operativo mobile di casa Apple, installato su iPhone e iPad) - è stato rinvenuto (nella varianti Chrysaor o Exaspy) anche negli smartphone Android qualche settimana fa. Gli attacchi perpetrati attraverso questi spyware sfruttano vulnerabilità "zero day" (cioè per le quali non sono stati ancora rilasciati i rimedi, le patch) per guadagnarsi l'accesso a fotocamere, sistemi GPS e microfoni del telefonino e spiare l'ignaro utente, oltre ad aprirsi un varco per "rovistare" nei suoi contatti e-mail, nella cronologia dei suoi browser web, nelle conversazioni in chat e in quelle telefoniche.

Nel 2015 Apple ci ha messo un po' di tempo a rimuovere dall'App Store diverse decine di App legittime, che però erano state infettate con del codice malevolo, denominato XcodeGhost, in grado di rubare credenziali e altre informazioni sensibili dello smartphone sul quale erano installate, oltre che di reindirizzare gli utenti verso siti web compromessi.

Stagefright è, invece, una grave falla che si annidava all'interno del sistema operativo mobile Android fino a circa un anno e mezzo fa e che affliggeva ben il 95% dei dispositivi "powered by Android". Questo metaexploit andava a intaccare il framework che si occupava di processare e riprodurre i file multimediali. I cracker erano, quindi, in grado di infettare lo smartphone del malcapitato semplicemente inviando al suo numero di telefono un messaggio multimediale (MMS) contenente un particolare set di istruzioni.

Ora immaginiamoci le conseguenze nel caso in cui lo smartphone in questione sia quello di un dipendente che accede quotidianamente ad applicazioni e dati aziendali, oppure quello (ed è un caso accaduto realmente e raccontato su tutti i media) di un membro del partito democratico statunitense che lavora alla campagna di un candidato alle elezioni presidenziali americane (Hillary Clinton)? il mobile cyber espionage è servito!

Secondo quanto emerge dal "2017 Mobile Security Report" pubblicato da Crowd Research Partners, condotto su un campione di oltre 1.900 CISO e Security Manager di importanti aziende globali, esiste una correlazione diretta tra la crescita esponenziale del numero di device mobile in uso e gli attacchi cyber operati ai danni di queste piattaforme. Si tratta di eventi che, dal furto delle credenziali, spesso sconfinano in veri e propri breach e attacchi malware ai danni degli ambienti IT aziendali, operati sfruttando gli smartphone dei dipendenti come veri e propri "cavalli di Troia". Un pericolo di cui gli utenti sono consci: stando alle percezioni degli intervistati, infatti, le maggiori preoccupazioni riguardanti la diffusione su ampia scala di strategie BYOD in azienda sono relative alla perdita dei dati (citata dal 69% del campione), al download di applicazioni o contenuti insicuri (64%) e all'introduzione di malware all'interno degli ambienti IT aziendali (63%).
A questo proposito, tutte le ricerche evidenziano una letterale "esplosione" del fenomeno ransomware, favorito nella sua diffusione presso le aziende proprio dalle policy legate al BYOD. Il 2016 che ha visto una media di 2.500 attacchi al secondo nel mondo, con 247 nuove varianti scoperte a fine anno (contro le 29 isolate a gennaio 2016). E il dato più scioccante è che questi attacchi hanno portato nelle casse dei criminali una cifra intorno al miliardo di dollari.

Cresce, quindi, negli ultimi mesi il ricorso a soluzioni e servizi di Mobile Threat Defense (MTD), anche eventualmente in abbinamento a soluzioni di Enterprise Mobility Management (EMM) che, secondo gli esperti di Gartner, verranno implementati o sottoscritti da almeno un'azienda su 4 (il 25%) entro la fine del prossimo anno.

Le strategie di sostegno alla mobilità dei lavoratori (BYOD, Bring Your Own Device) e le mobile App rappresenteranno una delle principali fonti di minaccia alla sicurezza aziendale nei prossimi anni: il pericolo, nel caso in cui non ci si cauteli a dovere, è per esempio di spianare l'accesso alle infrastrutture di videosorveglianza della propria azienda, favorendo così furti di dati e intrusioni "fisiche" all'interno di sedi principali e secondarie? il tutto senza bisogno neppure di una riga di codice di programmazione: Exaspy, per esempio, è disponibile sotto forma di Spyware-as-a-Service già da diversi mesi, in grado di infettare con estrema facilità (e a basso costo) gli smartphone a cuore Android. Una tendenza destinata a crescere nei prossimi mesi, almeno secondo le proiezioni degli analisti Gartner?

 

BYOD sì ma solo se è sicuro

Aumentare l'indipendenza dal dispositivo è una questione fondamentale per le aziende che decidono di assecondare l'uso per finalità lavorative di smartphone e tablet personali.

Da un punto di vista della sicurezza, l'architettura ha bisogno di cambiamenti che rendano la rete il punto di controllo primario. Con il BYOD, dato che il dispositivo non è di proprietà dell'organizzazione, si pone il problema che il device non può essere protetto come se fosse un endpoint aziendale. La sicurezza deve, quindi, essere garantita in qualche altro punto della rete. Implementare i controlli di accesso al network, la segmentazione della rete e controlli dinamici sugli accessi, basati sul livello di fiducia del dispositivo e dell'utente, è pertanto necessario. Dovranno, in definitiva, essere stabilite policy e interventi precisi per analizzare e bloccare i dispositivi non autorizzati all'accesso al network aziendale.

Per la completa disponibilità del BYOD è necessario fornire diversi livelli di supporto a diverse tipologie di dispositivi. Occorrerà trovare il giusto equilibrio tra il sostenere una più ampia gamma di dispositivi e il garantire un minore livello (e costo) di supporto.
Le policy BYOD dovranno poi essere sufficientemente flessibili e all'avanguardia per rispondere ai nuovi scenari e casi d'uso. Le policy dovranno essere riviste regolarmente, comunicando tempestivamente agli utenti finali le novità e i cambiamenti introdotti. Assicurarsi che esistano policy che prevedono la pulizia completa dei dispositivi remoti in caso di furto del device o di uscita dall'organizzazione del dipendente è una condizione essenziale.


Controllo dinamico degli accessi
L'implementazione del controllo dinamico degli accessi è essenziale D per estendere la rete aziendale al BYOD. Con gli utenti ormai abituati a essere connessi sempre, ovunque e su qualsiasi dispositivo, un unico livello di accesso non è più appropriato. Gli endpoint possono essere tenuti sotto controllo in vari modi, attraverso la localizzazione fisica e virtuale, verificando la cronologia degli utilizzi e in altri modi. I test possono aiutare a determinare le condizioni di sicurezza del dispositivo e i server di directory dovrebbero essere pensati per fare da "arbitri", prevedendo l'accesso completo alle risorse IT aziendali da parte dei soli device di proprietà della società e da essa direttamente gestiti tramite tunnel (reti private virtuali) basati su protocolli come IPSec (Internet Protocol Security) o SSL (Security Socket Layer). I dispositivi controllati direttamente dagli utenti, registrati preventivamente nel programma BYOD, dovrebbero invece ottenere un accesso parziale, attraverso thin client, corridoi SSL o NAC (Network Access Control). I dispositivi non registrati o sconosciuti, infine, che possono essere solo parzialmente autenticati, devono poter beneficiare di un accesso estremamente limitato alle applicazioni e ai server interni tramite protocollo SSL, lavorando in una configurazione clientless.
 

 

5 luglio 2017