Il Microsoft Security Intelligence Report analizza le minacce ‘zero-day’

di |

Europa


Durante la Conferenza RSA Europa 2011, Microsoft Corp. ha presentato il Microsoft Security Intelligence Report volume 11 (SIRv11), in cui viene segnalato che meno dell’1% degli exploit della prima metà del 2011 era rivolto contro vulnerabilità “zero-day“, ovvero vulnerabilità software che vengono sfruttate prima che il fornitore pubblichi un aggiornamento per la sicurezza o “patch”. In questo stesso periodo, il 99% di tutti gli attacchi hanno distribuito malware utilizzando tecniche comuni, quali il social engineering e vulnerabilità senza patch. Nel report, Microsoft sottolinea il fatto che alcune delle minacce più comuni possono essere attenuate ricorrendo a best practice efficaci per la sicurezza.

SIRv11 ha inoltre rivelato che circa metà (il 45%) dell’intera incidenza del malware della prima metà del 2011 è da attribuirsi all’interazione tra gli utenti, generalmente basata su tecniche di social engineering. Inoltre, più di un terzo di tutto il malware si diffonde tramite un uso cybercriminale di Win32/Autorun, una funzionalità che avvia automaticamente i programmi quando al PC viene collegato un supporto esterno, ad esempio CD o USB. Nel 90% dei casi di infezione attribuiti allo sfruttamento di vulnerabilità, il fornitore del software aveva reso disponibile da oltre un anno un aggiornamento per la sicurezza.

“Incoraggiamo gli utenti a tenere in considerazione queste informazioni quando stabiliscono la priorità delle procedure di protezione“, ha dichiarato Vinny Gullotto, general manager di Microsoft Malware Protection Center. “SIRv11 offre tecniche e istruzioni per ridurre gli strumenti di infezione più comuni e i dati che fornisce contribuiscono a ricordarci che non possiamo ignorare le nozioni di base. Tecniche quali lo sfruttamento di vecchie vulnerabilità, l’uso improprio di Win32/Autorun, la violazione di password e il social engineering continuano a rappresentare approcci efficaci per i criminali“.

Nel report Microsoft include istruzioni mirate per spiegare agli utenti quali sono le tecniche di social engineering più utilizzate, come creare password complesse e come gestire gli aggiornamenti per la sicurezza. Microsoft descrive inoltre come limitare l’uso improprio di Win32/Autorun avvalendosi degli aggiornamenti rilasciati all’inizio di quest’anno per Windows XP e Windows Vista (in Windows 7 tali aggiornamenti sono già inclusi), che impediscono l’attivazione automatica della funzionalità Win32/Autorun per la maggior parte dei supporti. Entro quattro mesi dalla pubblicazione dell’aggiornamento, il numero di infezioni causate dalla più prolifica famiglia di malware basata sull’uso improprio di Win32/Autorun si è ridotto, rispetto alle percentuali di infezione del 2010, di quasi il 60% in Windows XP e del 74% in Windows Vista.

L’analisi delle minacce online globali, inclusi gli exploit “zero-day“, offerta da SIRv11 aiuta i nostri clienti a ottimizzare l’assegnazione di priorità alle difese, in modo da rendere più efficace la gestione dei rischi”, ha affermato Brad Arkin, senior director, product security and privacy di Adobe. “Sottolinea inoltre l’importanza di mantenere i sistemi sempre aggiornati con le soluzioni di protezione più recenti“.

Per contribuire a proteggere reti e sistemi, Microsoft adotta un approccio diversificato alla gestione dei rischi:

· Creare prodotti e servizi tenendo in considerazione la protezione. Microsoft e altri fornitori, ad esempio Adobe Systems Inc., hanno investito per aumentare e migliorare le misure di sicurezza di maggiore impatto, come la protezione basata sulla progettazione. Da luglio del 2010, le vulnerabilità individuate sono diminuite di circa il 24%, rispettando la generale tendenza al calo registrata negli ultimi cinque anni.

· Formare clienti e dipendenti. Le aziende dovrebbero concentrarsi sulla formazione dei dipendenti, in modo che comprendano le proprie responsabilità per quanto riguarda la protezione, e supportare tale attività sviluppando e applicando criteri di sicurezza aziendali in aree come quella delle password.

· Adottare i prodotti e i servizi più recenti. L’aggiornamento ai prodotti e ai servizi più recenti contribuisce ad aumentare la protezione contro le più diffuse minacce online. Ad esempio, Windows 7 e Windows Server 2008 R2 registrano il più basso tasso di infezione rispetto a qualsiasi altro sistema operativo Windows precedente. Nella prima metà del 2011, Windows 7 Service Pack 1 per i sistemi a 32 bit presentava una probabilità di infezione tre volte inferiore rispetto a Windows Vista Service Pack (SP) 2 e sei volte inferiore rispetto a Windows XP SP3. Le probabilità di infezione di Windows Server 2008 R2 erano del 32% inferiori rispetto a Windows Server 2003 SP2.

· Prendere in considerazione i servizi cloud. In un ambiente di cloud computing, il fornitore del cloud gestisce gran parte delle procedure e dei processi relativi alla protezione e necessari per mantenere i sistemi aggiornati, inclusa l’installazione degli aggiornamenti per la sicurezza. Le aziende e i clienti che devono gestire la protezione dei propri ambienti di elaborazione possono usufruire dei servizi cloud per ridurre le attività richieste in quest’area.

Le organizzazioni possono decidere di avvalersi del cloud per avere la certezza che i servizi utilizzati dispongano delle soluzioni di protezione più aggiornate. I fornitori di servizi cloud, come Microsoft, possiedono le risorse necessarie per concentrarsi sulla sicurezza“, ha dichiarato Adrienne Hall, general manager di Microsoft Trustworthy Computing. “La transizione della gestione di una parte delle funzioni di protezione consente di liberare risorse, che potranno essere allocate ad altre aree relative alla sicurezza o a progetti IT diversi“.

Microsoft elabora il Security Intelligence Report due volte l’anno per mantenere il settore informato sul mutevole scenario delle minacce e per fornire ai clienti istruzioni utili per proteggere le proprie reti. SIRv11 offre una panoramica delle minacce online relative al periodo compreso tra gennaio e giugno del 2011 e un’analisi dei dati provenienti da più di 100 aree geografiche in tutto il mondo. Per ulteriori informazioni sul SIRv11, visitare il sito all’indirizzo http://www.microsoft.com/sir.