Il settore Media sotto attacco - stato di internet - security - Affari Italiani
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Volume 5, edizione speciale
[stato di internet] - security
Il settore Media
sotto attacco
Sommario 1 Panoramica 2 Saggio: Stessi attacchi, rischi diversi, impatto globale 4 Attacchi alle applicazioni web 9 Credential stuffing 15 Metodologie 17 Riconoscimenti
Panoramica
Da gennaio 2018 a giugno 2019, Akamai ha registrato
più di 61 miliardi di tentativi di credential stuffing e più
di 4 miliardi di attacchi alle applicazioni web. In questa
edizione speciale del Rapporto sullo stato di Internet -
Security, ci concentreremo sui dati relativi ai settori
dell'high-tech, dei contenuti multimediali video
e dell'intrattenimento, denominati collettivamente
Attacchi web in cifre
"Media e tecnologie".
gennaio 2018 - giugno 2019
Questi tre settori hanno rappresentato quasi il 35% di
tutti gli attacchi di credential stuffing e quasi il 17% degli
Numero totale degli attacchi alle
attacchi alle applicazioni web registrati da Akamai durante applicazioni web: 4.068.741.948
il periodo di analisi esaminato, pari a 18 mesi. La nostra
analisi indica che questi tre segmenti verticali subiscono
attacchi in modo coerente e costante per due ragioni:
• High-tech: 609.117.260
dati personali e aziendali. I brand presi di mira sono quelli
• Contenuti multimediali video: 143.308.490
più conosciuti e i criminali cercano di sfruttare questa
• Intrattenimento: 51.464.909
notorietà.
Sferrando direttamente attacchi alle applicazioni web,
Tipi di attacco:
i criminali sperano di esporre i record e i dati finanziari
dei clienti oppure di sfruttare un server vulnerabile al
fine di diffondere un codice dannoso: un altro movente
comune che spinge i criminali ad attaccare il settore • SQL Injection (SQLi): 69,7%
retail. Il credential stuffing colpisce i brand, ma anche • Local File Inclusion (LFI): 21,6%
i loro clienti e ciò consente ai criminali di individuare • Cross-Site Scripting (XSS): 3,5%
informazioni personali e risorse aziendali, come
i media o i prodotti digitali.
[stato di Internet] - security Il settore Media sotto attacco: volume 5, edizione speciale 1
Stessi attacchi, rischi diversi, impatti globali
Jaspal Jandu
Group CISO
DAZN
Quando si tratta di metodologie di attacco di Una delle paure più grandi delle emittenti è la
base utilizzate dai criminali per compromettere le trasmissione vuota, ossia il momento in cui tutto ciò che
organizzazioni, le emittenti e il settore dei media lo spettatore vede è lo schermo nero. Dal punto di vista
subiscono tutti gli stessi metodi di attacco che molti altri della sicurezza, gli attacchi basati su Internet, come i
segmenti verticali del settore affrontano ogni giorno. DDoS (Distributed Denial of Service), sono rischi ai quali
Sono i rischi che questi attacchi rappresentano per le ora le emittenti devono pensare durante tutta la catena di
organizzazioni operanti nel settore dei media a farci fornitura. Esistono rischi presenti da decenni all'interno di
preoccupare. settori come quello dei servizi finanziari. Il nuovo mondo
delle TV IP live, dove gli utenti fruiscono della maggior
Quando la maggior parte delle emittenti erano lineari parte dei contenuti media mondiali, presuppone che
e si doveva stare davanti al televisore a un determinato ogni possibile attacco potrebbe comportare problemi di
orario per guardare lo spettacolo, i rischi che la fidelizzazione degli abbonati, influenzare negativamente
tecnologia rappresentava erano relativamente semplici i profitti e ridurre le possibilità di offerte future per
rispetto a ciò che ci affligge oggi. Se la trasmissione live l'assegnazione di diritti. Con la visione televisiva live non
si interrompeva, probabilmente si trattava di un guasto esiste una seconda possibilità. Agli spettatori non importa
fisico: un problema di cavi o un guasto hardware. Oggi, se è colpa del fornitore: è la reputazione dell'emittente a
con l'avvento dei televisori basato su IP (TV IP) e dello pagarne le spese.
streaming Over-the-Top (OTT), i rischi sono notevolmente
aumentati e più complessi da gestire. Il settore dei media deve anche gestire un enorme
cambiamento culturale sul fronte della regolamentazione.
Il rischio lungo la catena di fornitura è un buon esempio L'integrazione di una maggiore quantità di dati ora è
di come le cose siano diventate sempre più complesse. alla base delle ambizioni strategiche di molte emittenti.
Nel mondo di oggi, i fornitori di broadcast tradizionali si La motivazione non è solo quella di aumentare lo share
stanno trasformando in aziende di software. Meccanismi di visualizzazioni, ma anche di verificare l'esistenza di
di cloud delivery, come l'IaaS (Infrastructure as a Service), opportunità in grado di offrire agli spettatori un'experience
in alcuni casi hanno reso più semplice questa transizione. di visione più personalizzata e pertinente. È molto sottile
Ma questo approccio introduce notevolmente più rischi la linea che separa l'utilizzo aziendale legittimo dei dati
per soggetti terzi e quarti di quanti non ne gestiscano dei clienti e il superamento dei limiti dell'uso accettabile:
già ora le emittenti. Si tratta di una proposta ampiamente un limite non sempre visibile. La sfida per i media è quella
differente rispetto alla situazione di dieci anni fa, quando di compensare l'esigenza di innovazione e agilità con i
la maggior parte della catena di trasmissione passava rischi creati dalle normative, in un ambiente nel quale gli
attraverso un'infrastruttura collaudata, il cui pieno utenti richiedono un'innovazione costante e opportunità di
controllo spettava alle emittenti. intrattenimento all'avanguardia.
[stato di internet] - security Il settore Media sotto attacco: volume 5, edizione speciale 2A seguito del cambiamento culturale, vi è anche una Gli stati-nazione ora fanno più attenzione alle emittenti e
carenza di competenze che ogni azienda che voglia agli outlet di media, poiché comprendono che possono
proteggere le proprie risorse digitali si trova ad affrontare. raggiungere un'audience di milioni di persone già pronta.
La sfida è individuare professionisti della sicurezza esperti, Ciò avviene non solo compromettendo le piattaforme
che comprendano l'esigenza di dover compensare di broadcast, ma anche attraverso la presenza sui social
le opportunità aziendali con i rischi di un mondo in media, utilizzati da molte emittenti e outlet di media.
continua evoluzione. Molti professionisti della sicurezza Ci sono stati almeno due casi famosi di attacchi agli stati-
provengono da settori con un livello conformità molto nazione nel settore dei media negli ultimi cinque anni.
elevato, come quello bancario e governativo, e hanno
difficoltà ad adattarsi ad ambienti più flessibili. È molto più La fiducia è essenziale per il futuro del settore dei media.
semplice indicare una normativa che non elencare i rischi Il mantenimento della fiducia dei consumatori non viene
che una particolare decisione potrebbe rappresentare per minacciato solo dalla velocità con la quale gestiamo
un'azienda creativa. i rischi noti, ma anche da come rispondiamo ai rischi
propri del nostro settore, molti dei quali semplicemente
Esiste un rischio fondamentalmente strutturale che è non esistevano fino a dieci anni fa. Di certo sappiamo
proprio del settore dei media e che ha implicazioni sociali che occorre fare un cambiamento culturale notevole per
profonde e complesse: le fake news. Le emittenti e i gestire le minacce e che non tutti hanno le competenze
social media hanno un notevole impatto sui punti di vista giuste. Le cose non cambieranno così presto; per ora,
e sulle opinioni del pubblico. Mentre si può dibattere su almeno, continueremo ad affrontare un percorso difficile
cosa siano o non siano le fake news, le vere fake news e e i rischi che affrontiamo ora potrebbero danneggiarci più
la capacità di crearne di gravi, non più distinguibili dai di quanto non immaginiamo.
contenuti reali e affidabili, rappresentano una grande
minaccia per il settore. Questi strumenti hanno il potere di
influenzare i risultati di un'elezione e possono alimentare
messaggi dannosi e che causano discordia su una scala
davvero globale. Ciò va a minare le basi della fiducia e
della nostra conoscenza del mondo intorno a noi.
Jaspal è un professionista della sicurezza esperto, con oltre 20 anni di esperienza. Negli ultimi dieci anni il suo lavoro si è concentrato
principalmente sul settore dei media. Ha un bagaglio incredibile di informazioni sui rischi affrontati dalle organizzazioni che operano nel
settore multimediale, avendo gestito alcuni degli attacchi di profilo più alto contro il settore.
Il punto di vista espresso in questo saggio è quello dell'autore e non riflette necessariamente quello di Akamai.
[stato di internet] - security Il settore Media sotto attacco: volume 5, edizione speciale 3Attacchi alle applicazioni web [stato di internet] - security Il settore Media sotto attacco: volume 5, edizione speciale 4
Gli attacchi contro il settore high-tech, che comprende multimediali, cosa comune durante gli eventi sportivi.
apparecchiature e produzione di software, oltre alla Cosa altrettanto dannosa, i criminali cercano di rubare
tecnologia e ai fornitori di servizi (come gli operatori contenuti originali per pubblicarli prima della data di
cloud, mobili, di telecomunicazioni e via cavo), hanno trasmissione prevista o per venderli su vari mercati
rappresentato la maggior parte degli attacchi osservati nel criminali. Questa è una pratica comune con giochi
settore Media e tecnologie, come mostrato nella figura 1. e software di pre-release (il cosiddetto warez in alcuni
ambienti), mentre musica e film vengono scambiati.
Per contro, gli attacchi contro il settore dell'intrattenimento,
che comprende organizzazioni come fornitori di contenuti, Il picco di attacchi di settembre 2018 ha colpito
emittenti, post-produzione, sviluppo di contenuti, ricerca un famoso brand internazionale ed era costituito
e analisi, si sono mantenuti stabili, con un picco molto esclusivamente da attacchi SQL injection (SQLi). Non è
significativo il 22 settembre 2018. Il segmento verticale chiaro cosa cercassero i criminali durante questo attacco,
dei contenuti multimediali video, che comprende ma un SQLi in genere è un attacco diretto a credenziali
la distribuzione e la delivery, nonché l'industria e altri dati. È inusuale, ma non raro, che un sito riceva un
cinematografica, ha registrato un flusso di attacchi attacco SQLi di forza bruta di una tale intensità.
altrettanto stabile che è aumentato nel tempo, culminando
in qualche picco nel secondo trimestre del 2019. Il secondo picco di attacchi contro il settore high-tech
a novembre 2018 è un caso più interessante. Questo
Questo volume costante dimostra come il settore Media attacco è stato subito da un altro brand famoso,
e tecnologie sia un obiettivo allettante per l'economia una specie di obiettivo di alto valore, tutto sommato.
criminale. Una volta compromesse, le informazioni I criminali avevano preso di mira le informazioni sensibili
personali possono essere vendute o scambiate, mentre detenute da questa azienda. Questo attacco è stato
i dati aziendali possono essere sfruttati in altri attacchi. composto da tentativi di attacchi Local File Inclusion (LFI)
Questi stessi dati possono essere utilizzati dai responsabili (82,3%), PHP Injection (9,3%), Command Injection (7,6%)
degli attacchi anche per rubare flussi di contenuti ed SQLi (0,7%).
Attacchi alle applicazioni web ogni giorno contro il settore dei media
gennaio 2018 - giugno 2019
8M
19 novembre 2018 High-tech
7.509.913 Contenuti
multimediali video
Intrattenimento
6M 22 settembre 2018
5.263.383
Attacchi (milioni)
4M
2M
0M
Feb 2018 Apr 2018 Giu 2018 Ago 2018 Ott 2018 Dic 2018 Feb 2019 Apr 2019 Giu 2019
Fig. 1 - Gli attacchi alle applicazioni hanno subito un notevole aumento dalla seconda metà del 2018: una tendenza destinata a continuare
[stato di Internet] - security Il settore Media sotto attacco: volume 5, edizione speciale 5L'attacco SQLi è rimasto il principale vettore di attacco Per contro, negli attacchi di Command Injection,
durante il periodo dei 18 mesi, con più del 70% di l'avversario è limitato alle funzioni predefinite
attacchi, seguito da Local File Inclusion (LFI) al 19,3%, dell'applicazione o servizio.
Cross-Site Scripting (XSS) al 3,9%, PHP Injection al 3,3%
e Remote File Inclusion (RFI) a meno dell'1%. L'aspetto chiave di un qualsiasi attacco injection sta
in una convalida e una gestione dei dati di scarsa
Gli attacchi SQLi sono il metodo di attacco più gettonato qualità. Tali vulnerabilità sono state rilevate in piattaforme
per i criminali che cercano di acquisire credenziali, come .NET, PHP, Java, JavaScript e Ruby on Rails.
record finanziari o qualsiasi altra cosa che un'azienda
potrebbe conservare nel proprio database. Tuttavia, come Le vulnerabilità nell'ambito del code injection possono
mostrato dalla figura 2, gli attacchi injection totali hanno essere sfruttate in gruppi o individualmente (come
rappresentato più del 98% di attacchi sferrati contro il osservato nei due giorni evidenziati nella figura 1)
settore Media e tecnologie. e le competenze necessarie a individuare e sfruttare tali
falle sono quasi inesistenti. Esistono diversi strumenti su
Attacco di code injection, che comprende SQLi, LFI, RFI Internet che effettuano una scansione automatica delle
e XSS, è un termine generico per i tipi di attacco che vulnerabilità nell'ambito del code injection e, in alcuni
consentono al responsabile di un attacco di inserire casi, anche questi strumenti rendono automatico lo
codice dannoso in un'applicazione, che verrà poi sfruttamento e l'esfiltrazione dei dati.
interpretato o eseguito. Si tratta di una cosa diversa
rispetto agli attacchi Command Injection, perché
i criminali utilizzano il proprio codice.
Principali vettori di attacco alle applicazioni web contro il settore dei media
gennaio 2018 - luglio 2019
600 M
70,8%
500 M
400 M
300 M
200 M
19,3%
100 M
3,9% 3,3%
0,7% 0,7% 1,3%
0M
SQLi LFI XSS PHPi RFI OGNLi Altro
Vettore di attacco
Fig. 2 - Gli attacchi injection totali hanno rappresentato più del 98% di attacchi sferrati contro il settore Media e tecnologie
6
[stato di internet]
[stato -di
security
Internet] / security Il settore
Il settore Media
Media sotto
sotto attacco:
attacco: 5, edizione
volume
Volume speciale
5, edizione speciale 6È importante notare che la maggior parte dei criminali Considerando la visione globale sull'origine degli attacchi
non utilizza strumenti sofisticati o specializzati. In genere, web, gli Stati Uniti hanno conservato il primo posto in
utilizzano gli stessi programmi legittimi ampiamente tutto il mondo, in tutti i segmenti verticali, seguiti da
disponibili in varie offerte per la sicurezza, come Regno Unito e Germania. Il principale obiettivo degli
Metasploit e Kali Linux. Criminali in grado di creare attacchi al settore Media e tecnologie sono stati di nuovo
strumenti su misura raramente suscitano un clamore gli Stati Uniti, con la Francia al secondo posto. Anzi,
tale da comparire nelle metriche volumetriche, come mostrato dalla figura 3, il 18,63% di tutti gli attacchi
ma ne esistono. registrati da Akamai contro gli Stati Uniti era diretto al
settore Media e tecnologie durante l'arco dei 18 mesi.
Gli attacchi injection che vanno a buon fine possono
portare a dati e risorse aziendali compromessi, come È interessante notare che nessun altro paese
record dei clienti, comunicazioni interne, piani di sviluppo nordamericano si trova tra i 10 principali obiettivi quanto
aziendali, nomi utente e password. Gli attivisti del gruppo al segmento verticale Media e tecnologie. Francia
LulzSec, nel 2010, hanno utilizzato gli attacchi XSS, RFI, (34,78%), Giappone (22,96%), Germania (11,09%) e India
LFI e SQLi, per lanciare una serie di attacchi che hanno (10,55%) sono tra i primi cinque. La Corea è un'eccezione
compromesso decine di siti web e organizzazioni. Ma interessante rispetto a questo insieme di dati, con un 64%
gli attacchi injection possono essere anche un evento totale di attacchi contro organizzazioni del settore dei
entry-level e preparare il terreno per problemi più grandi, media in Corea.
com'è successo a Heartland Payment Systems nel 2009.
Allora perché i criminali sfruttano attacchi injection? Per
prima cosa, rappresentano un ostacolo relativamente
basso per criminali carenti di competenze avanzate, grazie
all'automazione attrezzata. Il secondo motivo per il quale
questi attacchi sono tra i preferiti è perché funzionano.
Attacchi alle applicazioni - Principali obiettivi
POSIZIONE GLOBALE IN TUTTI
AREE PRESE DI MIRA SETTORE DEI MEDIA TUTTI I SEGMENTI VERTICALI
I SEGMENTI VERTICALI
Stati Uniti 636.551.596 3.416.411.545 1
Francia 27.995.960 80.501.396 8
Giappone 25.417.099 110.691.972 6
Germania 16.896.288 152.341.265 3
India 15.116.167 143.323.371 4
Paesi Bassi 12.968.664 52.918.175 11
Corea 11.007.413 17.307.359 18
Australia 10.837.898 61.597.371 10
Regno Unito 7.662.747 243.559.654 2
Regione amministrativa
6.503.057 27.502.462 15
speciale di Hong Kong
Fig. 3 - Quasi il 20% di tutti gli attacchi che hanno preso di mira gli Stati Uniti sono stati sferrati al segmento verticale Media e tecnologie
[stato di internet]
[stato -di
security
Internet] / security Il settore
Il settore Media
Media sotto
sotto attacco:
attacco: 5, edizione
volume
Volume speciale
5, edizione speciale 7Gli Stati Uniti sono di nuovo al primo posto quanto a paesi dei clienti e abusato dei servizi, per ospitare server di
di origine e attacchi nel solo settore Media e tecnologie comando e controllo delle botnet (C2). Questi server,
(figura 4). I Paesi Bassi (31,23%) sono al secondo posto, poi, sono stati usati per lanciare attacchi.
con un bel distacco.
Il recente Botnet Threat Report di Spamhaus ha elencato
Tuttavia, la sorpresa più grande è il Belize, registrato gli ISP in Belize tra i primi 20 per l'hosting C2 di botnet,
come terzo durante il periodo di analisi esaminato. Non server e siti web compromessi. Le date esaminate dal
solo il Belize è l'undicesima fonte maggiore di attacchi, report di Spamhaus corrispondevano ai picchi di traffico
ma il 68% di tali attacchi era contro il settore Media e dannoso osservati da Akamai in Belize, il che conferma
tecnologie. Dopo qualche altra ricerca, la posizione le nostre conclusioni.
maggiore sembra essere collegata ai router e ai servizi ISP
compromessi nel primo trimestre del 2019. Durante quei
mesi, i criminali hanno compromesso le apparecchiature
Attacchi alle applicazioni - Origini principali
POSIZIONE
GLOBALE
AREA DI ORIGINE
SETTORE DEI
MEDIA
TUTTI I SEGMENTI
VERTICALI
IN TUTTI I Credential stuffing in cifre
SEGMENTI
VERTICALI gennaio 2018 - giugno 2019
Stati Uniti 177.678.990 1.041.639.431 1
Paesi Bassi 90.602.359 290.096.974 3 Totale di tentativi di accesso dannosi:
Belize 71.054.852 103.372.849 11 61.192.394.742
Russia 54.058.380 822.468.109 2
Cina 51.751.691 240.602.133 4 • Contenuti multimediali video:
13.760.213.425
India 40.352.673 173.637.873 7
• High-tech: 7.533.980.169
Germania 28.651.918 147.644.005 8
Irlanda 28.172.199 82.245.577 13
• Intrattenimento: 77.292.308
Ucraina 19.804.493 181.211.429 6
Media di tentativi di accesso
Francia 16.400.882 128.396.046 9
dannosi per singolo host:
Fig. 4 - A causa di un aumento dell'attività relativa ai bot nel Belize,
il paese è balzato al terzo posto nell'elenco delle aree di origine,
mentre è 11° quanto agli attacchi web. • SQL Injection (SQLi): 69,7%
• Local File Inclusion (LFI): 21,6%
• Cross-Site Scripting (XSS): 3,5%
Il settore Media e tecnologie ha rappresentato
quasi il 35% di tutti gli accessi dannosi
[stato di Internet] - security Il settore Media sotto attacco: Volume 5, edizione speciale 8Credential stuffing [stato di internet] - security Il settore Media sotto attacco: volume 5, edizione speciale 9
L'abuso di credenziali, o credential stuffing, com'è più Quasi completamente automatizzati, gli attacchi di
comunemente noto, è un tipo di attacco che ultimamente credential stuffing si basano su applicazioni All-in-One
ha suscitato tanta attenzione. La ragione di tale attenzione (AIO), con nomi come SNIPR o STORM. Alcuni programmi
non deriva dal fatto che il credential stuffing è una novità, AIO sono gratuiti, mentre altri richiedono una quota di
ma perché il volume di attacchi in quest'area è aumentato iscrizione iniziale. Uno dei programmi più famosi, SNIPR,
in modo esponenziale negli ultimi anni. viene venduto a circa $ 20, mentre STORM (mostrato nella
figura 5) è disponibile online gratuitamente.
Akamai quest'anno si è dedicata molto al credential
stuffing e, in questo rapporto, parleremo dell'impatto Le piattaforme AIO, come STORM e SNIPR, funzionano
di questi attacchi sul settore Media e tecnologie. tramite i file di configurazione, che consentono loro
di prendere di mira vari servizi (come quelli offerti dal
settore Media e tecnologie), senza preoccuparsi troppo
Background dei limiti di velocità o di altre restrizioni di sicurezza. I file
di configurazione spesso vengono ceduti gratuitamente,
Il credential stuffing funziona prelevando un elenco di ma altre configurazioni più personalizzate possono essere
nomi utente e password, che è possibile condividere, vendute anche per più di $ 50.
vendere o scambiare liberamente e tentando varie
combinazioni a partire da questi su una piattaforma Queste applicazioni sono sviluppate per simulare
di autenticazione presa di mira. Il più delle volte, le azioni di un utente normale, perciò per difenderle
i criminali prendono di mira le API di autenticazione, ma è necessaria un'attività di pianificazione, oltre alla
alcuni attaccano direttamente i moduli di login. Mentre capacità di identificare rapidamente gli attacchi.
la maggior parte degli elenchi di combinazioni sono La maggior parte degli AIO presenta tecniche di evasione
liberamente scaricabili, altri elenchi, come quelli che si predefinite per molte misure difensive predefinite,
rivolgono a un particolare servizio o posizione geografica, perciò sono obbligatorie soluzioni personalizzate,
possono essere venduti per circa $ 5 e contengono studiate appositamente per le esigenze aziendali. Inoltre,
50.000 nomi utente e password. un qualsiasi piano di difesa deve comprendere una
formazione sulla consapevolezza per gli utenti finali,
dal momento che i criminali approfittano dell'accesso
condiviso agli account e di password riutilizzate,
deboli o facili da indovinare.
Una volta che i criminali hanno caricato nell'AIO i propri
file di configurazione e gli elenchi di combinazioni,
stabiliscono connessioni tramite proxy al sito web di
destinazione e tentano di accedere. Le voci corrette
vengono registrate e l'accesso all'account viene
scambiato o venduto. Gli account compromessi nel
segmento verticale Media e tecnologie possono
essere venduti a soli $ 5, ma alcuni account possono
arrivare anche fino a $ 15, a seconda di ciò che sono.
Fig. 5 - Il software AIO STORM è facile da usare e gratuito, il che lo
Le trasmissioni e lo sviluppo di contenuti sono gli obiettivi
rende una scelta popolare per i criminali che sferrano attacchi di chiave per il credential stuffing e gli account in questi
credential stuffing settori sono molto richiesti.
10
[stato di internet] - security Il settore Media sotto attacco: volume 5, edizione speciale 10Tentativi di accesso dannosi ogni giorno contro il settore dei media
gennaio 2018 - giugno 2019
Contenuti
27 ottobre 2018 multimediali video
200 M 211.637.129 High-tech
3 giugno 2018 Intrattenimento
133.861.006
Tentativi di accesso dannosi (milioni)
150 M
100 M
50 M
0M
Feb 2018 Apr 2018 Giu 2018 Ago 2018 Ott 2018 Dic 2018 Feb 2019 Apr 2019 Giu 2019
Fig. 6 - Due attacchi nel 2018 hanno causato più di 340 milioni di tentativi di credential stuffing
Nella figura 6, considerando lo stesso periodo di tempo di 18 mesi, è chiaramente visibile che la stragrande
maggioranza degli attacchi si concentrano su settori di contenuti multimediali video e high-tech. Il segmento verticale
dell'intrattenimento è presente, ma nel grafico si nota appena rispetto agli altri due settori. Come già precisato, gli
account in queste due aree sono gli obiettivi più sensibili e possono essere rivenduti rapidamente a scopo di lucro.
Abbiamo individuato due mesi, giugno 2018 e ottobre 2018, poiché entrambi interessanti dal punto di vista degli
attacchi.
A giugno, i responsabili degli attacchi hanno preso di mira sette organizzazioni diverse e 14 singoli host. L'obiettivo
era apparentemente quello di ottenere accesso ai dati e agli account ricchi di contenuti, da rivendere in un secondo
momento. Considerando i clienti presi di mira, i criminali cercavano di rivendere gli account nel settore dei contenuti
multimediali video e ottenere nuove credenziali e altri dati da rivendere dal settore high-tech. A ottobre, i responsabili
degli attacchi hanno colpito 18 organizzazioni diverse e 28 singoli host. Gli obiettivi, apparentemente, sembravano gli
stessi anche in questo caso.
In entrambi i casi, l'origine principale degli attacchi è stata rintracciata in Russia. Ciò è dovuto, probabilmente,
all'elevato numero di servizi proxy nel paese. Parlando di attacchi contro i segmenti verticali Media e tecnologie,
la Russia è direttamente seguita da Canada, Brasile, Malesia e Cina. Ognuna di queste aree geografiche è nota
per i servizi proxy, la pirateria, nonché la rivendita e lo scambio di account.
11 [stato- di
[stato di internet] Internet]
security / security Il settore Media sottoMedia
Il settore attacco:
sottoVolume
attacco:5, edizione
volume speciale
5, edizione speciale 11Media di tentativi di accesso dannosi per segmento verticale
MEDIA DI TENTATIVI DI ACCESSO DANNOSI
SEGMENTO VERTICALE TENTATIVI DI ACCESSO DANNOSI
PER SINGOLO OBIETTIVO
Retail 24.245.971.895 26.556.377
Contenuti multimediali video 13.760.213.425 151.211.137
High-tech 7.533.980.169 35.537.642
Hotel e viaggi 4.860.206.037 23.941.902
Servizi finanziari 3.900.240.393 27.466.482
Manifatturiero 2.615.438.681 74.726.819
Beni di largo consumo 1.560.726.138 18.803.929
Social media 1.079.139.624 37.211.711
Gaming 645.181.719 25.807.269
Altri contenuti multimediali digitali 331.455.583 5.815.010
Servizi consumer 311.243.282 14.147.422
Automobilistico 97.816.354 13.973.765
Media & Entertainment 77.292.308 4.294.017
Pubblica amministrazione 75.116.539 4.694.784
Servizi business 35.908.816 1.158.349
Fig. 7 - La media di attacchi per singolo host nel settore dei contenuti multimediali video risultanti tra i primi rispetto a qualsiasi altro
segmento verticale
Nella figura 7, esaminiamo il numero di accessi dannosi Gli obiettivi principali negli attacchi di credential stuffing
per ogni singola vittima. In base ai dati, possiamo vedere durante l'arco di tempo di 18 mesi, come si nota dalla
che, mentre il retail è il segmento verticale migliore, figura 8, sono stati gli Stati Uniti, l'India, il Canada,
i contenuti multimediali video e l'high-tech spopolano, Singapore e l'Australia. Le aziende legate a queste aree
il che significa che, in media, vengono colpiti più geografiche sono tra i brand migliori del mondo nel
duramente. Anzi, il tasso di attacchi per singolo host settore Media e tecnologie. Gli account e i dati che
contro i contenuti multimediali video è quasi cinque queste aziende conservano in queste aree sono preziosi
volte il tasso di attacchi contro gli altri, se si prendono e possono essere facilmente scambiati o venduti a scopo
in considerazione tutti i segmenti verticali. di lucro. I criminali inseguono il denaro.
Un'altra cosa che balza all'occhio nella figura 6 è il Gli attacchi di credential stuffing hanno avuto origine
livello coerente di attacchi. Nei mesi estivi, ossia quando principalmente negli Stati Uniti, in Russia, in Canada, in
vengono pubblicate nuove release su varie piattaforme, Germania e in India. La ragione per la quale la Russia e
gli attacchi subiscono un picco e lo stesso succede nei l'India sono così alte nella classifica sono i servizi proxy,
mesi autunnali, ma anche durante tutto l'anno ci sono che semplificano il mascheramento della vera origine
milioni e milioni di attacchi di credential stuffing in tutto degli attacchi. Akamai vede soltanto l'ultimo sistema
il web. Ovviamente, questo problema non scomparirà, utilizzato in un attacco e non riesce a individuare altro.
ma è destinato a restare.
12
[stato di internet] - security Il settore Media sotto attacco: volume 5, edizione speciale 12Tentativi di accesso dannosi - Principali obiettivi
POSIZIONE GLOBALE IN TUTTI I SEGMEN-
AREA COLPITA SETTORE DEI MEDIA TUTTI I SEGMENTI VERTICALI
TI VERTICALI
Stati Uniti 17.554.816.847 46.897.833.276 1
India 2.455.628.895 3.702.332.247 3
Canada 1.156.597.318 1.487.337.095 4
Singapore 47.008.228 55.117.432 18
Australia 42.773.334 198.379.421 9
Repubblica Ceca 36.139.380 36.139.380 19
Paesi Bassi 15.614.129 15.770.397 22
Cina 15.105.040 4.758.443.883 2
Germania 12.683.512 1.280.565.528 5
Italia 7.532.004 106.015.785 14
Fig. 8 - Gli Stati Uniti e l'India sono stati i principali obiettivi degli attacchi di credential stuffing
Solo perché l'indirizzo IP del responsabile di un attacco è in Russia, non significa che anche il responsabile lo sia. I
criminali che sferrano attacchi di credential stuffing si affidano a impostazioni proxy non solo per evadere le misure di
sicurezza, ma anche per offrire un livello di mascheramento della propria identità.
Durante la nostra ricerca, abbiamo trovato un servizio proxy che offriva l'accesso a prezzi che andavano da $ 30 a $ 200
alla settimana. Il costo dipende dalla posizione del server proxy e dalle limitazioni dell'account. L'opzione più economica,
che si trova in Australia, ha un limite di 50 connessioni simultanee (thread) e vantava di più di 200 server disponibili
per le connessioni (il cosiddetto pool). La Cina offriva una delle opzioni più costose: un limite di thread di 500 e più di
20.000 server nel pool.
Tentativi di accesso dannosi - Principali origini
POSIZIONE GLOBALE IN TUTTI I SEGMEN-
AREA DI ORIGINE SETTORE DEI MEDIA TUTTI I SEGMENTI VERTICALI
TI VERTICALI
Stati Uniti 5.978.803.240 19.946.636.280 1
Russia 2.811.700.327 5.080.433.712 2
Canada 1.767.056.222 2.423.776.410 4
Germania 883.080.860 1.727.582.602 8
India 790.854.971 2.167.920.536 5
Vietnam 750.780.050 1.618.414.860 10
Brasile 692.183.261 2.834.964.769 3
Francia 518.293.553 1.358.495.125 13
Paesi Bassi 448.213.143 1.386.280.155 12
Regno Unito 424.914.180 1.140.233.591 14
Fig. 9 - Gli Stati Uniti e la Russia sono stati di nuovo le principali fonti di origine di attacchi di credential stuffing online durante il periodo
di 18 mesi preso in esame
13 [stato- di
[stato di internet] Internet]
security / security Il settore Media sottoMedia
Il settore attacco:
sottoVolume
attacco:5, edizione
volume speciale
5, edizione speciale 13Conclusione Esagerare è impossibile: gli attacchi web e il credential stuffing sono minacce reali a lungo termine. Fanno entrambi parte di un'economia criminale più ampia, alimentata da un legame simbiotico. Quando si parla di sviluppare elenchi di combinazioni per il credential stuffing, uno dei metodi più comuni è quello di scaricare i dati da un database appena compromesso. Come tale, un attacco SQLi può diventare un attacco di credential stuffing in pochi secondi. Ma affrontare queste minacce non è semplice. Richiede alle organizzazioni di collaborare con i propri fornitori di servizi di sicurezza e ai clienti di affrontare le cause principali degli attacchi. [stato di Internet] - security Il settore Media sotto attacco: Volume 5, edizione speciale 14
Metodologie [stato di internet] - security Il settore Media sotto attacco: volume 5, edizione speciale 15
Attacchi web L'Akamai Intelligent Edge Platform è una rete di oltre 240.000 server su migliaia di reti in tutto il mondo. Kona WAF viene utilizzato per proteggere questo traffico e le informazioni sugli attacchi vengono trasferite a uno strumento interno denominato CSI (Cloud Security Intelligence). Questi dati, misurati in petabyte al mese, vengono utilizzati per fare ricerche sugli attacchi, comprendere le tendenze e trasferire ulteriore intelligence nelle soluzioni Akamai. Questi dati rappresentano milioni di avvisi ogni giorno a livello di applicazioni, ma non indicano un compromesso vincente. I piani e le tabelle fornite in questa sezione si limitano ai record registrati tra gennaio 2018 e giugno 2019. Abuso di credenziali Anche i dati per questa sezione sono stati presi dal repository di CSI. I tentativi di abuso di credenziali sono stati identificati come tentativi di accesso non riusciti ad account che utilizzano un indirizzo e-mail come nome utente. Per identificare i tentativi di abuso, rispetto ad utenti reali che hanno problemi a digitare le proprie credenziali, vengono usati due algoritmi. Il primo algoritmo è una semplice regola volumetrica che conta il numero di tentativi non riusciti a un indirizzo specifico. Questo metodo differisce da ciò che una singola organizzazione potrebbe essere in grado di rilevare perché Akamai mette in correlazione dati provenienti da centinaia di organizzazioni. Il secondo algoritmo utilizza i dati provenienti dai nostri servizi di rilevamento dei bot per identificare un abuso di credenziali da botnet e strumenti noti. Una botnet ben configurata può evitare il rilevamento volumetrico distribuendo il suo traffico su più obiettivi o nel corso del tempo oppure usando un gran numero di sistemi durante la sua operazione di scansione, solo per menzionare alcune contromisure. Questi record sono stati raccolti tra gennaio 2018 e giugno 2019. [stato di Internet] - security Il settore Media sotto attacco: Volume 5, edizione speciale 16
Riconoscimenti
Collaboratori del rapporto sullo stato di Internet - Security
Omri Hering Lydia LaSeur
Data Analyst Senior - Data Scientist -
Abuso di credenziali Abuso di credenziali, Attacchi web
Responsabili editoriali
Martin McKeay Amanda Fakhreddine
Editorial Director Sr. Technical Writer, Managing Editor
Steve Ragan Lydia LaSeur
Sr. Technical Writer, Editor Data Scientist
Marketing
Georgina Morales Hampe Murali Venukumar
Project Management, Creative Gestione dei programmi, Marketing
Altri rapporti sullo stato di Internet - Security
Leggete i numeri precedenti e guardate le prossime uscite degli acclamati rapporti sullo stato di
Internet - Security sul sito akamai.com/soti
Altre informazioni sulla ricerca delle minacce Akamai
Restate aggiornati con le ultime intelligence sulle minacce, rapporti sulla sicurezza e ricerche sulla cybersicurezza
sul sito akamai.com/threatresearch
Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. L'Akamai Intelligent Edge Platform permea ogni ambito,
dalle aziende al cloud, permettendovi di lavorare con rapidità, efficacia e sicurezza. I migliori brand a livello globale si affidano ad Akamai per
ottenere un vantaggio competitivo grazie a soluzioni agili in grado di estendere la potenza delle loro architetture multicloud. Più di ogni altra
azienda, Akamai avvicina agli utenti app, experience e processi decisionali, tenendo lontani attacchi e minacce. Il portfolio Akamai di soluzioni
per l'edge security, le web e mobile performance, l'accesso aziendale e la delivery di contenuti video è affiancato da un servizio clienti di assoluta
qualità e da un monitoraggio 24/7/365. Per scoprire perché i principali brand del mondo si affidano ad Akamai, visitate il sito www.akamai.com o
blogs.akamai.com e seguite @Akamai su Twitter. Le informazioni di contatto internazionali sono disponibili all'indirizzo www.akamai.com/locations.
Data di pubblicazione: 09/19.
[stato di internet] - security Il settore Media sotto attacco: volume 5, edizione speciale 17Puoi anche leggere
