In uno scenario di mercato in cui la componente digitale di qualsiasi business è costantemente nel mirino dei criminali informatici, i professionisti di cyber security sono chiamati a innalzare le difese aziendali non solo con mezzi tecnologici, organizzativi e procedurali ma anche attraverso una costante opera di studio per essere informati e divulgare a loro volta in azienda i fenomeni criminali, al fine di prevenire comportamenti incidentali o dettati da fretta e stress degli utenti, che possono però aprire il varco a gravi incidenti di sicurezza.
Alcuni dei maggiori vendor di security pubblicano annualmente report di analisi della minaccia proprio per definire l’insieme dei pericoli e le tendenze a cui tenersi pronti.
Indice degli argomenti
Contrastare le perdite con una adeguata preparazione
Le perdite totali della frenetica attività criminale costituita da attacchi e campagne di infezione di livello mondiale, sono stati valutati in costi pari a 10,5 trilioni di dollari entro il 2025. Il crimine informatico è considerato molto redditizio per gli attaccanti digitali tanto da essere valutato in più di 3 miliardi di dollari solo nell’ambito degli attacchi informatici basati su crittografia (dati riferiti al periodo fra gennaio 2022 e ottobre 2022 n.d.r.).
Il vero costo del ransomware, le “voci di spesa”: uno sguardo oltre il riscatto
Ma i dati di ogni report di security sembrano sempre surclassare la scala di rating e le soglie massime da un anno all’altro e questo è stato riscontrato anche dal CLUSIT nell’ultimo rapporto pubblicato a marzo 2022 in cui a fronte di una osservazione su “quantità” e “qualità” degli attacchi, si è reso necessario modificare il modello e la metodologia di analisi, sia per la valutazione dei livelli di impatto dei singoli incidenti, includendo aspetti di immagine, economici, sociali e le ripercussioni dal punto di vista geopolitico, sia per riclassificare il totale degli attacchi dell’ultimo triennio 2018-2020, pari a 5.095, con l’obiettivo di renderli confrontabili con quelli del 2021, pari a 2.049.
Per supportare gli sforzi dei professionisti di security finalizzati a frenare il crescente numero di campagne di attacco e di infezione digitale, è opportuno e necessario conoscere le tendenze che potrebbero concretizzarsi nel 2023.
Lo spunto è offerto dai report di security di alcuni dei vendor di sicurezza che annualmente pubblicano i loro risultati contenenti sia l’analisi della minaccia per l’anno appena trascorso, sia la previsione e i trend per l’anno a venire.
Li abbiamo analizzati tracciando i maggiori highlight rispetto alle minacce. Esempi particolarmente significativi sono offerti da fenomeni noti ma la cui incidenza cresce costantemente e dai fenomeni emergenti che tendono a consolidarsi.
L’inarrestabile fenomeno di phishing e ransomware
L’organizzazione Cybertalk aveva stimato entro la fine del 2022 circa 6 miliardi di attacchi di phishing, ma è difficile confermare se questo numero sia confermato.
Infatti, ogni vendor fornisce le stime annuali sul phishing secondo il proprio perimetro di osservazione ed è quindi complesso stabilire con un metodo scientifico e accurata il volume globale di tutte le occorrenze o di tutte le campagne di phishing effettivamente riscontrate nel mondo nel 2022.
Un dato certo che si ripete anno dopo anno è il fatto che le e-mail di phishing siano uno dei principali punti di ingresso per il ransomware, costituendo fino al 54% delle vulnerabilità digitali.
Un ulteriore fenomeno in ascesa nell’ambito dei “servizi criminali as-a-service” è costituito dal Ransomware-as-a-Service (RaaS), per il quale i FortiGuardLAbs prevedono un numero crescente di vettori di attacco aggiuntivi resi disponibile come servizi attraverso il Dark Web al fine di alimentare il Cybercrime-as-a-Service.
M2RAT, il malware della cyber gang RedEyes che ruba dati da Windows e dagli smartphone
Servizi criminali di tipo personalizzato quali Reconnaissance-as-a-Service (la reconnaissance è la fase iniziale di studio di un target, solitamente una fase dispendiosa in termini di tempo e che richiede esperienza n.d.r.) o basati su portafogli di attacchi “as-a-seervice” e su modelli di business ad abbonamento potrebbero offrire occasioni di guadagno dall’aspetto rapido, semplice, ripetibile e a guadagno assicurato (fonte: Fortinet predictions 2023).
Le tecnologie preventive di deception e quelle di protezione legate ad un piano di business continuity e disaster recovery possono concorrere a minimizzare i danno di una campagna ransomware e a far restare l’organizzazione in attività operativa.
In tutto il mondo, nella prima metà del 2022, ci sono stati 2,8 miliardi di attacchi malware e 236,1 milioni di attacchi ransomware. L’ultimo attacco in ordine di tempo è stato sferrato utilizzando la vulnerabilità ESXI con il ransomware ESXiArgs.
A proposito delle tendenze sui ransomware per il 2023 Aditya Sood, senior director of threat research office of the CTO di F5, segnala un crescente orientamento dei ransomware volto a colpire direttamente i database motivato dall’esigenza della criminalità informatica state sponsored, di colpire le infrastrutture critiche ed esercitare pressioni politiche.
Gli attacchi ransomware contro i database cloud aumenteranno drasticamente nel 2023, poiché è qui che risiedono i dati mission-critical, sia per le aziende che per i governi.
A differenza del malware tradizionale che cripta i file a livello di filesystem, il ransomware per database è in grado di criptare i dati all’interno del database stesso.
Le sfide per il 2023
Chad Skipper, Global Security Technologist di VMware segnala tre sfide chiave per i team di sicurezza informatica nel 2023 contenute anche nel Global Incident Response Threat Report (GIRTR) di VMware: attacchi effettuati con movimenti laterali, un aumento dei deepfake e attacchi API aggressivi:
- Gli attacchi effettuati con movimenti laterali sfruttano strumenti di accesso remoto (RAT) o l’uso di servizi esistenti, come Remote Desktop Protocol (RDP) o PsExec. Nel 2023 i criminali informatici continueranno a utilizzare il protocollo desktop remoto per “travestirsi” da amministratori di sistema ed è quindi opportuno integrare le difese con sistemi EDR (Endpoint Detection & Response) e NDR (Network Ddetection & Response) per difendere i data center, i punti di accesso e le infrastrutture critiche.
- Gli attacchi deepfake, identificati nelle e-mail, nella messaggistica mobile, nella registrazione vocale e nei social media, sono costituiti da attacchi basati su informazioni false e frodi di identità progettate per compromettere l’integrità e la reputazione di un’organizzazione e sono potenzialmente l’arma preferita dai truffatori anche per il 2023.
- Application Programming Interface (API) aggressive contro le infrastrutture si dimostrano strumenti di danneggiamento molto efficaci perché la maggior parte del traffico all’interno delle applicazioni è spesso un traffico API “non supervisionato”. I criminali informatici una volta all’interno dell’ambiente utilizzano tecniche evasive per deviare il rilevamento su VDI, VM (Virtual Desktop Interface e Virtual Machine n.d.r.) e applicazioni tradizionali. Facendo affidamento sulle lacunose capacità di monitoraggio delle organizzazioni il 2023 potrà essere un anno in cui questo fenomeno si andrà consolidando.
Sempre in tema di API si è pronunciato Shahn Backer, senior solutions architect di F5 che ha segnalato il rischio delle “shadow API”. Si tratta di API non inventariate, di cui quindi, non sono noti gli endpoint API disponibili, i dettagli sui parametri accettabili, le informazioni sull’autenticazione e sull’autorizzazione e dati di aggiornamento; di conseguenza, le API restano esposte ad attacchi che mirano a violarne la vulnerabilità, ma le organizzazioni ne perdono la visibilità.
Attacchi ransomware in lieve calo, ma in evoluzione: tutti i consigli per difendersi
Sempre in tema di rischi legati allo sviluppo applicativo, le librerie open source potranno essere considerate un bersaglio allettante per il 2023. Lo sostiene Ken Arora, distinguished engineer, Office of the CTO di F5 che spiega come molte applicazioni moderne sfruttino il software-as-a-service (SaaS), (esempi sono l’autenticazione centralizzata, i database-as-a-service o il Data Loss Protection- DLP). Se un aggressore riesce a compromettere la base del codice del software di tipo open source (OSS) allora l’aggressore ha un punto d’appoggio “all’interno” dell’applicazione, e può aggirare le difese perimetrali (firewall per applicazioni web e i gateway API). Introdurre i cosiddetti Software Bill of Materials (SBoM) significa riuscire ad enumerare tutti i componenti software per poter determinare in modo più rapido ed efficiente se eventuali vulnerabilità scoperte interessino il prodotto, qualora ne fosse afflitta qualcuna delle sue componenti.
Segnalati invece da Remi Cohen, cyber threat intelligence manager, Office of the CISO di F5 i tipi di attacco cosiddetti “MFA fatigue”, noti anche come attacchi “MFA bombing”, destinati ad aumentare nel 2023 secondo la sua valutazione (MFA è l’acronimo per Multi Factor Authentication n.d.r.).
Questa tipologia di attacchi mira a infastidire le vittime inondandole di così tante richieste di autenticazione da indurle ad approvare la richiesta di notifica per sbaglio o per frustrazione.
Questo tipo di attacco rappresenta un rischio immediato per le aziende, poiché i dipendenti sono il canale di minaccia più vulnerabile agli attacchi di social engineering. Ma l’MFA non sarebbe a rischio solo a causa della social engineering ma anche a causa di mix di tecniche, tra cui il “typo squatting”, “l’account takeover”, lo “spoofing” dei dispositivi MFA (si veda il glossario terminologico di sicurezza per approfondimenti sulle tecniche n.d.r.).
L’autenticazione biometrica è vista con un certo scetticismo, mentre l’adozione di una un’architettura zero trust che includa autenticazione basata sui comportamenti dell’utente (behavioural factors n.d.r.) sembra più promettente tanto da far suggerire ai team di security l’integrazione di altri fattori di autenticazione legati alle risorse ed asset prima di garantirne l’accesso autorizzato.
