Coloro che si occupano di sicurezza informatica sono chiamati ad anticipare in modo proattivo le minacce che i malintenzionati digitali possono pianificare.
I report di sicurezza, dunque, non sono un’ipotesi previsionale astratta, ma tracciano una tendenza a partire dall’anno precedente a quello di studio, per garantire a chi protegge e difende operativamente gli asset della propria organizzazione, di avere una evidenza tangibile di trend di attacco, una evidenza sulle nuove tecniche di violazione e sugli ambiti presi di mira dai criminali informatici.
L’esperienza sugli anni pregressi coadiuvata da evidenze di intelligence contribuisce a generare, anno dopo anno, uno scenario di quello che i criminali considerano “opportunità di lucro” e che diventa invece, per i team di security, il target delle loro attività di contrasto mediante introduzione di appropriate misure di protezione preventiva.
Analisi del malware: metodologie e strumenti per capire gli attacchi informatici
Indice degli argomenti
Enisa Threat landscape
Un primo documento d’obbligo nelle analisi sulla minaccia digitale è costituito dall’ENISA Threat Landscape (ETL) report che, pubblicato ad ottobre di ogni anno, riporta le analisi della minaccia osservata fra il luglio dell’anno precedente, al luglio dell’anno di pubblicazione del report.
L’ETL 2022 traccia quindi i trend di cybersicurezza in tutta l’Unione Europea (EU) fra il luglio 2021 e il luglio 2022. Nel report sono tracciate le principali minacce, le principali tendenze osservate rispetto alle minacce, agli attori delle minacce e alle tecniche di attacco, nonché l’analisi dell’impatto e della motivazione; descrive inoltre le misure di mitigazione pertinenti che i team di security dovrebbero implementare per l’anno seguente. L’ETL 2022 permette quindi di prepararsi allo scenario della minaccia del 2023.
Il rapporto si basa su informazioni provenienti da fonti aperte, principalmente di natura strategica e sulle capacità di Cyber Threat Intelligence (CTI) dell’ENISA ed è basato sulla metodologia ENISA pubblicata a luglio 2022.
L’elenco delle minacce
Le minacce analizzata dall’ETL 2022 riguardano: ransomware, malware (altri codici malevoli diversi dal ransomware ma non meno pericolosi), l’ingegneria sociale, le minacce ai dati, i Denial of Service, altre minacce alla disponibilità di internet (ad esempio il Border Gateway Protocol (BGP) highjacking), la piaga della disinformazione e gli attacchi alle catene di approvvigionamento.
Ogni tipologia è affrontata descrivendo le tecniche di attacco, gli incidenti rilevanti e le tendenze per il nuovo anno unitamente all’insieme delle misure di mitigazione.
Le minacce ibride
Gli elementi di highlight riguardano diversi aspetti tanto della minaccia, quanto del panorama geopolitico e degli attori attaccanti. In particolare, i ransomware, i DDos standard e verso le reti IoT e le campagne di phishing sono molto aumentate nel periodo di osservazione a causa dell’effetto correlato al conflitto russo/ucraino in modo simile a quanto accaduto durante l’avvio della pandemia da COVID-19.
Le nuove minacce ibride hanno principalmente l’obiettivo di violare il consenso sui dati degli utenti, utilizzando “derivati “del malware Pegasus. Ne consegue un interesse verso la compromissione dei dati di entità e singoli della società civile, in un’ottica di “sorveglianza” e violazione della privacy.
L’impatto della geopolitica
Non da meno sono le violazioni ai corpus di dati usati dai sistemi di Machine learning e l’uso massivo di bot e di AI per creare disinformazione mediante e deepfake finalizzati ad influenza le masse a fini geopolitici.
Ma se la geopolitica è una finalità di alcune campagne di attacco, l’ETL ha anche osservato come i motivi geopolitici fossero un fattore scatenante per l’incremento della minaccia.
Infatti, il conflitto tra Russia e Ucraina ha rimodellato il panorama delle minacce e avviato le attività di attori malevoli che hanno svolto operazioni a supporto o di concerto all’azione militare cinetica, oppure ha causato la mobilitazione di attivisti informatici che hanno tentato di contrastare l’azione offensiva.
In generale la criminalità informatica e i gruppi sponsorizzati da stati-nazione si sono schierati durante il conflitto a riprova che la geopolitica continua ad avere un impatto sempre maggiore sulle operazioni informatiche.
Ampliare le competenze cyber in Europa: ecco i profili necessari indicati dall’ENISA
Così i criminali cambiano volto
Infine, sul fronte della criminalità organizzata informatica, il report enfatizza come i criminali siano costretti ad acquistare o sviluppare exploit 0-day per aumentare la propria capacità di successo verso gli obiettivi operativi e strategici, a causa delle aumentate difese delle squadre di sicurezza, mentre i continui “ritiri” e/o il rebranding dei gruppi di ransomware sono dovuti all’esigenza di evitare l’applicazione della legge e delle sanzioni.
Queste cause spingono i gruppi di attacco a sostenere costi maggiori per preparare un attacco da un lato, ma dall’altro, portano ad un aumento significativo del trend noto come “Hacker -as-a-service” (in crescita dal 2021 n.d.r.). Un’ ulteriore tendenza in aumento è costituita dal sempre maggiore interesse verso gli attacchi alle catene di approvvigionamento (supply chain attacks) e contro i Managed Services Provider (MSP).
Le raccomandazioni del Rapporto
Tutte le raccomandazioni di sicurezza da implementare per il contrasto e la prevenzione di ogni tipo di minaccia elencata nel report ETL sono contenute nell’annex D: sono rappresentate come una lista di azioni e per ognuna di esse è presente il riferimento, ovvero la mappatura, con la corrispondente raccomandazione contenuta nei due principali standard internazionali di sicurezza: ISO IEC 27001 e NIST CF.
In tal modo è semplice dare la giusta priorità agli interventi di protezione e mitigazione delle minacce, sia per chi già adotta questi framework, sia per chi voglia iniziare a farlo.
CISA ed NSA Cybersecurity Year in Review 2022
Sul fronte americano sono le pubblicazioni “2022 year in review “rispettivamente della CISA (Cybersecurity And Infrastructure Security Agency) e della NSA (National Security Agency) a fornire informazioni sul contesto della sicurezza informatica. Infatti, nell’indicare le rispettive attività effettuate nel 2022, si ricava di riflesso un quadro della minaccia informatica e un correlato quadro di elementi di protezione applicabili.
In alto gli scudi
Nel report CISA le attività legate alla sezione di Cyberdefence enfatizzano come l’avvio del conflitto russo/ucraino, abbia richiesto un innalzamento dell’allerta mediante l’avvio di “Shields up”, letteralmente “scudi su”, finalizzato alla implementazione di misure di protezione e segnalazione incidenti nel territorio degli Stati Uniti (in Italia ciò è stato garantito dal CSIRT n.d.r.), e parallelamente come si sia reso necessario divulgare l’insieme di misure di protezione “cross-sector Cybersecurity Performance Goals” (CPGs) per stabilire un insieme comune di pratiche fondamentali di sicurezza informatica per infrastrutture IT e OT, dedicate non solo alle infrastrutture critiche ma anche alle organizzazioni di piccole e medie dimensioni, che fanno da catena di filiera alle aziende più grandi (contrasto di attacchi supply chain).
Le attività di divulgazione coordinata delle vulnerabilità (Coordinated Vulnerability Disclosure, CVD) svolte dalla CISA, 713 casi di CVD per 416 avvisi di vulnerabilità (consultabili nel catalogo delle vulnerabilità sfruttabili), hanno permesso di valutare l’entità della sfida, legata alle nuove minacce a cui si è reso necessario lavorare per sviluppare e installare patch di sicurezza; infine, nell’ambito del contrasto agli incidenti e la regolamentazione delle denunce da effettuare si apprende che l’agenzia CISA ha valutato 37.875 segnalazioni di incidenti informatici intervenendo su 2.609 di essi.
Nonostante le attività dell’NSA per proteggere la nazione non possano essere divulgate pubblicamente, il report “2022 year in review” condivide una grande quantità di informazioni sugli sforzi di sicurezza informatica svolti negli Stati Uniti per difendersi dalle minacce informatiche.
Focus su tre rapporti
Si consigliano in particolare tre report da approfondire: i report di analisi delle attività informatiche malevole da parte di Iran, Russia e Cina. In particolare, l’agenzia ha supportato organizzazioni pubbliche e private dalla minaccia ransomware attribuita al Corpo delle guardie rivoluzionarie islamiche iraniane (IRGC), ovvero criminali digitali affiliati che hanno sfruttato vulnerabilità note pubblicamente per ottenere dati e avviare operazioni di ricatto in diversi Stati.
Il risultato è il documento di alert dal titolo“Iranian Islamic Revolutionary Guard Corps-Affiliated Cyber Actors Exploiting Vulnerabilities for Data Extortion and Disc Encryption for Ransom Operations”.
Per lo scenario russo, un mese prima dell’invasione verso l’Ucraina l’NSA ha rilasciato un avviso sulla minaccia di matrice russa finalizzato alla comprensione e mitigazione delle minacce alle infrastrutture critiche dal titolo: “Understanding and Mitigating Russian StateSponsored Cyber Threats to U.S. Critical Infrastructure”.
Infine, gli studi sulle modalità e tecniche di attacco, le TTPs di matrice cinese, quasi sempre finalizzate alla compromissione e furto di informazioni sensibili, hanno invece dato vita al report “People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices”.
Per capire l’entità della minaccia alle infrastrutture critiche negli USA si può considerare l’azione del servizio denominato Protective Domain Name System (PDNS) che ha cancellato quasi 100 milioni di query DNS al giorno e ha bloccato qualcosa come 400 milioni di domini dannosi fino ad oggi inclusi tentativi di spear phishing negli stati nazionali e malware e botnet.
Tutte queste attività sulle infrastrutture critiche americane dimostrano la consistenza e la numerosità delle occasioni di attacco e suggeriscono di non abbassare la guardia nemmeno in Europa specialmente date le posizioni europee sulle sanzioni alla Russia, l’asse Russia-Cina e la minaccia mediorientale.
Previsioni e strategie di difesa per il 2023
Tenendo conto dei principali eventi di sicurezza del 2022 e per anticipare gli effetti sul 2023 Kayne McGladrey, Field CISO e associato ISACA (Information Systems Audit and Control Association®) suggerisce tre iniziative da avviare immediatamente nell’ambito della prevenzione dei rischi di sicurezza:
effettuare assessment interni efficaci e accurati da considerare come strumenti fondamentali per trovare punti deboli nel programma di sicurezza e garantire che tali punti deboli vengano corretti, migliorando l’efficacia delle analisi di rischio mediante azioni di “adversarial discovery” (analisi sulle attività di malintenzionati digitali già all’interno della propria rete n.d.r.) e da report di intelligence svolti in tempo reale;
introdurre controlli di sicurezza e processi per mantenere tali controlli, soprattutto per le PMI, mediante adesione a framework di sicurezza e implementare il controllo sulla protezione dei dati richiesto dal GDPR come primo passaggio, ma anche avviare e rinnovare le proprie analisi di rischio in previsione della stipula di una polizza di assicurazione cyber per supportare efficacemente l’associazione fra rischi e controlli di sicurezza;
automatizzare il maggior numero possibile di processi manuali di gestione del rischio e operazioni di conformità per adattarsi ai cambiamenti futuri.
Guerra ibrida e disinformazione, il ruolo degli hacktivisti filo-russi: chi sono e come agiscono
Anche Linux sotto attacco
L’esperto Emil Sayegh sottolinea per Forbes diversi trend che interesseranno il 2023 ma delinea anche alcune minacce emergenti: in particolare considera non più al sicuro il sistema Linux, ritenuto da anni a minaccia zero e a suo dire oggi soggetto a minacce crescenti.
Lo spazio nuova frontiera dei cybercriminali
Gli ambiti dello spazio e dei satelliti rappresentano una nuova frontiera di attacchi e data breach dato il massiccio aumento degli investimenti e dei progetti di imprenditori privati come nel caso di Space X.
Anche le reti 5g e le API sono da tenere sotto osservazione, perché se da un lato la rete mobile 5G ha aggiunto una dimensione ad alta velocità completamente nuova a ogni minaccia esistente.
Dall’altro l’automazione e le integrazioni dal cloud all’app, dall’app all’app, dall’ecosistema all’ecosistema implicano tutte la presenza di un qualche tipo di API che per i criminali digitali sono nuovi elementi di estensione della superficie di attacco.
Una particolare menzione è data dalla minaccia interna, perpetrata dagli insider che a mezzo spionaggio e ingegneria sociale danneggiano l’azienda vittima dall’interno. Il bilanciamento degli interventi deve tenere conto, da un lato, dell’esigenza delle aziende di attuare misure di sicurezza comprensive di raccolta di dati forensi e di severe misure punitive contro i dipendenti scorretti, e dall’altro, delle difficoltà legate alla persecuzione effettiva dei colpevoli quando ci si trova in contesti di outsourcing in cui i colpevoli potrebbero operare in country e paesi con giurisdizioni diverse da quella dell’azienda vittima.
