Le tattiche cyber criminali si evolvono e, di conseguenza, anche la cyber security deve essere in continua evoluzione per rispondere e contrastare al meglio le nuove e sempre più temibili minacce informatiche che mettono a repentaglio il prezioso patrimonio informativo di qualunque azienda.
È questa, in estrema sintesi, la conclusione a cui è giunta la Unit 42, il threat intelligence team di Palo Alto Networks che ha analizzato lo stato attuale delle esposizioni di sicurezza e le principali minacce rivolte alle organizzazioni grandi e piccole.
Indice degli argomenti
I numeri dell’Incident Response Report di Unit 42
Velocità, scala e sofisticazione: queste le tre parole chiave che sintetizzano al meglio l’evoluzione delle attività dei malintenzionati e delle loro minacce cyber. In parallelo, questo richiede una difesa che sia sempre più rapida, completa e proattiva.
Il recente Incident Response Report di Unit 42 presenta i dati raccolti nel corso delle attività di supporto a centinaia di aziende nella difesa da attori di minacce e attacchi attivi, con indicazioni concrete su come le aziende possano proteggere efficacemente la loro superficie di attacco.
Da quanto si evince dal rapporto, il 2023 ha visto una forte evoluzione delle tattiche dei cyber criminali. Nel 39% dei casi, lo sfruttamento su larga scala di vulnerabilità rivolte a Internet è stato il vettore di accesso iniziale, in aumento rispetto al 28% del 2022.
I cyber criminali continuano a rubare e utilizzare credenziali compromesse e, sebbene il phishing venga utilizzato meno di frequente per diffondere malware, è ancora presente in molte tecniche di intrusione, tra cui lo sfruttamento del supporto IT e dei processi di reimpostazione delle password, nonché il furto di token di sessione.
L’anno scorso è stato caratterizzato anche da attività di raccolta dati più indiscriminate, con i cyber criminali che puntavano alla quantità, esfiltrando quanti più dati disponibili per smistarli in un secondo momento, senza ricercare informazioni specifiche. Questo rappresenta un aumento e una tendenza continua a privilegiare velocità e scala rispetto a furti più mirati.
A volte il furto è automatizzato, insieme allo sfruttamento delle vulnerabilità. Questo approccio si allinea anche alla tendenza dei malintenzionati di esfiltrare i dati prima nel processo di attacco rispetto agli anni precedenti.
Le nuove tattiche e tecniche di attacco dei cyber criminali
Da una lettura più attenta dell’Incident Response Report 2024 di Unit 42 emergono anche molti altri dettagli sull’evoluzione dei metodi di intrusione nei sistemi target e delle tecniche di attacco
Accesso iniziale con nuovi metodi
Tra gli attori delle minacce avanzate è in atto un cambiamento di strategia, evidente nei nuovi e diversi modi in cui viene ottenuto l’accesso iniziale:
- Nel corso dell’ultimo anno, si è registrato un aumento significativo dello sfruttamento delle vulnerabilità del software e delle API, sempre più preferite dagli attaccanti, con il 38,60% dei punti di accesso iniziali nel 2023, rispetto al 28,20% dell’anno precedente.
- Allo stesso tempo, anche le credenziali già compromesse stanno crescendo come vettore di accesso iniziale, con un incremento di utilizzo dal 12,90% al 20,50% nello stesso arco di tempo. Se confrontati con i due anni precedenti, la prevalenza è più che quintuplicata rispetto al 2021. Il mercato delle credenziali rubate rimane vivace, nonostante gli sforzi coordinati di forze dell’ordine e industria privata.
- Il phishing sta diminuendo, ma… Da una quota di incidenti di accesso iniziale pari a un terzo nel 2022, il phishing è sceso ad appena il 17% nel 2023, riduzione che segnala una sua possibile de-prioritizzazione, in quanto i criminali informatici si adattano a metodi di infiltrazione tecnologicamente più avanzati e forse più efficienti.
Vettori di accesso iniziale per anno, dal 2021 al 2023 (fonte: Incident Response Report 2024 di Unit 42).
Queste osservazioni hanno indotto i ricercatori della Unit 42 a credere che si tratti di cambiamenti strategici, in particolare per gli attori delle minacce più avanzati, che si stanno spostando da campagne di phishing tradizionali e interattive a metodi meno evidenti, e possibilmente automatizzati, per sfruttare le debolezze di sistema e le fughe di credenziali preesistenti.
Questa tendenza suggerisce che i difensori dovrebbero ora dare priorità al rilevamento e correzione delle vulnerabilità del software e alla protezione dei processi di gestione delle credenziali per mitigare queste minacce crescenti.
Raccolta indiscriminata di dati
Nel 93% degli incidenti gli attaccanti hanno sottratto informazioni in modo indiscriminato anziché ricercare dati specifici. Si tratta di una percentuale in aumento rispetto al 2022, quando l’81% dei casi riguardava furti di dati non mirati, e al 2021 quando era ancora più bassa, il 67%.
Questa impennata indica un trend in crescita tra i criminali informatici, che sembrano gettare una rete più ampia, raccogliendo tutti i dati a cui possono accedere senza impegnarsi a individuare ed estrarne particolari set.
Dati targettizzati, dal 2021 al 2023 (fonte: Incident Response Report 2024 di Unit 42).
Questo cambiamento potrebbe essere dovuto a diversi fattori. Gli attaccanti sono consapevoli che l’enorme volume di dati di un’azienda potrebbe svelare obiettivi redditizi, se prelevati in blocco. È inoltre probabile che utilizzino strumenti automatizzati che raccolgono informazioni in modo indiscriminato.
Considerando il grande dinamismo nel panorama delle minacce, per i difensori diventa essenziale rivedere e rafforzare continuamente le strategie di sicurezza esistenti al fine di contrastare efficacemente le tattiche avanzate degli attaccanti contemporanei.
Raccomandazioni per chi difende
Alla luce dei dati e delle evidenze raccolte durante l’analisi delle principali minacce rivolte alle aziende, i ricercatori della Unit 42 hanno stilato alcune semplici buone regole di sicurezza informatica.
Ottenere visibilità sulla superficie di attacco interna ed esterna
Le aziende devono migliorare la visibilità dei loro ambienti, interni ed esterni, per tenere il passo con l’ampliamento della superficie di attacco e dovrebbe includere la conoscenza del panorama del cloud, in cui i frequenti cambiamenti introducono nuovi rischi, e soprattutto la protezione del protocollo di desktop remoto (RDP), che può amplificare la minaccia ransomware, se esposto.
Raggiungere questo livello di visibilità richiede una solida combinazione di rilevamento delle risorse, scansione delle vulnerabilità e adozione di autenticazione multi-fattore (MFA) completa.
Adottare una strategia Zero Trust
Sempre di più, il modello Zero Trust si rivela adeguato a questo scenario. Non solo, le aziende dovrebbero rafforzare l’autenticazione degli utenti con una MFA completa e valutare tecnologie senza password per mitigare i furti di credenziali e garantire che gli utenti abbiano accesso solo alle risorse necessarie per il loro ruolo, limitando così potenziali accessi non autorizzati e movimenti laterali in rete.
Questo approccio strategico richiede la convalida continua dei protocolli di sicurezza e dei privilegi degli utenti, insieme a una formazione rigorosa sulle best practice di autenticazione e sulla gestione delle sessioni.
