Le aziende di oggi operano in un panorama di minacce in continua evoluzione. In questa “nuova normalità”, applicare strategie di difesa convenzionali a sfide come il ransomware non è più sufficiente.
È fondamentale che i team IT e di security e i membri del consiglio di amministrazione sappiano dove concentrare i propri sforzi di sicurezza e resilienza aziendale, in modo da poter anticipare, resistere e ripristinare dai moderni cyber attacchi.
Analizziamo le tre principali minacce alla sicurezza che le aziende dovranno fronteggiare nel nuovo anno.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Tecniche Living Off the Land (LOL)
Gli attacchi silenziosi che rimangono nascosti per lunghi periodi di tempo rappresentano un rischio particolarmente insidioso per le aziende. Gli hacker di oggi utilizzano molto meno malware, sfruttando invece il sistema operativo contro se stesso, con strumenti legittimi nativi come i file binari firmati (LOLBins), gli script (LOLScripts) e le librerie per camuffare l’attività dannosa, mimetizzarsi e aggirare anche le difese di sicurezza più avanzate.
A differenza degli attacchi tradizionali basati sul malware, gli attacchi LOL utilizzano le utility native del sistema operativo, necessarie per il funzionamento del sistema stesso e per le operazioni IT.
Non sono intrinsecamente dannosi e, pertanto, sebbene gli strumenti convenzionali registrino le attività LOL su ciascun endpoint, non ne danno notizia. Ad esempio, Cmd.exe, l’interprete della riga di comando predefinito di Windows, può essere utilizzato per eludere le contromisure difensive o nascondersi come meccanismo di persistenza.
Questo crea un dilemma difficile da affrontare per la sicurezza. Come possono avvisare quando strumenti legittimi vengono utilizzati, come previsto, ma con motivazioni pericolose? È possibile lanciare un allarme sulle intenzioni?
I LOLBin stanno diventando la tecnica preferita perché si mimetizzano: è il metodo sfruttato dal gruppo Volt Typhoon per sorvegliare i servizi idrici ed elettrici a servizio di installazioni militari negli Stati Uniti e all’estero.
Gli strumenti di sicurezza tradizionali raccolgono prove di pericolosità nella rete e sugli endpoint. Sono un livello critico di difesa che rileva i file e le attività dannose, ma non sono costruiti per rilevare tecniche stealth, come i LOLBin, utilizzate dal gruppo Volt Typhoon.
Per difendere i dati da questo tipo di attacchi, le aziende dovranno apportare un cambiamento alle loro misure di difesa, introducendo esche realistiche che ingannino i malintenzionati e li inducano a impegnarsi con queste false risorse ed esporre le loro tecniche; una mossa che a sua volta allerta i team di sicurezza aziendali su una potenziale minaccia in agguato.
I rischi dell’uso diffuso dell’intelligenza artificiale
Gli hacker di oggi utilizzano strumenti avanzati come l’intelligenza artificiale e il machine learning per automatizzare e coordinare gli attacchi e aumentarne l’efficacia.
Sfruttano, inoltre, l’AI per comprendere le difese messe in atto dalle aziende per impedire l’accesso ai loro ambienti.
Non più limitati dalla necessità di produrre manualmente le loro campagne pericolose, i cyber criminali utilizzano strumenti di AI generativa facilmente disponibili, come ChatGPT, adattandoli per soddisfare le loro esigenze, che si tratti di creare contenuti di phishing altamente personalizzati su scala, o di generare malware keystroke e di base adattato per “craccare” specificamente credenziali e algoritmi di un sistema preso di mira.
Secondo un recente report, gli esperti di cyber security delle grandi aziende ritengono che l’AI generativa abbia già prodotto un aumento significativo degli attacchi.
Per combattere questo volume crescente, le aziende dovranno utilizzare intelligenza artificiale e machine learning difensivi che consentono di: automatizzare il rilevamento e la bonifica dei sistemi non conformi; applicare patch, configurazioni e aggiornamenti software automatizzati per gli asset; gestire attività tradizionalmente ad alta intensità di lavoro, come la gestione delle identità e degli accessi (IAM), e la reportistica.
In altre parole, l’utilizzo dell’intelligenza artificiale per garantire la conformità con un’architettura Zero Trust e affrontare le minacce con visibilità in tempo reale e alert precoci che supportino una postura di difesa proattiva.
Il pericolo crescente del Ransomware-as-a-Service
Il ransomware rappresenta una delle maggiori minacce per aziende di ogni dimensione e settore. Gruppi altamente organizzati hanno sviluppato sofisticati modelli di distribuzione di Ransomware-as-a-Service (RaaS) che rendono più semplice per gli attori delle minacce, con poca o nessuna esperienza, creare un attacco all’avanguardia con le tecniche più moderne attraverso il suo ciclo di vita.
Specializzati su elementi specifici del processo di attacco, gli operatori RaaS di oggi offrono kit che comprendono tutto, dai portali di pagamento ai “servizi di supporto” per le vittime, fino a una scelta di varianti di ransomware (come LockBit, Revil e Dharma).
Altri agiscono come broker di accesso specializzati nella discovery.
Gli affiliati che acquistano o noleggiano questi kit RaaS sono poi liberi di mettere insieme tutti questi elementi per eseguire un attacco ransomware, pagando una tariffa o condividendo una parte dei loro profitti.
L’emergere del modello di business RaaS comporta un aumento della frequenza e della sofisticazione degli attacchi ransomware.
Per questo, le aziende dovranno raddoppiare le attività di cyber security, sia per potenziare le strategie di gestione delle vulnerabilità e di installare strumenti di rilevamento informatico precoce, o per implementare remediation automatizzata e backup e ripristino dei dati negli ambienti di produzione, al fine di garantire una rapida ripresa dopo un attacco.
Adottare una mentalità resiliente
La proliferazione di minacce informatiche nuove ed emergenti condurrà le aziende a rompere i silos che ancora esistono tra sicurezza e operations IT, spostandosi verso una strategia di resilienza collaborativa e un’infrastruttura informatica che combatta gli attacchi cyber.
Si tratta di una responsabilità condivisa che comprende segmentazione, ridondanza, deception, consapevolezza contestuale, limitazione dei privilegi e altro ancora.
Essendo consapevoli che la probabilità di un attacco informatico è un caso di “quando, non di se”, dovranno attivare capacità di rilevamento precoce e assicurarsi di essere proattivamente alla ricerca di minacce, in modo da poter rispondere rapidamente ad attacchi e incidenti di sicurezza.
Il ritorno all’operatività ordinaria dopo un attacco dovrebbe essere uno degli obiettvi più stringenti in materia di protezione, cosa che rende ancor più necessarie procedure di ripristino dei dati a prova di bomba.
