Il mese della sicurezza informatica rappresenta il momento dell’anno per un bilancio fra i mesi passati e le previsioni per il futuro nel campo della cyber security, in modo da delineare nel presente le strategie per l’anno successivo.
Fra i tanti report e studi che descrivono i maggiori trend trascorsi e che presentano scenari potenziali per l’andamento degli attacchi e delle minacce, il Rapporto IOCTA 2020 emesso dall’Europol si distingue per “l’attenzione sul potenziale impatto dei futuri sviluppi tecnologici sul crimine informatico, come l’intelligenza artificiale e sulla prospettiva di dover affrontare il crimine informatico in senso olistico. La lotta al crimine informatico, infatti, riguarda tanto le sue forme attuali quanto, e soprattutto, le proiezioni future” (Fonte Davide Maniscalco OFCS. Report).
Il crimine organizzato è infatti sempre teso alla sofisticazione, trovando nuovi metodi e modalità di attacco, sviluppando le proprie capacità in accordo alle nuove tecnologie, senza dimenticare mezzi e metodi che, sebbene “vintage”, riescono a sortire impatti critici a causa delle mancanze di gestione e manutenzione che ancora affliggono molte entità pubbliche e private.
Unitamente alle indicazioni emergenti dallo IOCTA 2020, Michele Onorato, CISO e BU Manager di Westpole, commenta alcuni dei trend per il 2021, per contribuire alla definizione delle priorità di approccio e spesa di decisori e di C-level.
Indice degli argomenti
Focus su tipi di malware e tendenze di attacco
La valutazione annuale espressa nello IOCTA (Internet Organised Crime Threat Assessment) 2020 sulle minacce di criminalità informatica sottolinea la persistenza e la pervasività di una serie di sfide sistemiche.
I dati provengono dalla combinazione di contributi provenienti dalle forze dell’ordine e delle conoscenze del settore privato mediante il Centro europeo per la criminalità informatica (EC3) presso Europol, che rappresenta la piattaforma utilizzata dagli investigatori sulla criminalità informatica in tutta l’UE e oltre per connettersi, collaborare e comunicare.
Questo ampio spettro di indagine fornisce una panoramica completa dello scenario, quest’anno pesantemente influenzato dalla pandemia di COVID-19, che i criminali hanno sfruttato per ideare nuovi modi operativi e adattando quelli esistenti per sfruttare la situazione con nuovi vettori di attacco su nuovi gruppi di vittime.
La criminalità informatica resta una delle forme di criminalità più dinamiche incontrate dalle forze dell’ordine nell’UE nell’ambito delle diverse forme che il Crimine assume. Catherine De Bolle, Direttore esecutivo Europol, sottolinea come ransomware, truffe BEC, ingegneria sociale siano minacce “familiari nel crimine informatico”, la loro esecuzione è in continua progressiva trasformazione e rende queste attività criminali più complesse da rilevare e indagare.
Il ransomware, in particolare, rimane una minaccia prioritaria incontrata dai cyber investigatori in tutta l’UE. E purtroppo le attività da remoto di grandi e piccoli hanno influito anche sulla maggiore incidenza degli abusi sessuali su minori rilevato online.
Dunque, il crimine informatico evolve ma non si rivoluziona. La sua evoluzione diventa evidente a un’analisi più attenta, nel modo in cui i criminali informatici esperti perfezionano i loro metodi e rendono la loro “artigianalità” accessibile favorendo il Crime-as-a-Service (il crimine come servizio).
Favoriti dalla vulnerabilità generale indotta dalla pandemia, abusando dell’incertezza della situazione e del bisogno del pubblico di informazioni affidabili, i criminali hanno imperversato con ingegneria sociale (phishing, truffe BEC), attacchi DDoS (Distributed Denial of Service) ransomware, trojan e distribuzione di materiale pedopornografico.
Da un lato i criminali informatici impiegano una strategia più a 360° con competenze crescenti nello sfruttamento di strumenti, sistemi e vulnerabilità, assumendo false identità e lavorando in stretta collaborazione con altri criminali informatici; dall’altro le vittime potenziali subiscono a causa di misure di sicurezza inadeguate o di scarsa consapevolezza, tanto che gli attacchi non devono essere necessariamente raffinati per avere successo.
Anche le frodi digitali, in numero sempre maggiore, testimoniano la presenza di attacchi targetizzati e mirati a determinati settori e tipologie di vittime.
L’attacco SIM Swapping, cioè lo scambio di SIM (Subscriber Identity Module) è una delle nuove tendenze chiave di quest’anno, che ha causato perdite significative e attirato una notevole attenzione da forze dell’ordine.
Consiste nell’elusione delle misure di autenticazione a due fattori (2FA) basate su messaggi di testo (SMS) ottenendo il pieno controllo sugli account sensibili delle vittime.
Sul fronte dei malware, i criminali hanno convertito alcuni tradizionali trojan bancari in malware modulare più avanzato per coprire una gamma più ampia di funzionalità. Anche i ransomware sono stati modificati per essere più aggressivi ed aumentare la pressione verso il riscatto.
Queste forme evolute di malware costituiscono una delle principali minacce perché la loro natura adattabile ed espandibile li rende sempre più complicati da combattere efficacemente. Michele Onorato in proposito sottolinea come le varianti del malware siano un tema fondamentale dati i tempi con cui sono create che oggi sono rapidissimi, diversamente da qualche tempo fa, in cui si impiegava diverso tempo prima di incrociare la variante di un malware noto.
Un secondo aspetto da sottolineare riguarda il comportamento dei malware che fino a qualche tempo fa erano immediatamente visibili per le azioni che effettuavano. Oggi sono silenti, senza “rumore” al momento dell’infezione, con poche azioni diluite nel tempo per non farsi accorgere dai sistemi di detection.
Dunque, in generale il malware tende ad un cambio di tipologia di attacco facendosi notare sempre meno, come velocità, come tempo di sedimentazione e sembra maggiormente ibridato con le APT (Advanced Persistent Threat) da cui ha ereditato le tecniche di evasione riuscendo a sottrarsi ai sistemi EDR (Endpoint Detection & Response).
Quanto ai ransomware, continua Michele Onorato, sono equipaggiati con la capacità di essere interattivi con la vittima che si trova pressata con tecniche di social engineering verso il tranello.
Anche in questo caso si può riconoscere una ibridazione con le APT con cui condividono la tecnica di avvio della Kill Chain di attacco.
A volte il ransomware veniva intercettato dai sistemi di protezione appropriati, ma oggi il ransomware per evitare questa eventualità, utilizza un meccanismo di dialogo con la vittima per interessarlo in modo lecito e solo in un secondo momento si trasforma in un attore malevolo.
Siamo quindi al livello di truffa, perché si cerca di carpire la fiducia della vittima per poi colpirla e farla pagare sfruttando tutti i modi possibili.
D’altra parte, gli stessi criminali facendosi pagare in criptovalute, complicano la capacità delle forze dell’ordine di tracciare i pagamenti collegati ad attività criminali. Da notare che spesso le vittime pagano i riscatti considerandoli come il male minore sebbene sarebbe vietato, questo perché temono il danno di immagine conseguente alla divulgazione della notizia dell’attacco subìto.
Purtroppo, nemmeno scattano le denunce che potrebbero invece tutelare l’identità digitale da eventuali correlazioni con altri crimini, proprio come avveniva nel mondo reale, con l’auto rubata al singolo ed utilizzata successivamente per una rapina. Gli attaccanti sanno di queste remore e cavalcano quindi l’onda “omertosa”.
L’approccio alla sicurezza per le infrastrutture critiche
Tutti gli attacchi discussi fin qui possono intaccare strutture pubbliche e private, ma è evidente dai fatti di cronaca, come la compromissione di strutture che erogano servizi al cittadino possa avere conseguenze rovinose.
Si ricorda a titolo di esempio la donna morta in Germania durante un attacco ransomware all’ospedale universitario di Düsseldorf. Varie fonti ed esperti lo definiscono come, probabilmente, il primo decesso direttamente collegato a un attacco informatico a un ospedale.
In questo contesto così sensibile, Michele Onorato sottolinea come nel 2021 vedremo più attacchi alle infrastrutture critiche e industriali perché soprattutto per il mondo industriale gli impianti produttivi non hanno refresh tecnologico ottimale: i sistemi SCADA e PLC potrebbero essere obsoleti in quanto il refresh di tali sistemi e l’aggiornamento degli stessi avviene molto lentamente nel tempo per ragioni di business e perché gli ambienti produttivi sono sempre attivi.
Se circa venticinque anni fa la security era solo fisica e i sistemi critici isolati dal resto del mondo, oggi con gli impianti interconnessi al web e con le evoluzioni da industria 4.0 la vulnerabilità è diventata evidente. il mondo OT non è pronto ed evoluto per le connessioni verso l’esterno, perché mancano le protezioni necessarie.
Gli aspetti di security non sono considerati come sarebbe necessario e questo stato di impreparazione è terreno fertile per gli attaccanti che trovano vie facili per accedere.
Un esempio rappresentativo è il caso di un hotspot installato in un impianto critico per permettere al tecnico che abitava davanti al sito di accedere da remoto. Ma è evidente che una simile configurazione faciliti attacchi MitM (Man in the Middle).
Dunque, ogni azienda di servizi essenziali o primari e critici dovrebbe pensare al connubio ottimale fra efficienza e sicurezza per non facilitare la vita agli attaccanti.
Troppo spesso i decisori si focalizzano su aspetti di business ed erogazione del servizio, tralasciando la sicurezza e la security by design. Solo dopo un attacco, comprendono gli impatti potenziali e cercano di riparare, anche se in quel momento è ovviamente tutto più complicato.
Gli imprenditori non considerano ancora il rischio di un cyber attacco come un rischio di business e non considerano la sicurezza informatica come un suo abilitante.
Anche l’ambito dell’IoT risente di queste dinamiche o il settore degli smart vehicles. Si guarda molto alla velocità del business rispetto alla security considerata come “ingessante”. In questo senso chi difende dovrebbe sforzarsi di ragionare su una sicurezza minima indispensabile per difendere senza appesantire processi e performance.
Occorre, infine, cyber security awareness per instillare una cultura della security. Ogni componente dell’azienda dovrebbe capire e conoscere in che modo i suoi strumenti di lavoro siano correlati ai rischi di sicurezza e come il suo comportamento incida su questi rischi.
Tutto ciò per evitare il click compulsivo alle numerose e-mail di phishing che fanno da ingresso alle infezioni digitali. Non sono esclusi i ragazzi che sebbene nativi digitali, non sono immuni da minacce specifiche: pedo-pornografia, body shaming, cyber bullismo.
L’ambito delle nuove tecnologie
Sul fronte delle nuove tecnologie dobbiamo guardare all’AI e all’avvento dei computer quantistici. In entrambe i casi questi nuovi tool potranno supportare la cyber security con nuove capacità ma è necessario guardare anche a come proteggere questi stessi ambiti da attacchi che potrebbero riguardarli.
Sul primo punto in particolare interviene ancora Michele Onorato, sottolineando come l’intelligenza artificiale sarà sempre più necessaria in quanto la mole di dati da trattare in ambito cyber è e resterà molto rilevante.
La velocità della raccolta dati non permette un’analisi solo basata su capacità umane, rendendo necessaria una “pre-analisi” mediante strumenti e soluzioni apposite.
Dunque, il focus si sposterà sempre più sulla behavior analysis in quanto il cambiamento comportamentale di un utente o di una macchina è l’elemento che può far intercettare attività di tipo malevolo.
Nel 2021 dovremmo aspettarci un’evoluzione di soluzioni di automazione che permettano di svolgere attività routinarie o su procedure definite in modo automatico per consentire all’analista di sicurezza di concentrarsi sugli attacchi più complessi e sulla prevenzione degli incidenti.
Invece, con l’avvento dei computer quantistici si dovrà ragionare in modo diverso e commisurato alla maggiore capacità elaborativa; ad esempio, in tema crittografia, quello che oggi pensiamo essere sicuro probabilmente non lo sarà più.
Non cambierà il modo di affrontare la security oggi, basata su due aspetti fondamentali: conoscenza e visibilità. Se “si conosce” la propria azienda, i processi di business e le normative cui si deve aderire, si riesce più facilmente ad ipotizzare un framework di sicurezza a 360° che va dall’organizzazione all’implementazione delle misure tecniche e al miglioramento continuo dettato dai cambiamenti aziendali e dalle nuove minacce ed i nuovi attacchi.
I mezzi che implementano la “visibilità” completa, invece, aiutano a controllare ciò che succede in azienda ed a contrastare le minacce in modo efficace ed a contenere gli incidenti di sicurezza.
Catherine de Bolle, fra gli strumenti da perseguire, indica la cooperazione internazionale come cruciale per la “necessità e l’efficacia che ne scaturisce in materia di applicazione della legge nella lotta alla criminalità informatica insieme al ruolo vitale svolto dai partenariati pubblico-privato in questo settore ed Europol abilita le diverse parti interessate per riunirsi, scambiare informazioni e intraprendere azioni concertate”.
Per tutti gli altri, si consiglia un forte orientamento all’infosharing perché la condivisione delle informazioni, fra vittime potenziali ed effettive, è al centro di qualsiasi risposta strategica, tattica e operativa indipendentemente dal tipo specifico di crimine informatico.
Insieme a questa, le tre principali armi a disposizioni sono costituite da: consapevolezza sulla minaccia, prevenzione, e rafforzamento delle capacità. Educare le persone e le organizzazioni a riconoscere l’attività criminale permette di evitare di caderne vittima.
Occorre anche sottolineare l’importanza della responsabilità dell’industria nell’integrare la sicurezza e la privacy nella propria progettazione come principi fondamentali, invece di lamentare sempre e solo verso gli utenti finali di essere l’anello debole della catena.
La centralità della responsabilità del singolo unitamente a quello dell’intera azienda è uno degli elementi abilitanti di qualsiasi strategia di cyber security.
Contributo editoriale sviluppato in collaborazione con Westpole
