Fra le previsioni che si possono fare sui trend della cyber security per questo nuovo anno, almeno una è banale: ci saranno più attacchi, con maggiori impatti. Non è, in sé, un segno di maggiore insicurezza: la digitalizzazione prosegue, attività critiche ed economicamente rilevanti si spostano ulteriormente in rete e naturalmente la criminalità segue i soldi.
Indice degli argomenti
Phishing e malware, sempre loro
Una diminuzione degli attacchi o del loro impatto è difficile da immaginare nel prossimo futuro: le tecnologie e i servizi digitali evolvono rapidamente, permeando ogni aspetto della nostra società, generando maggiore efficienza, nuove opportunità ma anche nuove vulnerabilità che i criminali imparano rapidamente a sfruttare.
La capacità di lavorare da casa nel corso del lockdown, grazie soprattutto alle piattaforme di videoconferenza, e gli attacchi alla sanità dell’ultimo periodo, rappresentano bene entrambe le tendenze.
Al di là di questo, alcune altre previsioni sono relativamente facili: gli attacchi continueranno a sfruttare per la maggior parte gli stessi punti deboli degli anni passati, in particolare phishing e malware continueranno ad essere i vettori principali, anche se molti prevedono un aumento nell’utilizzo di 0-day.
L’importanza dei backup offline
Continueranno gli attacchi di BEC (Business email compromise) che sono spesso funzionali ad altri attacchi come quelli che mirano a indurre ad utilizzare IBAN dell’attaccante per i pagamenti. Infine, è facile prevedere che aziende e pubbliche amministrazioni, anche grandi, continueranno ad essere vittima, più che degli attacchi, potremmo dire, della mancata implementazione delle misure di sicurezza di base. Ne sono un esempio la mancanza di backup offline anche per dati importanti, o la presenza di vulnerabilità anche gravi, non corrette per i motivi più vari.
Restando sul fronte degli attacchi, ci si aspetta un ulteriore aumento degli attacchi mirati rispetto a quelli generici, con una maggiore attenzione, una volta avuto accesso ai sistemi della propria vittima, ad individuare le modalità più efficaci per ottenere dei soldi.
Prendendo ancora i backup come esempio, in alcune aziende c’è ancora curiosamente la convinzione che un attaccante che sia riuscito ad entrare nel sistema informativo aziendale, per qualche motivo non abbia poi la capacità di “scoprire” che ci sono dei backup (online) dei dati, e di cancellarli, con le conseguenze che si continuano a vedere fin troppo spesso.
Attacchi verso l’IoT
Un altro fronte che ci si aspetta sia importante e in crescita è quello dell’Internet delle cose. La digitalizzazione e lo sviluppo dei servizi da remoto favoriscono la creazione di servizi in tempi rapidi di soluzioni IoT che spesso sono progettate senza la necessaria attenzione alla sicurezza, con componenti in cloud spesso realizzati attraverso diversi livelli di subfornitura sui quali è difficile avere un controllo. Non ci sono solo i grossi fornitori di piattaforme IaaS/PaaS, c’è anche un gran numero di fornitori di piattaforme e servizi verticali che diventano parte integrante di molti servizi.
Ci si aspetta un aumento dell’attenzione, da parte degli attaccanti, a questo tipo di componenti, anche eventualmente in termini di denial of service. La fiducia di tanti utenti nella resilienza “incondizionata” da parte servizi in cloud agli attacchi potrebbe essere messa seriamente alla prova.
Autenticazione a due fattori
Un altro tema legato al cloud che può avere una definitiva accelerazione nel 2022 è quello dell’autenticazione a due fattori. Paradossalmente, meccanismi di autenticazione a due fattori e adattiva sono ormai disponibili per buona parte delle principali piattaforme in cloud pubblico, ma molte aziende continuano ad utilizzare la semplice autenticazione con password anche per servizi critici come Office 365, per non parlare di quelli sviluppati in proprio.
Nel 2022 questo tipo di debolezza potrebbe essere oggetto di maggiore attenzione da parte degli attaccanti, spingendo verso meccanismi più robusti. Questo, a sua volta, renderà ancora più critici i dispositivi personali come gli smartphone, che sempre più concentrano la nostra identità su Internet ed i meccanismi di autenticazione.
Attacchi alla supply chain
Tutto questo si inquadra nel tema più generale degli attacchi alla supply chain, che ci si aspetta diventino sempre più rilevanti. Anche questo è rappresentativo del passaggio in corso da una prevalenza di attacchi principalmente automatici, che quindi tengono conto limitatamente delle specificità e “potenzialità” delle aziende attaccate, ad un maggior numero di attacchi per i quali è automatizzata la prima parte, ovvero l’accesso attraverso malware, mentre una volta ottenuto l’accesso, il bersaglio viene analizzato per individuare i dati di valore e gli ulteriori bersagli raggiungibili.
O anche, attacchi interamente mirati, sia come selezione del bersaglio che come modalità di attacco, ad esempio attraverso spear phishing. Possiamo aspettarci sempre più che debolezze del sistema informativo aziendale che potevano resistere al semplice malware vengano invece riconosciute e sfruttate.
Gli attacchi alla supply chain si possono inquadrare in questa ultima modalità: spesso sono aziende che non hanno grande interesse e valore in sé, ma ne hanno per le reti e i dati che permettono di raggiungere.
Esternalizzare la gestione della sicurezza
Per contro, le aziende dovranno aumentare la loro attenzione ai propri fornitori, sia in fase di selezione, che attraverso attività di audit più sostanziali, che attraverso una maggiore attenzione alle modalità con cui servizi dei fornitori si integrano con il sistema informativo aziendale. La capacità da parte delle aziende di essere efficaci dipenderà molto dalla loro maturità in termini di attenzione alla cybersecurity, che purtroppo non è sempre correlata alla criticità e al valore dei loro dati e servizi.
In questo contesto, potremmo vedere accentuarsi una tendenza, già in atto, all’esternalizzazione o all’acquisizione di servizi SOC, e di gestione della sicurezza in generale, che possono avere in generale una visione degli scenari di attacco rispetto a quella che può avere la singola azienda, e che possono avere a disposizione professionalità che spesso la singola azienda non si può permettere. Nella stessa logica, si dovrebbe diffondere l’utilizzo di servizi CERT, anche legati alle normative che ne istituiscono, e per facilitare la condivisione di informazioni, ad esempio per contenere le vulnerabilità della supply chain.
Ransomware: il futuro dei riscatti
Proprio in relazione alla supply chain, possiamo aspettarci per il 2022 che comincino a vedersi gli effetti della normativa, nazionale ed europea, che dedica molta attenzione a questo tema, come quella relativa al perimetro cibernetico nazionale, la Direttiva NIS, ed altre normative anche in fase di predisposizione. Quantomeno si cominceranno a vedere gli effetti in termini di oneri per le aziende, se non già in termini di efficacia.
Possiamo probabilmente aspettarci una minore centralità dalla “conformità al GDPR” a favore di attività per la conformità a norme che affrontano rischi più affini a quelli propri delle aziende. L’attenzione al tema da parte delle istituzioni è dimostrata ad esempio, oltre che dall’attività legislativa in corso, dal discorso di apertura di Christine Lagarde all’ European Systemic Risk Board, dove i “cyber incident” sono stati uno dei due temi trattati, insieme al cambiamento climatico. E uno dei temi che potrebbe diventare oggetto di dibattito e di attività legislativa è quello della liceità e opportunità del pagamento del riscatto in caso di attacchi ransomware: il tema ha cominciato ad essere discusso già nel 2021, ma possiamo aspettarci che l’attenzione aumenti.
Un mercato in espansione
Dal punto di vista delle tecnologie più avanzate, da tempo si parla di intelligenza artificiale sia negli attacchi che nella difesa. Da più parti si ipotizza ad esempio un aumento dei deep fake nell’impersonazione degli individui in fase di identificazione e autenticazione, o per attività di phishing.
In tutto questo, il mercato del lavoro per i professionisti della sicurezza, che già nel 2020 e nel 2021 è stato molto vivace, con una domanda di gran lunga superiore all’offerta, specialmente a quella di qualità, non potrà che continuare nella direzione di una domanda sempre maggiore. Questa non è in generale una buona notizia per le aziende, che avranno difficoltà a trovare competenze sul mercato, ma può non esserlo neanche per i professionisti del settore. La domanda è già alta, come anche i compensi, che difficilmente saliranno molto di più.
Per contro, già in altre occasioni si è visto che quando il mercato è disposto ad assorbire per necessità anche competenze limitate, entrano anche soggetti (aziende e professionisti) con competenze più millantate che reali, con conseguente calo della qualità ed effetto boomerang non appena la domanda inizia a stabilizzarsi.
Attacchi tra stati
Quello che però possiamo certamente aspettarci è una maggiore diffusione dei ruoli specificamente dedicati alla gestione della sicurezza, e in particolare di quello del CISO, anche come servizio, ed una collocazione più adeguata nell’organigramma aziendale, ad esempio riportando alla Direzione anziché al CIO.
Tutto questo al netto di quanto possa derivare dall’evoluzione dello scenario geopolitico. Un aumento delle tensioni fra stati e blocchi potrebbe portare ad un’escalation degli attacchi sponsorizzati da stati sovrani, in generale particolarmente sofisticati e aggressivi, e in questo caso è difficile prevedere le conseguenze, anche in termini di necessità di interventi per la difesa delle infrastrutture e organizzazioni più critiche.