Dopo due anni di caos segnati dalla pandemia, ci si prospettava un graduale ritorno alla normalità. Invece, il 2022 ha portato con sé l’inizio del conflitto russo-ucraino e tutte le conseguenze che questo comporta.
Nell’ambito della cyber security ciò ha determinato l’inizio della guerra cibernetica, un campo di battaglia diverso dal solito e che utilizza i wipers per colpire obiettivi all’interno e all’esterno del campo di battaglia fisico.
E non solo, perché nello stesso momento si sono sviluppate nuove superfici di attacco, che sfruttano le identità e i workload in cloud per gli asset, l’escalation dei privilegi e i lateral movement.
Indice degli argomenti
Imparare dal passato per costruire il futuro
Dallo scorso anno abbiamo imparato che le minacce più gravi e sofisticate sono state messe in atto da piccoli gruppi di criminali e hacktivisti, ciò significa attacchi più semplici e banali, ma di grande successo.
Gruppi di giovani hacker, conosciuti come “criminalità disorganizzata”, sono riusciti a introdursi in decine di aziende ben strutturate e riconosciute sfruttando la confusionaria rete di contatti apparentemente fidati che le aziende vantano, ma che in realtà sono un varco di accesso per entrare nei sistemi aziendali.
È chiaro che nel 2023 si deve accettare che l’autenticazione hardware a più fattori, le sessioni di breve durata e i privilegi degli account fortemente ridimensionati devono diventare la base dello standard ottimale della sicurezza aziendale.
Contemporaneamente, il monitoraggio deve diventare più dettagliato, abbandonando la concezione di gruppi ransomware isolati per riconoscere la prevalenza di gruppi affiliati più piccoli (spesso impegnati con più brand RaaS, Ransomware as a Service).
Forse, a questo livello di osservabilità, si potranno notare più velocemente i tentativi di utilizzare il ransomware come copertura inconsistente per le attività di uno Stato Nazione.
Questa sfaccettatura si sposa con l’abuso di un campo sempre più popolato di hacktivisti che emergono per rappresentare diversi lati di conflitti caldi e tensioni sociali attraverso attacchi DDoS sopravvalutati e operazioni di hack-and-leak sottovalutate, i cui effetti a lungo termine sono del tutto imprevedibili.
Quando funziona davvero la cyber security
Nel 2023 il mercato della cyber security deve sapersi adattare ancora di più al modello di utilizzo dei prodotti di cybersecurity.
I team di sicurezza non si accontentano più di “acquistare più prodotti dallo stesso vendor o da più vendor” o di “spingere tutto su un unico data-lake”, ma chiederanno workflow olistici, agenti unificati e sinergie tra prodotti che forniscano effettivamente un valore superiore alla somma delle sue parti.
Il futuro sembra prevedere un numero sempre maggiore di collaborazioni tra i vendor: nel 2023 ci si aspetta che ognuno fornisca valore singolarmente e contribuisca anche ad assicurare maggiore valore ai prodotti già esistenti nello stack di sicurezza dell’organizzazione.
La data retention deve essere più semplice e conveniente
L’importanza dei dati è indiscutibile. Tra normative di conformità, attacchi low-and-slow e l’aumento generale del livello di competenza degli analisti, la maggior parte dei clienti può e deve fare di più con i dati sulla sicurezza.
Il prezzo e la complessità di questo processo sono i fattori che determineranno il cambiamento. I SOC inizieranno a cercare soluzioni alternative per l’analisi e l’archiviazione dei dati che abbiano più senso in termini di costi, scalabilità, prestazioni e facilità d’uso.
Cercheranno miglioramenti su tutta la linea, da “come ottenere i dati” a “come accedere ai dati storici”, da “quanto saranno frammentati i dati” e infine a “quanto può costare”.
Nessuno è davvero al sicuro (se non sa proteggersi)
Una grande lezione che abbiamo appreso nel 2022 è che sicuramente nessuno è immune ai cyber attacchi, come dimostrano gli episodi che hanno visto protagonisti Okta, Nvidia, Samsung, Ubisoft, T-Mobile, Microsoft e Uber.
È difficile credere che dietro questi attacchi non ci siano Stati Nazione ben sponsorizzati o organizzazioni criminali informatiche globali, ma (presumibilmente) un gruppo di giovani hacker che si sono incontrati online e hanno collaborato, senza nemmeno una motivazione finanziaria.
L’approccio Zero Trust sembra essere la soluzione per il 2023, ma ci sono comunque diversi aspetti da considerare. Come ad esempio i budget sempre piuttosto ridotti per la sicurezza.
L’epoca d’oro del social engineering
Come è già stato ampiamente dimostrato, è sufficiente compromettere un utente per avere accesso a tutta l’infrastruttura di un’organizzazione. L’uso sempre più massivo dei social network, l’utilizzo di dispositivi utilizzati sia per scopi lavorativi sia per uso personale e una workforce sempre più’ decentralizzata e remota, e quindi meno controllabile, fanno si che gli investimenti degli attaccanti sul social engineering continueranno ad avere senso.
Il phishing è un problema irrisolto e continuerà a essere uno dei principali fattori di compromissione delle identità.
Considerazioni finali
I criminal hacker sono diventati sufficientemente collaborativi e il software e le tecniche di attacco dannose disponibili sono tali da portarci a un punto in cui gli aggressori sono ormai agnostici in termini di piattaforma e tecnologia. Dove esiste un punto debole, c’è un percorso da sfruttare.
Eppure, anche se il 2023 riserverà senza dubbio sorprese che nessuno è in grado di prevedere, c’è da aspettarsi che le organizzazioni che si proteggeranno e implementeranno una migliore strategia di controllo in cloud, delle identità e degli endpoint saranno molto più al sicuro.
Il futuro è imprevedibile per tutti, ma nella cyber security non è possibile affidarsi ciecamente alla fortuna.
