È un momento critico per le aziende di tutto il mondo, caratterizzato da avversari informatici sempre più sofisticati, implacabili e distruttivi nei loro attacchi, come riporta l’ultima edizione del Global Threat Report 2023 di CrowdStrike e come dimostrato anche dalle tendenze emerse nel 2022 che hanno minacciato la produttività delle imprese e la stabilità mondiale.
Per tali ragioni, è indispensabile che le aziende si concentrino su questi continui cambiamenti che contraddistinguono il panorama delle minacce informatiche e attivino un approccio di risposta basato su una strategia di difesa più forte e proattiva.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Il ruolo degli Stati-Nazione
Per tutto il 2022, l’attività degli Stati-Nazione è stata al centro dell’attenzione degli esperti in sicurezza informatica, a partire dall’invasione russa nel territorio ucraino che, oltre ad aver avuto un inestimabile costo umano, ha minacciato l’ordine internazionale e messo innumerevoli organizzazioni e imprese globali a rischio cyber attacchi a catena.
A ciò si aggiungono gli avversari Cina-Nexus che, nel corso dell’anno passato, hanno accelerato le loro campagne di spionaggio informatico e gli autori delle minacce informatiche iraniani, che si sono concentrati su operazioni distruttive di “lock-and-leak” utilizzando il ransomware.
Gli avversari hanno continuato ad adattare e perfezionare le loro tecniche, facendo leva sul riutilizzo delle vulnerabilità, sullo sfruttamento del cloud e su un aumento degli attacchi malware-free.
Inoltre, si è verificato un aumento vertiginoso degli annunci di access broker, che acquisiscono l’accesso alle organizzazioni per poi fornirlo o venderlo ad altri attori, compresi gli operatori di ransomware.
Un’altra tattica particolarmente diffusa è stata l’abuso di credenziali compromesse, acquisite tramite l’infostealer o acquistate in modo clandestino, entrambi elementi che confermano l’interesse dei cyber criminali a prendere di mire le identità rilevate lo scorso anno: il rapporto 2022 di CrowdStrike ha infatti rivelato che l’80% dei cyber attacchi ha fatto leva su tecniche basate sull’identità.
Nuovi avversari criminali
I ricercatori di sicurezza hanno quindi iniziato a tracciare 33 nuovi avversari nel 2022, portando il numero totale a oltre 200.
Per bloccare le violazioni è necessario comprendere tali avversari, le loro motivazioni e le tecniche che utilizzano per colpire le aziende.
Di seguito sono riportate alcune delle tendenze e dei risultati emersi dal rapporto di quest’anno:
- L’utilizzo del cloud è cresciuto vertiginosamente: il Global Threat Report dello scorso anno prevedeva un aumento dell’utilizzo del cloud, una tendenza che si è manifestata nel 2022. I casi di sfruttamento del cloud sono cresciuti del 95% lo scorso anno e gli attacchi che coinvolgono autori delle minacce “cloud-focused” sono quasi triplicati rispetto al 2021. Il cloud continua ad evolversi come nuovo campo di battaglia, caratterizzato da avversari che prendono sempre più di mira questi ambienti.
- Gli attacchi malware-free continuano ad aumentare: gli avversari più sofisticati hanno cercato senza sosta nuovi modi per eludere le protezioni antivirus e superare le difese meccaniche. Il 71% degli attacchi rilevati era malware-free, mentre le intrusioni interattive (attività di hands-on keyboard) sono aumentate del 50% nel 2022.
- Gli avversari hanno riutilizzato nuovamente le vulnerabilità: la costante divulgazione di vulnerabilità che riguardano infrastrutture legacy (come Microsoft Active Directory) ha continuato a gravare sui team di sicurezza e ad offrire una porta aperta per gli attaccanti, mentre la diffusa vulnerabilità di Log4Shell ha inaugurato una nuova era di “riscoperta delle vulnerabilità”, durante la quale gli avversari modificano o riapplicano lo stesso exploit per colpire altri prodotti altrettanto vulnerabili.
- Gli avversari Cina-Nexus hanno intensificato le loro operazioni: CrowdStrike Intelligence individua negli avversari Cina-Nexus i gruppi di intrusione mirata più attivi. Gli avversari legati alla Cina, e gli attori che utilizzano TTP coerenti con essi, hanno preso di mira quasi tutti i 39 settori industriali globali e le 20 regioni geografiche monitorate. Queste intrusioni hanno probabilmente lo scopo di raccogliere informazioni strategiche, compromettere la proprietà intellettuale e favorire la sorveglianza di gruppi mirati.
Sicurezza e innovazione devono andare di pari passo
Il rapporto mostra che la sicurezza deve necessariamente andare di pari passo con l’innovazione tecnologica: la maturazione della tecnologia aziendale deve infatti essere accompagnata da un livello di sicurezza in grado di evolversi e, dunque, adeguarsi alla ricercatezza della tecnologia su cui le aziende fanno affidamento.
Questo adattamento all’innovazione trova riscontro anche nell’attività degli avversari: ad ogni innovazione è possibile aspettarsi che gli avversari cerchino nuovi modi per sfruttarla.
È fondamentale bloccare le compromissioni per consentire alle aziende di ogni settore e dimensione di procedere nelle loro attività aziendali e mantenere alta l’operatività, facendo leva sulla tecnologia e sull’intelligence necessarie a mantenere il vantaggio sull’avversario.
È altresì di primaria importanza fare affidamento su una strategia di sicurezza informatica solida, che abbia inizio dalla conoscenza degli avversari che popolano lo scenario delle minacce informatiche, delle loro tattiche e delle vulnerabilità che cercheranno di sfruttare.
Il rilevamento e la risposta degli endpoint (EDR), l’Extended Detection & Response (XDR), la protezione dalle minacce all’identità, la sicurezza del cloud, la gestione delle vulnerabilità e dei rischi, le informazioni sulle minacce sono solo alcuni dei capisaldi di un’adeguata strategia di sicurezza aziendale.
Articolo originariamente pubblicato il 27 Mar 2023
