Se un responsabile della sicurezza IT aziendale dovesse chiedersi perché mai fare un vulnerability assessment, troverebbe un’inequivocabile risposta nel Rapporto Clusit sulla sicurezza ICT in Italia” datato marzo 2022: gli attacchi da parte dei criminali informatici crescono in quantità e in qualità. “E nessuno si deve sentire al sicuro”, aggiunge Francesco Arruzzoli, Responsabile Centro Studi Cyber Defense di Cerbeyra, un esperto in tema di vulnerabilità.
Attacchi cyber, sarà un anno terribile: i segnali nel rapporto Clusit 2022
Indice degli argomenti
Sempre più attacchi, sempre più raffinati
Quello che dipinge il nuovo Rapporto Clusit è un panorama a tinte fosche dove il cyber crime si dimostra sempre più protagonista. Clusit rileva che nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente e sono sempre più gravi. Le nuove modalità di attacco evidenziano come i cyber criminali siano sempre più sofisticati e in grado di fare rete con la criminalità organizzata. Prova ne è che l’86% degli attacchi (+16% rispetto al 2020) ha avuto come motivazione il cyber crime. E ciò che è peggio è che nel 2021 il 79% degli attacchi rilevati ha avuto un impatto “elevato”, contro il 50% del 2020.
Per la prima volta dopo diversi anni i ricercatori di Clusit rilevano che l’obiettivo più colpito a livello globale non è più quello dei “Multiple targets”. Questo significa che i cyber criminali non colpiscono più in maniera indifferenziata obiettivi molteplici, ma mirano a bersagli ben precisi. L’obiettivo più colpito è il settore governativo/militare, con il 15% degli attacchi totali, in crescita del 36,4% rispetto all’anno precedente; segue il segmento informatico, colpito nel 14% dei casi (+3,3% rispetto al 2020), e la sanità, che raggiunge il 13% del totale degli obiettivi colpiti, in crescita del 24,8% rispetto ai dodici mesi precedenti. Segue l’istruzione, pari al 9% del totale, sostanzialmente stabile rispetto al 2020.
In Italia, i settori più colpiti sono stati Finance/Insurance e Pubblica Amministrazione, che insieme raggiungono circa il 50% dei casi. Al terzo posto si colloca l’industria, che con il 7% supera la sanità per numero di attacchi e fa registrare una preoccupante crescita del 18% rispetto al 2020.
Nessuno è al sicuro
I dati del Rapporto Clusit sono chiari: gli attacchi sono sempre di più e sempre più raffinati. E non si tratta di qualche hacker che agisce per mostrare le proprie abilità a individuare eventuali falle in un sistema di sicurezza IT che si pensava inviolabile. Ora praticamente in 9 casi su 10 si tratta di azioni criminali indirizzate a obiettivi mirati e con scopi precisi. Sempre più spesso l’attacco porta alla richiesta di denaro. In questo senso, il malware, con i ransomware in testa, secondo i dati Clusit fa registrare un +58% anno su anno in termini di server compromessi.
La tendenza è chiara e non deve far pensare che solo grandi aziende e Pubblica Amministrazione siano gli obiettivi degli attacchi. Infatti, spesso alle grandi strutture i cyber criminali arrivano attaccando quelle più piccole che per motivi commerciali o per la fornitura di servizi hanno un rapporto con le grandi organizzazioni e quindi possono collegarsi alla loro rete. Perciò, quando si pensa alla sicurezza IT si dovrebbe sempre partire dal presupposto che nessuno è al sicuro.
“Va poi considerato che un ransomware, come tutti i malware, non può agire in modo autonomo, ma è necessario che ci sia una causa scatenante, solitamente un’azione compiuta da una persona a fronte di una mail di phishing – precisa Arruzzoli –. Tuttavia, se il ransomware si attiva vuol dire che è entrato nella rete e ha superato il sistema di sicurezza. Quindi, con tutta probabilità, ha sfruttato una vulnerabilità che non era conosciuta, ma che poteva essere sicuramente individuata se si fosse eseguito un vulnerability assessment”.
Scovare i propri punti deboli con il vulnerability assessment
Come detto, il vulnerability assessment ha l’obiettivo di individuare i punti deboli di tutte le difese messe in atto per contrastare gli attacchi. Per raggiungere tale obiettivo risulta perciò chiaro che si deve mettere alla prova tutto il perimetro aziendale, compresi quindi i computer di eventuali lavoratori remoti o i dispositivi di persone anche non dipendenti ma che per qualche motivo hanno la possibilità di accedere alla rete aziendale.
In pratica si devono lanciare degli attacchi per identificare come rispondono le difese della rete. Siccome si agisce come agirebbero dei cyber criminali, il vulnerability assessment fa parte di quelle attività di indagine dette di ethical hacking.
“Oltre a controllare la sicurezza – sottolinea Arruzzoli – il vulnerability assessment è un ottimo metodo per fare un inventory degli asset e verificare la composizione dell’infrastruttura IT. Infatti, il primo passo da compiere è avere una chiara visione sia sulla parte interna sia su quella esterna della rete in termini di hardware e software. Attraverso poi il vulnerability assessment si verifica l’hardening di questi sistemi controllando se le configurazioni sono corrette e quindi funzionali, se sono state applicate tutte le patch disponibili e qual è il livello delle funzionalità dei servizi che vengono esposti”.
Una volta completato il vulnerability assessment, si ottiene un report in cui sono elencate le eventuali vulnerabilità riscontrate in funzione del grado di gravità. Spetta poi all’azienda decidere se e quando porre rimedio.
Perché è vantaggioso l’outsourcing
Il vulnerability assessment può essere eseguito da personale aziendale, ma molto più di frequente si preferisce avvalersi di un servizio in outsourcing.
I motivi sono diversi. In primo luogo, è un procedimento che richiede competenze specifiche e strumenti adatti, due cose che solitamente è difficile reperire in azienda.
Inoltre, per un’azienda avviare un vulnerability assessment può voler dire agire manualmente e quindi dedicare persone e sforzi al test per un periodo di tempo che può non essere breve.
Infine, “il risultato ottenuto è una fotografia della situazione nel momento in cui è stato completato il test – afferma Arruzzoli – che però quando si consulta il report può essere già cambiata perché magari si è concesso di accedere alla rete aziendale a un nuovo consulente o perché è stata rilasciata una nuova patch. Un provider invece non solo può effettuare il test in automatico, ma può anche eseguirlo ininterrottamente h24, fornendo quindi un risultato decisamente più preciso e che contempla ogni possibile variazione che può subire il perimetro aziendale”.
Meglio all’esterno, ma attenzione a chi si sceglie
È evidente come sia ben più vantaggioso sia in termini di impegno sia di risultati affidare in outsourcing l’esecuzione di un vulnerability assessment. Tuttavia, non va mai dimenticato che si sta consentendo a un esterno l’accesso a tutta la rete e che quindi può arrivare senza difficoltà al bene aziendale più prezioso: i dati. Va da sé, quindi, che la società che si occupa del test deve essere un MSSP (Managed Security Service Provider) assolutamente affidabile e di comprovate competenza ed esperienza.
Contributo editoriale sviluppato in collaborazione con Cerbeyra
