ANALISI/APPROFONDIMENTI/COMMENTI NUOVE TECNOLOGIE – Cyber security, ecco le quattro tecnologie che la stanno rivoluzionando – Minacce sempre più sofisticate richiedono contromisure di cyber security adeguate e in tempi brevi: ecco le quattro su cui si sta già lavorando e che promettono una lotta serrata al cyber crime

ANALISI/APPROFONDIMENTI/COMMENTI
NUOVE TECNOLOGIE
Cyber security, ecco le quattro tecnologie
che la stanno rivoluzionando
Minacce sempre più sofisticate richiedono contromisure di cyber
security adeguate e in tempi brevi: ecco le quattro su cui si sta già
lavorando e che promettono una lotta serrata al cyber crime
di Riccardo Meggiato – Coordinatore di “The Outlook”, Consulente in cyber
security e informatica forense
Se il danno economico del cyber crime fosse un’economia mondiale, si
troverebbe al terzo posto dopo Stati Uniti e Cina. E le prospettive di salire la
classifica, nei prossimi anni, sarebbero piuttosto buone, visto che si parla di
un incremento del 15% all’anno per arrivare, nel 2025, a un impatto di 10,5
trilioni di dollari.
Che il cybercrime stia conoscendo una crescita inarrestabile, del resto, non è
una sorpresa e la tendenza si conferma anche in Italia come viene ben
raccontato anche nell’ultima edizione del rapporto CLUSIT. In quella che è, di
fatto, una continua partita tra guardie e ladri, tuttavia, si ha sempre
l’impressione che le rime difficilmente riescono a reggere il passo dei secondi.
Banalmente, guardando le previsioni sui fatturati del mercato della cyber
security, si prevede di raggiungere i 146,30 miliardi di dollari nel 2022 e i
211,70 miliardi entro il 2026. Una tendenza in crescita, ma con valori assoluti
decisamente inferiori rispetto alla controparte criminale.
Una lotta tecnologica
Quella che, tuttavia, appare come una lotta impari, potrebbe trovare equilibrio
grazie alle tecnologie di nuova generazione dedicate proprio alla cyber
security. Il settore, infatti, è uno dei più attivi nella ricerca e sviluppo di nuove
soluzioni pronte a contrastare il cybercrime, e col tempo se ne sono affermate
alcune di particolarmente efficaci. Altre, tuttavia, o sono ancora in fase di
sperimentazione, oppure la loro adozione procede a rilento, vuoi per costi, o
per la difficoltà di integrarle negli abituali sistemi di protezione.
Vediamo a che stato sono alcune delle principali tecnologie pronte a dare
manforte al mondo della cyber security, proiettandola verso una nuova, e più
efficiente, dimensione.
Machine Learning
La più diffusa e utilizzata branca dell’intelligenza artificiale pare aver trovato
posto anche nella cyber security da qualche anno. Il tema, semmai, è se si
tratti di un pretesto commerciale oppure offra, effettivamente, dei vantaggi.
Partendo dal presupposto che la funzione più efficace del machine learning è
di analizzare pattern e ricavarne metodi di riconoscimento sempre più precisi
e versatili, questa tecnologia, nella cyber security, trova in effetti un utilizzo
efficace soprattutto nel campo della threat intelligence. Qui, infatti, una buona
tecnologia basata su Machine Learning è in grado di raccogliere enormi
quantità di dati, specie IoC, filtrarli in modo molto selettivo e, di fatto, offrire
come risultato una chiara indicazione sul tipo di minaccia che si rischia di
affrontare.
Uno degli esempi più avanzati, in questo senso, lo si ha con Darktrace, una
soluzione celebre per la sua rapidità di intervento e risposta. Anche Microsoft,
dal canto suo, sta utilizzando il machine learning per la sua piattaforma
Windows Defender Advanced Threat Protection e le funzioni legati alla
detection & response basate sul behavioral monitoring.
Anche Splunk, una delle principali soluzioni SIEM sul mercato, è stato tra i
primi a fare del machine learning il suo tratto distintivo. E non a caso, lo
utilizza nella threat intelligence e detection.
Questo campo, tuttavia, ha ancora margini enormi di sviluppo, per ridurre i
falsi positivi, migliorare le prestazioni e adattarsi in modo più efficiente a nuove
sorgenti di dati. In particolare, ci si sta sempre più concentrando su algoritmi
di Unsupervised Learning, che lavorano sui dati senza alcun tipo di inferenza
umana, di fatto automatizzando ancor più il processo decisionale offerto
dal machine learning. Quantità sempre più generose di dati richiedono una
maggiore automazione ed è qui che si sta giocando la partita principale nel
rapporto tra intelligenza artificiale e cybersecurity.
Blockchain
Algoritmi crittografici evoluti e di comprovata sicurezza, uniti a un modello a
consultazione aperta: la blockchain presenta, in effetti, i tratti distintivi della
tecnologia adatta alla cyber security.
Non a caso, si sta facendo molto su questo versante ormai da qualche tempo.
Al di là dell’efficacia dimostrata nel garantire la sicurezza delle transazioni, e
delle valutazioni di merito sul fatto che comunque esistano delle vulnerabilità,
la blockchain sta mostrando promettenti potenzialità nel garantire l’integrità
dei dati e nei sistemi di verifica delle identità digitali.
Philips Healthcare, per esempio, sta utilizzando la blockchain per garantire
che i dati sanitari raccolti non siano compromessi. Il lavoro da fare, negli
anni a venire, è uniformare un settore che al momento appare un po’
frammentato a livello tecnologico.
C’è, poi, il discorso legato alla diffusione della tecnologia: la sua integrazione
non è banale e mancano ancora sufficienti professionisti specializzati pronti a
occuparsene in un ambito critico come è quello della cyber security.
Protezione delle API
Stando a un rapporto di Gartner, le API (Application Programming Interface)
rappresentano e rappresenteranno sempre più uno dei principali punti di
vulnerabilità dei sistemi informatici. Da una parte, il fenomeno è dovuto
all’aumento esponenziale di questo comodo strumento di interfacciamento tra
sistemi diversi.
Dall’altra, la corsa allo sviluppo di API porta in dote numerose vulnerabilità,
spesso complesse da individuare. In uno studio di Salt Security, per esempio,
emerge che nel 2020 il 91% delle aziende intervistate ammetteva di aver
subito incidenti informatici dove erano state utilizzate in modo intrusivo proprio
le API.
La sensibilità verso questa problematica è aumentata, ma poco si è ancora
fatto nello sviluppo di tecnologie proattive in grado di schermare le API da
buona parte degli attacchi verso cui sono vulnerabili. E si tratta di una delle
principali sfide tecnologiche che la cybersecurity dovrà affrontare nei prossimi
anni. Una sfida da vincere con un progetto organico, che parte
dall’awareness.
Ancora oggi, infatti, ci si basa su protocolli obsoleti, come XML-RPC e SOAP,
mentre anche lo standard de facto, REST/RESTful, è comunque un protocollo
che risale al 2000.
C’è dunque, dapprima, la necessità di evolvere i protocolli, abbracciando
soluzioni più moderne che richiedono molto tempo prima di essere diffuse e
integrate (GraphQL e gRPC i principali candidati).
Poi, ovviamente, c’è un discorso più tecnologico, legato soprattutto allo
sviluppo di WAF (Web Application Firewall) di nuova generazione che
integrino più efficaci modelli di riconoscimento di traffico malevolo e di un
utilizzo non canonico di una API.
DevSecOps
L’integrazione di un modello di sviluppo che tenga conto della sicurezza fin
dalla progettazione procede spedita, ma non quanto si dovrebbe. Secondo
uno studio di IDC, il mercato del DevSecOps passerà dai 2,6 miliardi di
dollari del 2020 a 7,5 miliardi entro il 2025. Emergen Research azzarda
addirittura che si arriverà a 23,42 miliardi entro il 2028.
Dati confortanti, ma che mostrano numeri assoluti in realtà insufficienti e
spalmati in un arco temporale troppo ampio, viste le minacce legate proprio
alle vulnerabilità del codice.
Eppure, i principi di DevSecOps, da soli, possono contribuire in modo
importante alla mitigazione dei problemi di sicurezza. Soprattutto in questo
momento storico, di passaggio generazionale tra vecchie e nuove tecnologie.
Secondo il Cloud Threat Report di Unit 42, il 63% del codice di terze parti
utilizzato per sviluppare infrastrutture cloud contiene vulnerabilità o
misconfiguration.
Per contro, stando a Nico Waisman del GitHub Security Lab, il rapporto tra
professionisti di cyber security e sviluppatori è di 1 a 500, a dimostrazione che
nel mondo della produzione del software mancano competenze per
diffondere e integrare al meglio il DevSecOps.
E così, se da una parte è evidente la necessità di ridurre il gap, dall’altra
occorre affidarsi a soluzioni tecnologiche che mitighino le vulnerabilità in modo
automatizzato. È per questo che, tra gli strumenti di nuova generazione della
cyber security, rientrano di diritto quelli dedicato all’analisi automatizzata del
codice. Un campo nel quale si sono fatti passi da gigante ma dove vi sono
ancora ampi margini di miglioramento.
E qui, ancora una volta, entra in gioco l’intelligenza artificiale, in particolare il
machine learning, nel proporre una ricerca più ampia, veloce e precisa non
solo dei principali bug, ma anche di quelli più nascosti che possono dare il via
ad attacchi mirati e devastanti.
L’INTERVISTA
Il cybercrime in Italia secondo la Polizia
Postale: i consigli per difendersi
Dal 2020 al 2021 vi è stato un aumento del 98% degli arresti da parte
della Polizia Postale per frodi e crimini informatici. Il risultato di
un’attività sempre più capillare e puntuale, che tuttavia fatica di fronte
all’enorme massa di potenziali pericoli per aziende e cittadini. Ecco i
consigli da chi lavora sul campo
di Riccardo Meggiato – Coordinatore di “The Outlook”, Consulente in cyber
security e informatica forense
Il punto di partenza è un recente rapporto della Polizia Postale, che traccia
una situazione tutt’altro che rosea per chi si deve difendere da cyber crime e
minacce digitali di vario tipo. Abbiamo intervistato, per l’occasione, Ivano
Gabrielli, Direttore Servizio Polizia Postale e Telecomunicazioni, che ha offerto
una panoramica esaustiva del fenomeno e dispensato utili consigli per limitare
i danni e agevolare, nel caso, il lavoro degli agenti.
I dati peggiorano: ecco i principali motivi
Stando al recente rapporto di Polizia Postale, aumento del 98% degli arresti
rispetto al 2020 e del 17% per il numero di persone denunciate: su dati così
allarmanti e peggiorativi ha influito lo stato pandemico, ma ci sono altri motivi
più sommersi?
Si assiste, specie negli ultimi anni, ad un aumento esponenziale di attacchi
cibernetici, attestati in tutto il mondo nell’ordine di decine di milioni ogni giorno,
che si risolvono in violazioni di spazi e dei sistemi informatici
appartenenti a istituzioni, imprese e singoli cittadini, considerato che qualsiasi
attività umana, e dunque, nel suo risvolto patologico, ogni attività criminale,
assume oggi profili “cibernetici”.
Nell’anno 2021, il dilagare della pandemia da Covid-19 ha sensibilmente
inciso sullo scenario complessivo del cyber crime, costituendo un importante
terreno di azione, per attori virtuali ostili di ogni genere, per dirigere attacchi
informatici di natura estorsiva a Governi ed infrastrutture sanitarie, realizzare
frodi informatiche milionarie violando trattative commerciali volte all’acquisto di
apparecchiature mediche e dispositivi di protezione, condurre campagne di
phishing su larga scala utilizzando il tema del contagio come chiave per
l’ingresso nei sistemi di cittadini ed istituzioni, installare mercati abusivi virtuali
attraverso domini registrati a tema-covid per la messa in vendita di presidi
medici e falsi vaccini e terapie, dirigere campagne di disinformazione virale,
aggredire la libertà personale dei minori online in conseguenza del maggior
utilizzo di spazi social e piattaforme informatiche.
Nel delineare l’identità degli autori del reato, il trend legato all’andamento degli
attacchi ai danni delle infrastrutture critiche fa registrare, nel complesso,
l’emersione di una matrice criminale di natura puramente economica,
orientata al conseguimento di profitti illeciti, che si pone in misura oggi
prevalente rispetto alle condotte ispirate da ragioni di cyber-hacktivism,
ideologicamente o politicamente orientato.
Nel complesso considerata infatti, la minaccia cyber conserva una matrice
ancora largamente criminale, se si considera che oltre il 70% degli attacchi
cibernetici nel mondo risulta perpetrato per finalità di realizzazione di profitti
illeciti.
Mentre pressoché ogni altra voce di reato inevitabilmente è retrocessa dinanzi
all’avanzare della pandemia, il cybercrime è invece ulteriormente aumentato,
nel numero dei reati e, se possibile, nella dirompenza degli effetti.
Procedure di investigazione e analisi
Nei vostri dati si parla di oltre 29.000 siti analizzati: quali sono le procedure
che utilizzate per analizzare un sito web?
L’azione svolta dalla Polizia Postale e delle Comunicazioni, Specialità della
Polizia di Stato e principale forza di polizia cibernetica nazionale, con
particolare riguardo, soprattutto, secondo quanto previsto dal Decreto del
Ministro dell’interno sui comparti di Specialità, alla protezione delle reti e delle
infrastrutture critiche, sin dal 2005, opera attraverso il Centro Nazionale
Anticrimine Informatico per la Protezione delle Infrastrutture Critiche
(CNAIPIC).
All’interno del Ministero dell’Interno – Servizio Polizia Postale e delle
Comunicazioni, il C.N.A.I.P.I.C. è in via esclusiva incaricato della prevenzione
e della repressione dei crimini informatici, di matrice comune, organizzata o
terroristica, che hanno per obiettivo le infrastrutture informatizzate di natura
critica e di rilevanza nazionale.
Il Centro, attraverso la Sala Operativa attiva 24 ore su 24 – 7 giorni su 7
deputata al monitoraggio della rete ed alla prima risposta in caso di attacchi
cyber verso i sistemi informatizzati istituzionali e afferenti alle infrastrutture
critiche, assicura un costante e continuativo monitoraggio della rete (con
riferimento a specifici contesti informativi in materia di sicurezza informatica,
hacking ed in ambienti ideologicamente caratterizzati) così come la raccolta di
dati e informazioni attinenti ai temi della sicurezza informatica e della minaccia
criminale/terroristica, in qualsiasi modo e da qualsiasi fonte acquisibili.
In particolare, per le analisi di un sito web si utilizzano, a seconda dei casi,
strumenti passivi in grado di reperire informazioni sulla registrazione dei
domini, sui certificati ssl utilizzati, sui componenti software presenti sui server
web, sui javascript, e su eventuali vulnerabilità presenti. Anche la disamina del
codice sorgente delle pagine web, spesso consente l’individuazione di
informazioni preziose.
Le tipologie di frodi
Ben 126 attacchi informatici a sistemi finanziari di grandi e medie imprese, per
un totale di 36 milioni di euro sottratti tramite complesse frodi telematiche:
quali sono le principali tipologie di frodi con cui vi imbattete?
Le principali condotte delittuose delle quali sono vittime le aziende medio
grandi sono il BEC (Business Email Compromise) ed il CEO Fraud (frode
del CEO). I dati captati e utilizzati dai rei sono frutto di attività di social
engineering, quali phishing, attacchi brute force o acquistate sul Dark Web
in seguito a data breach.
La Business e-mail compromise rappresenta una delle tecniche di frode
cibernetiche attualmente più diffuse. Il truffatore, tramite accessi abusivi, si
intromette nello scambio di e-mail tra due partner commerciali, carpendo le
informazioni sulle trattative economiche in corso. Una volta acquisite tutte le
informazioni utili a perfezionare la frode, il malvivente, utilizzando un indirizzo
e-mail simile o identico a quello in uso al fornitore (spoofing), confeziona una
comunicazione commerciale con la quale chiede all’ignaro cliente di effettuare
il pagamento su un IBAN diverso da quello del reale fornitore ed in uso
all’autore della frode. Nel caso in cui il truffatore abbia utilizzato la reale
casella di posta elettronica del venditore, avrà la premura di cancellare dalla
cartella “posta inviata” la missiva elettronica truffaldina.
Nella “CEO Fraud”, invece, i frodatori, individuata una società, utilizzando
particolari tecniche di social engineering individuano l’anello debole che ha la
possibilità di operare sui conti aziendali. Successivamente, sostituendosi
all’amministratore delegato (Chief Executive Officer), utilizzando un indirizzo
e-mail simile o identico a quello del reale CEO (spoofing) oppure accedendo
abusivamente alla casella di posta elettronica dell’amministratore delegato,
contattano per email la persona precedentemente individuata, scrivendole di
mantenere il massimo riserbo in quanto è in corso una trattativa riservata per
l’acquisizione di un’azienda, per la quale verranno poi contattati da un
avvocato svizzero. Nella corso della corrispondenza tra il CEO e l’impiegato
dell’Ufficio contabile, a quest’ultimo viene chiesto, per le predette ragioni, di
effettuare un pagamento su un IBAN poi rivelatosi essere nella disponibilità
dei cyber criminali.
Il problema dei ransomware
Anche i ransomware rappresentano un sistema di attacco molto diffuso: che
ruolo gioca la Polizia Postal nella gestione di un attacco di questo tipo? Quale
supporto viene dato all’azienda colpita?
Nell’ambito della galassia del cyber crime, quale catalogo di reati informatici
costantemente in crescita per numero di attacchi perpetrati nonché in continua
metamorfosi nelle modalità di offesa alle vittime, merita l’elaborazione di una
nuova, dedicata e potenziata strategia di contrasto il ransomware quale
fenomeno criminale informatico dilagante e insidioso sia per il primato
statistico del numero di azioni malevoli sferrate sia per il livello di minaccia,
capace di colpire non solo le grande infrastrutture informatiche di interi
comparti economici/industriali ma anche, in modo diffuso, i singoli utenti.
Sul piano degli attacchi al sistema produttivo del Paese, si è registrato un
generale aumento delle minacce legato all’adozione su larga scala dei modelli
di lavoro a distanza, c.d. “smart working”, modelli che se da un lato hanno
consentito la prosecuzione di attività essenziali, hanno d’altro canto prodotto
una considerevole estensione del perimetro informatico delle aziende, con
una conseguente maggior esposizione ad azioni ostili esterne.
In questo contesto, la strategia di contrasto risiede elettivamente
nell’assicurare quindi interventi di tipo preventivo e di protezione, incentrati
sulla capacità di analisi e di allerta precoce finalizzata alla diffusione, in tempo
reale, degli IoC relativi alle minacce in corso, a beneficio dell’interno
panorama delle infrastrutture critiche nazionali.
Nella prevenzione e nel contrasto al cybercrime, anche la cooperazione
internazionale assume un ruolo assolutamente strategico, atteso che la
transnazionalità delle condotte illecite connota costantemente l’indagine
giudiziaria di specifico settore.
Ordinariamente, infatti, è all’estero che si consuma, almeno parzialmente, la
condotta criminosa e, tanto le tracce informatiche (sovente abilmente
manipolate attraverso i più vari strumenti di anonimizzazione), quanto le
tracce finanziarie (conti correnti e strumenti finanziari, sistemi di pagamento
elettronico, corrieri di denaro, cryptovalute ecc.), frequentemente, riconducono
fuori dal territorio nazionale.
Inoltre la Polizia Postale, tramite il proprio punto di contatto internazionale,
richiede riscontri alle altre forze di polizia presenti in Europol e/o Interpol al
fine di verificare se vi siano altre indagini in corso sulla campagna malevola
indentificata e se vi siano, a livello internazionale, eventuali informazioni utili
alla mitigazione del danno come, ad esempio, eventuali software in grado di
decifrare i dati.
In definitiva, la Polizia Postale attiva l’Autorità Giudiziaria competente e, sotto
la direzione di quest’ultima, avvia le indagini al fine di identificare gli autori del
reato utilizzando tutti gli strumenti normativi che consentono l’acquisizione di
informazioni utili e inibire le attività criminali (es: sequestro di server utilizzati
dai criminali, inibizione di pagine di phishing ecc.).
Questione di tempismo
Quanto è importante il tempismo con cui si notifica un attacco ransomware
anche alla Polizia Postale?
La tempestività della notifica è importante per consentire alla Polizia di
attivare le procedure di congelamento dati presso società nazionali e/o
internazionali al fine di preservare le evidenze investigative presenti su server
di C&C (Comando e Controllo), siti web di phishing, dropzone ecc. utilizzati
dagli attaccanti.
Negli attacchi informatici infatti, spesso i server utilizzati dagli attori ostili
durante una campagna malevola vengono “ripuliti” o dismessi dopo pochi
giorni al fine di cancellare eventuali tracce utili ai fini investigativi delle autorità.
Come agevolare il lavoro della Polizia Postale
Quale aiuto possono dare le aziende alla Polizia Postale, nel contrasto alla
cybercriminalità? Insomma, quali sono i “desiderata” che potrebbero
agevolarvi nel vostro lavoro?
La tempestiva condivisione di informazioni tecniche relative agli attacchi
informatici subiti, c.d. Indicatori di Compromissione (IoC), che una volta
epurate dalle informazioni sensibili riconducibili alle società vittime, potranno
essere condivisi in una consolidata rete di info-sharing nazionale al fine di
arginare il diffondersi delle campagne malevoli e preservare altri enti o
aziende italiane dalla medesima compromissione.
Combattere il social engineering
Spesso è il social engineering a giocare un ruolo chiave negli attacchi: quali
sono i consigli che potete dare per ridurre le possibilità di incappare in simili
trappole?
Il consiglio principale che si può dare in tali casi è quello di investire e quindi
dotarsi di strumenti nonché figure esperte del settore della sicurezza
informatica che pongano in essere tutti quegli accorgimenti di natura tecnica
che prevengano il verificarsi di tali eventi, nonché formare il personale a
riconoscere potenziali condotte di phishing.
Consigli utili
Quali consigli potete dare alle aziende per limitare le possibilità di essere
vittime di attacchi?
Per limitare le possibilità di essere vittime di tali attacchi è buona norma
accertarsi dell’identità del soggetto col quale si sta intrattenendo la
conversazione e all’atto di una disposizione di pagamento, effettuare un cross
check (ad es. contattare telefonicamente il fornitore ed accertarsi che sia
effettivamente colui col quale si sta intrattenendo la conversazione e
richiedere un’ulteriore conferma dei dati di pagamento).
LE PREVISIONI
Cyber security, i trend del 2022: un anno
critico per la sicurezza digitale
Da una parte nuove tecniche e obiettivi per i cyber criminali, dall’altra la
conferma delle tendenze che hanno messo a dura prova la cyber
security nell’anno passato: il 2022 sarà un anno critico per la sicurezza
digitale
di Claudio Telmon – Information & Cyber Security Advisor presso P4I –
Partners4Innovation
Fra le previsioni che si possono fare sui trend della cyber security per questo
nuovo anno, almeno una è banale: ci saranno più attacchi, con maggiori
impatti. Non è, in sé, un segno di maggiore insicurezza: la digitalizzazione
prosegue, attività critiche ed economicamente rilevanti si spostano
ulteriormente in rete e naturalmente la criminalità segue i soldi.
Phishing e malware, sempre loro
Una diminuzione degli attacchi o del loro impatto è difficile da immaginare nel
prossimo futuro: le tecnologie e i servizi digitali evolvono rapidamente,
permeando ogni aspetto della nostra società, generando maggiore efficienza,
nuove opportunità ma anche nuove vulnerabilità che i criminali imparano
rapidamente a sfruttare.
La capacità di lavorare da casa nel corso del lockdown, grazie soprattutto alle
piattaforme di videoconferenza, e gli attacchi alla sanità dell’ultimo periodo,
rappresentano bene entrambe le tendenze.
Al di là di questo, alcune altre previsioni sono relativamente facili: gli attacchi
continueranno a sfruttare per la maggior parte gli stessi punti deboli degli anni
passati, in particolare phishing e malware continueranno ad essere i vettori
principali, anche se molti prevedono un aumento nell’utilizzo di 0-day.
L’importanza dei backup offline
Continueranno gli attacchi di BEC (Business email compromise) che sono
spesso funzionali ad altri attacchi come quelli che mirano a indurre ad
utilizzare IBAN dell’attaccante per i pagamenti. Infine, è facile prevedere
che aziende e pubbliche amministrazioni, anche grandi, continueranno ad
essere vittima, più che degli attacchi, potremmo dire, della mancata
implementazione delle misure di sicurezza di base. Ne sono un esempio la
mancanza di backup offline anche per dati importanti, o la presenza di
vulnerabilità anche gravi, non corrette per i motivi più vari.
Restando sul fronte degli attacchi, ci si aspetta un ulteriore aumento degli
attacchi mirati rispetto a quelli generici, con una maggiore attenzione, una
volta avuto accesso ai sistemi della propria vittima, ad individuare le modalità
più efficaci per ottenere dei soldi.
Prendendo ancora i backup come esempio, in alcune aziende c’è ancora
curiosamente la convinzione che un attaccante che sia riuscito ad entrare nel
sistema informativo aziendale, per qualche motivo non abbia poi la capacità di
“scoprire” che ci sono dei backup (online) dei dati, e di cancellarli, con le
conseguenze che si continuano a vedere fin troppo spesso.
Attacchi verso l’IoT
Un altro fronte che ci si aspetta sia importante e in crescita è quello
dell’Internet delle cose. La digitalizzazione e lo sviluppo dei servizi da remoto
favoriscono la creazione di servizi in tempi rapidi di soluzioni IoT che spesso
sono progettate senza la necessaria attenzione alla sicurezza, con
componenti in cloud spesso realizzati attraverso diversi livelli di subfornitura
sui quali è difficile avere un controllo. Non ci sono solo i grossi fornitori di
piattaforme IaaS/PaaS, c’è anche un gran numero di fornitori di piattaforme e
servizi verticali che diventano parte integrante di molti servizi.
Ci si aspetta un aumento dell’attenzione, da parte degli attaccanti, a questo
tipo di componenti, anche eventualmente in termini di denial of service. La
fiducia di tanti utenti nella resilienza “incondizionata” da parte servizi in cloud
agli attacchi potrebbe essere messa seriamente alla prova.
Autenticazione a due fattori
Un altro tema legato al cloud che può avere una definitiva accelerazione nel
2022 è quello dell’autenticazione a due fattori. Paradossalmente,
meccanismi di autenticazione a due fattori e adattiva sono ormai disponibili
per buona parte delle principali piattaforme in cloud pubblico, ma molte
aziende continuano ad utilizzare la semplice autenticazione con password
anche per servizi critici come Office 365, per non parlare di quelli sviluppati in
proprio.
Nel 2022 questo tipo di debolezza potrebbe essere oggetto di maggiore
attenzione da parte degli attaccanti, spingendo verso meccanismi più robusti.
Questo, a sua volta, renderà ancora più critici i dispositivi personali come gli
smartphone, che sempre più concentrano la nostra identità su Internet ed i
meccanismi di autenticazione.
Attacchi alla supply chain
Tutto questo si inquadra nel tema più generale degli attacchi alla supply chain,
che ci si aspetta diventino sempre più rilevanti. Anche questo è
rappresentativo del passaggio in corso da una prevalenza di attacchi
principalmente automatici, che quindi tengono conto limitatamente delle
specificità e “potenzialità” delle aziende attaccate, ad un maggior numero di
attacchi per i quali è automatizzata la prima parte, ovvero l’accesso attraverso
malware, mentre una volta ottenuto l’accesso, il bersaglio viene analizzato per
individuare i dati di valore e gli ulteriori bersagli raggiungibili.
O anche, attacchi interamente mirati, sia come selezione del bersaglio che
come modalità di attacco, ad esempio attraverso spear phishing. Possiamo
aspettarci sempre più che debolezze del sistema informativo aziendale che
potevano resistere al semplice malware vengano invece riconosciute e
sfruttate.
Gli attacchi alla supply chain si possono inquadrare in questa ultima modalità:
spesso sono aziende che non hanno grande interesse e valore in sé, ma ne
hanno per le reti e i dati che permettono di raggiungere.
Esternalizzare la gestione della sicurezza
Per contro, le aziende dovranno aumentare la loro attenzione ai propri
fornitori, sia in fase di selezione, che attraverso attività di audit più sostanziali,
che attraverso una maggiore attenzione alle modalità con cui servizi dei
fornitori si integrano con il sistema informativo aziendale. La capacità da parte
delle aziende di essere efficaci dipenderà molto dalla loro maturità in termini di
attenzione alla cybersecurity, che purtroppo non è sempre correlata alla
criticità e al valore dei loro dati e servizi.
In questo contesto, potremmo vedere accentuarsi una tendenza, già in atto,
all’esternalizzazione o all’acquisizione di servizi SOC, e di gestione della
sicurezza in generale, che possono avere in generale una visione degli
scenari di attacco rispetto a quella che può avere la singola azienda, e che
possono avere a disposizione professionalità che spesso la singola azienda
non si può permettere. Nella stessa logica, si dovrebbe diffondere l’utilizzo di
servizi CERT, anche legati alle normative che ne istituiscono, e per facilitare la
condivisione di informazioni, ad esempio per contenere le vulnerabilità della
supply chain.
Ransomware: il futuro dei riscatti
Proprio in relazione alla supply chain, possiamo aspettarci per il 2022 che
comincino a vedersi gli effetti della normativa, nazionale ed europea, che
dedica molta attenzione a questo tema, come quella relativa al perimetro
cibernetico nazionale, la Direttiva NIS, ed altre normative anche in fase di
predisposizione. Quantomeno si cominceranno a vedere gli effetti in termini di
oneri per le aziende, se non già in termini di efficacia.
Possiamo probabilmente aspettarci una minore centralità dalla “conformità al
GDPR” a favore di attività per la conformità a norme che affrontano rischi più
affini a quelli propri delle aziende. L’attenzione al tema da parte delle
istituzioni è dimostrata ad esempio, oltre che dall’attività legislativa in corso,
dal discorso di apertura di Christine Lagarde all’ European Systemic
Risk Board, dove i “cyber incident” sono stati uno dei due temi trattati,
insieme al cambiamento climatico. E uno dei temi che potrebbe diventare
oggetto di dibattito e di attività legislativa è quello della liceità e opportunità del
pagamento del riscatto in caso di attacchi ransomware: il tema ha cominciato
ad essere discusso già nel 2021, ma possiamo aspettarci che l’attenzione
aumenti.
Un mercato in espansione
Dal punto di vista delle tecnologie più avanzate, da tempo si parla di
intelligenza artificiale sia negli attacchi che nella difesa. Da più parti si ipotizza
ad esempio un aumento dei deep fake nell’impersonazione degli individui in
fase di identificazione e autenticazione, o per attività di phishing.
In tutto questo, il mercato del lavoro per i professionisti della sicurezza, che
già nel 2020 e nel 2021 è stato molto vivace, con una domanda di gran lunga
superiore all’offerta, specialmente a quella di qualità, non potrà che continuare
nella direzione di una domanda sempre maggiore. Questa non è in generale
una buona notizia per le aziende, che avranno difficoltà a trovare competenze
sul mercato, ma può non esserlo neanche per i professionisti del settore. La
domanda è già alta, come anche i compensi, che difficilmente saliranno molto
di più.
Per contro, già in altre occasioni si è visto che quando il mercato è disposto
ad assorbire per necessità anche competenze limitate, entrano anche soggetti
(aziende e professionisti) con competenze più millantate che reali, con
conseguente calo della qualità ed effetto boomerang non appena la domanda
inizia a stabilizzarsi.
Attacchi tra stati
Quello che però possiamo certamente aspettarci è una maggiore diffusione
dei ruoli specificamente dedicati alla gestione della sicurezza, e in particolare
di quello del CISO, anche come servizio, ed una collocazione più adeguata
nell’organigramma aziendale, ad esempio riportando alla Direzione anziché al
CIO.
Tutto questo al netto di quanto possa derivare dall’evoluzione dello scenario
geopolitico. Un aumento delle tensioni fra stati e blocchi potrebbe portare ad
un’escalation degli attacchi sponsorizzati da stati sovrani, in generale
particolarmente sofisticati e aggressivi, e in questo caso è difficile prevedere le
conseguenze, anche in termini di necessità di interventi per la difesa delle
infrastrutture e organizzazioni più critiche.
fonte: cibersecurity360