CYBERSECURITY

Foto di B_A da Pixabay

Il 2022 è stato un anno di consolidamento di tendenze già in atto, come la crescita dei ransomware, e nuove dinamiche conseguenza del conflitto geopolitico.

Non è un’amara sorpresa, quanto piuttosto una conferma che ha lo stesso sgradevole sapore: anche il 2022 è stato un anno di crescita degli attacchi informatici, da qualunque punto di vista lo si voglia guardare. Non è una sorpresa perché questa è la tendenza osservata negli ultimi anni e perché il 2022 è stato segnato dalle ben note turbolenze della guerra russo-ucraina e della parallela cyberwar combattuta a suon di attacchi DDoS (Distributed Denial of Service), ransomware e spionaggio cibernetico. Due delle tendenze osservate da Microsoft quest’anno e riassunte nel suo ultimo “Digital Defense Report” sono l’impennata dei cyber attacchi di natura politica, sponsorizzati dai governi, e un impressionante aumento del 74% degli attacchi incentrati sulle password. La raffica di assalti cibernetici scagliati dalla Russia verso le istituzioni governative, le reti elettriche e le banche ucraine ha catturato l’attenzione mediatica nei primi mesi del calendario, ma il 2022 è stato anche l’anno degli attacchi informatici iraniani contro Israele e Stati Uniti e dell’ascesa del cyberspionaggio cinese (finalizzato a esercitare una

Con oltre 10 terabyte di dati rubati mensilmente, il ransomware si è confermato come una tra le minacce più attive, e il phishing è stato il vettore iniziale più comune per tali attacchi. Inoltre hanno spopolato i Distributed Denial of Service (DDoS), attacchi che mandano in tilt i server alla base di un servizio (per esempio un sito Web) intasandoli di richieste di accesso. Sono alcune delle tendenze evidenziate nell’annual report di Enisa, l’agenzia dell’Unione europea per la sicurezza informatica. Quest’anno l’invasione russa dell’Ucraina ha rappresentato un punto di svolta, dando il via a una nuova ondata di hacktivismo, guerrilla cibernetica e disinformazione (anche basata sui deepfake). Molte gang cybercriminali sono state individuate, hanno annunciato il ritiro dalle scene e si sono riformate, con vari rimescolamenti, riuscendo così a sfuggire alle maglie delle forze dell’ordine. Gli attori malevoli hanno dimostrato di essere sempre più bravi nell’attaccare le supply chain tecnologiche e i fornitori di servizi di sicurezza gestiti. Inoltre i sistemi di machine learning che stanno alla base di molti servizi sono diventati un bersaglio più appetibile, giacché sempre più diffusi.

maggiore influenza nel sud-est asiatico, a rubare dati e a contrastare l’influenza degli Stati Uniti). Inoltre la Corea del Nord, parallelamente all’intensificarsi dei test missilistici nella prima metà dell’anno, ha lanciato attacchi verso società aerospaziali e ricercatori di tutto il mondo, per rubare dati e dirottare finanziamenti. Rispetto al 2021, il panorama si è trasformato sia dal punto di vista quantitativo sia qualitativo. A detta di Crowdstrike (“2022 Falcon OverWatch Threat Hunting Report”), le violazioni informatiche sono aumentate di circa il 50% anno su anno ed è leggermente cambiata la composizione degli attacchi. Quelli sostenuti da motivazioni economiche sono ancora la fetta più larga (46% del totale nel 2021, 43% nel 2022), seguiti dagli attacchi mirati e di cyberspionaggio (dal 14% al 18%), mentre l’hacktivismo è l’1% del totale e nei casi restanti (39% nel 2021, 38% nel 2022) non è stato possibile determinare l’esatta natura della minaccia. Anche l’ultimo aggiornamento del semestrale “Cyber Risk Index”, realizzato da Trend Micro in collaborazione con il Ponemon Institute e con oltre 4.100 aziende nordamericane, sudamericane, europee e asiatiche coinvolte, è una buona fotografia del presente. Le principali minacce osservate nel primo semestre di quest’anno sono state, nell’ordine, le operazioni di Business Email Compromise (Bec), il clickjacking, gli attacchi fileless (che non richiedono l’installazione di un programma malevolo, ma sfruttano strumenti legittimi), il ransomware e il furto di credenziali. Complessivamente il livello di rischio informatico mondiale, calcolato da su una scala che va da -10 (rischio minimo) a 10 (massimo), è passato dall'indice di -0,04 della seconda metà del 2021 al -0,15 della prima parte del 2022. Tra un semestre e l’altro il numero di aziende colpite da un attacco informatico andato a segno è salito dall’84% al 90% del totale. Ed è anche notevole, 32%, la quota di organizzazioni che nell’arco di un anno vengono colpite più di una volta. Il futuro non è roseo: è previsto un aumento del numero di aziende che potrebbero essere compromesse nel prossimo anno. La percentuale registrata nell’ultimo report è dell’85%, nove punti in più rispetto al 76% rilevato nel secondo semestre 2021.

Altri osservatori concordano nell’immaginare un futuro sempre più critico.

Foto di Sarah Pflug da Burst

Uno studio di McKinsey, per esempio, stima che quest’anno il volume delle minacce cyber rivolte alle aziende di medie dimensioni sia quasi raddoppiato rispetto al 2021, e che la crescita continuerà. Rispetto ai 10.500 miliardi di dollari di danni economici causati dagli attacchi informatici nel 2015 a livello mondiale, nel 2025 la cifra sarà salita del 300%, ipotizzando un proseguimento del ritmo di crescita attuale. Esiste oggi un grande divario tra le necessità di cybersicurezza delle aziende e gli investimenti realizzati per acquistare tecnologie e servizi: per potenziare la difesa, rimarca McKinsey, bisognerà spendere molto di più. C’è anche un altro tipo di investimenti che, secondo gli addetti ai lavori, è necessario incrementare: quelli dei venture capital destinati alle aziende del settore. Anche i fondi pubblici, almeno in Europa, non abbondano. "Il mercato Ue è altamente frammentato, con le imprese che tendono a focalizzarsi sul mercato nazionale e faticano a sostenere una crescita costante”, ha dichiarato Luca Nicoletti, responsabile del Servizio Programmi Industriali dell’Agenzia per la Cybersicurezza Nazionale, in un recente convegno di Assolombarda e Sole 24 Ore. “C’è dunque un ritardo complessivo di sistema e questo si vede nei numeri”. Nel 2021 gli investimenti di venture capital rivolti a società di cybersicurezza europee sono stati pari a circa 814 milioni di euro, un valore non minimamente paragonabile ai 15 miliardi di dollari mobilitati negli Stati Uniti né ai 2,5 miliardi di euro di Israele. I fondi pubblici destinati alla cybersicurezza, sempre nel 2021, hanno raggiunto quota 16,7 miliardi di dollari negli Usa, contro i 2 miliardi di euro dell’Unione Eureopa.

Foto di Gerd Altmann da Pixabay

Ma perché gli attacchi informatici continuano a crescere e a fare sempre più danni, e perché non dovremmo stupirci? Non c’è, naturalmente, una risposta univoca. Da un lato, negli ultimi anni il “terreno di gioco” dei cybercriminali si è allargato enormemente per via dei processi di digitalizzazione, dell’adozione del cloud, dell’uso di smartphone e tablet (spesso non adeguatamente protetti) per scopi lavorativi, della diffusione dello smart working (appoggiato a dispositivi personali spesso vulnerabili e a reti domestiche prive di firewall). Inoltre la barriera all’accesso alla professione del cybercriminale, più o meno sofisticato, si è abbassata drasticamente con lo sviluppo di vere e proprie filiere dell’illegalità online, con attori specializzati nel furto di credenziali o nel sviluppo di codice malware di ogni tipo (dai programmi spia al ransomware, passando per i servizi di spam), e altri che acquistano e fruiscono di questi beni in formula “as a service”. “Non si tratta della solita vendita di kit per il phishing, il malware e gli scam”, ha precisato Sean Gallagher, principal threat researcher di Sophos. “Adesso i cybercriminali di alto livello vendono sotto forma di servizio per conto terzi tool e capacità che un tempo erano esclusivamente riservati ai più esperti”. Un terzo aspetto da considerare è quello, già citato, degli investimenti insufficienti. Le aziende dovrebbero non solo dotarsi di tecnologie di cybersicurezza aggiornate ma anche intervenire sulle lacune di competenze e sui comportamenti rischiosi dei dipendenti. Anche questi sono problemi di cui si discute da anni, ancora irrisolti. Nel “Global Risk Report 2022” del World Economic Forum si stima che addirittura il 95% dei problemi di cybersicurezza sia riconducibile all’errore umano. In questo scenario riescono ancora ad avere successo forme di attacco tradi-

Come sarà il 2023 del cybercrimine e della cybersicurezza? Le tendenze consolidate ed emergenti del 2022 e i fattori di rischio attuali permettono agli analisti e ai vendor di sicurezza informatica di tracciare delle previsioni. Vi proponiamo una carrellata di quelle più interessanti. • La superficie d’attacco potenziale continuerà a crescere. Le minacce persistenti avanzate (Apt) si rivolgeranno maggiormente verso aziende industriali e sistemi di tecnologia operativa (OT), ma aumenteranno anche gli assalti ad agricoltura, logistica e trasporti, energia, farmaceutico. Sull’onda degli eventi geopolitici, potrebbero aumentare e diventare più efficaci gli attacchi ransomware alle infrastrutture critiche (Kaspersky). • Non è probabile che emerga una nuova massiccia vulnerabilità zero day (come è stata Log4j) ma le violazioni nelle reti aziendali continueranno a crescere tramite phishing, furto di credenziali, ingegneria sociale e sfruttamento di vulnerabilità già note. Si presume che aumenterà, nelle aziende, l'uso dell'autenticazione a più fattori. Di conseguenza gli attaccanti cercheranno di aggirare le barriere al login catturando (o acquistando da marketplace specializzati) i cookie di sessione che danno accesso alle applicazioni di terze parti. Inoltre emergeranno schemi multimilionari per rubare e vendere i crediti di carbonio, uno degli strumenti utilizzati dalle aziende per raggiungere obiettivi di sostenibilità (CyberArk Labs). • Il numero delle vulnerabilità zero-day aumenterà e molte di essere saranno catalogate come “critiche”. Accanto alla crescita del ransomware è prevedibile una espansione dei wiperware, cioè dei programmi che cancellano dati dalle risorse di memoria intaccate. Il wiperware di provenienza russa, finora indirizzato soprattutto all’Ucraina, con il protrarsi delle tensioni geopolitiche potrebbe allargarsi ad altri Paesi. Crescerà nelle aziende l’adozione di tecnologie che impiegano l’intelligenza artificiale per il rilevamento delle minacce (Barracuda). • I tentativi di phishing e le compromissioni degli account di posta elettronica aziendale continueranno a proliferare. In parallelo, aumenteranno ancora gli attacchi rivolti i servizi cloud e verso le piattaforme per la collaborazione e le comunicazioni a distanza, come Microsoft Teams, OneDrive, Google Drive e Slack. Nel 2023 cresceranno anche l’hacktivismo e le attività cyber sponsorizzate da governi nazionali (Checkpoint Software Technologies). • Si osserva un tendenziale aumento degli attacchi rivolti verso aziende di dimensioni medie e piccole. I vendor di sicurezza informatica si focalizzeranno su quattro aree ad alta crescita potenziale, per meglio soddisfare la domanda proveniente dalle aziende: le tecnologie cloud, le dinamiche di pricing, l’intelligenza artificiale e (soprattutto per il mid-market) i servizi gestiti. I prodotti per la cybersicurezza sempre più verranno venduti in bundle con offerte che includono servizi a breve o a lungo termine, quali implementazione e servizi di sicurezza gestiti. (previsioni di McKinsey). • Le applicazioni di Internet of Things, blockchain, 5G e computing quantistico rappresentano opportunità da cogliere ma comportano anche nuovi rischi. Sarà necessario migliorare la visibilità sulle potenziali compromissioni e vulnerabilità dell’intera catena di fornitura del software e del firmware, perché gli attacchi di supply chain cresceranno ancora. La scarsità di personale esperto in sicurezza informatica spingerà molte aziende ad affidarsi a servizi in outsourcing.

zionali e consumate come il phishing. Come mai è ancora tanto efficace? “Tanto per cominciare, gli attacchi di phishing si sono evoluti in modo significativo negli ultimi anni”, ha spiegato Josh Goldfarb, draud solutions architect per l'area Emea e Apcj di F5. “Mentre un tempo erano grezze, pieni di errori di battitura e non particolarmente convincenti, oggi persino gli esperti hanno difficoltà a distinguere le email di phishing da quelle legittime. I siti di phishing, inoltre, assomigliano notevolmente a quelli reali. Non c'è da stupirsi che molti utenti vengano ingannati nel fornire le proprie credenziali agli aggressori. In altre parole, consegnano volontariamente le loro chiavi”. Impossibile poi non citare il ransomware, che anche quest’anno è stato protagonista di casi di cronaca per aver colpito vittime illustri come Nvidia, Toyota, la compagnia aerea indiana SpiceJet e una trentina di istituzioni governative del Costa Rica. Ma i casi eclatanti sono solo la punta dell’iceberg. Fra gli attacchi ransomware rilevati da Microsoft nel 2022, nel 93% dei casi l’azienda vittima non proteggeva adeguatamente gli accessi alla propria rete, non usava l’autenticazione multifattore e non era in grado di bloccare i movimenti di laterali, cioè lo spostamento della minaccia dal punto d’ingresso verso altre risorse di una rete.