Si dovrebbe dire “anno nuovo vita nuova” anche per il fronte Cyber, perché dato l’anno nero trascorso con il suo carico di attacchi ed effrazioni, ci si aspetterebbe una generale maggiore preparazione alla prevenzione e protezione di asset e dati personali.
Purtroppo forse, dovremo constatare ancora una volta, come “anno nuovo vita vecchia” sarà la regola, a causa di una cronica sottostima del rischio e una viscerale impreparazione all’incidente informatico di sicurezza, nonostante normative europee e nazionali, sanzioni esistenti, avvisi di ispezioni e controlli e un “refrain” continuo da parte di esperti, giornalisti e tecnologi che da anni sottolineano, spiegano, divulgano, predicano ed evangelizzano alle buone prassi di sicurezza.
In parte questa inclinazione e permanenza alla vulnerabilità dipende dall’evoluzione dello scenario della minaccia che si complica e si trasforma includendo dinamiche sempre più ampie e di stampo globale di contrapposizione fra Stati. In parte è causato dall’impiego sempre più rapido e pronto delle tecnologie innovative da parte dei criminali digitali che tentano di diversificare e potenziare la capacità di attacco e targetizzazione degli obiettivi in un eterno “guardie e ladri” digitale.
Se il 2011 fu battezzato come l’anno del security breach, a 10 anni di distanza da quella prima sequenza di attacchi e incidenti, considerando l’incidenza esponenziale della minaccia e del contagio digitale e la gravità degli impatti, ci auguriamo che il 2021 possa rappresentare un anno di svolta: una svolta di consapevolezza, di maggiore attenzione, di investimenti adeguati, di comprensione e pianificazione, ma anche verifica ed esercitazione periodica, perché la sicurezza informatica è intimamente connessa allo sviluppo e alla competitività economico industriale nazionale.
Roberto Cerra Presidente del Centro Economia digitale, infatti, sostiene come la Cybersecurity sia “fondamentale per tutelare la competitività del nostro tessuto industriale, la sicurezza dei cittadini e la stessa sovranità nazionale”. Tematiche di spionaggio economico, industriale sono spesso la motivazione principale che muove i Cyberattacchi più imponenti, subito seguite da motivazioni geopolitiche e di conflittualità fra Stati, senza dimenticare la costante del Cybercrime che si finanzia a suon di frodi digitali.
Ma cosa aspettarsi nel 2021 sul fronte della minaccia? Conoscere il rischio potenziale, capirlo e prepararsi al suo impatto è sempre l’unico punto di partenza possibile. E se il punto d’arrivo è mantenersi al sicuro, allora il solo “conosci te stesso” (famosa esortazione del tempio di Apollo a Delfi) non basta, se non coniugato al necessario “conosci il tuo nemico”.
Analizziamo quindi lo scenario della minaccia e i trend che potrebbero caratterizzare i prossimi mesi, per poter attuare una strategia mutuata dalla famosa massima latina “Si vis pacem, para bellum” (se vuoi la pace, prepara la guerra n.d.r.): ovvero secondo il principio della deterrenza, uno dei mezzi più efficaci per assicurare la pace è quello di essere equipaggiati e fortificati e in grado di difendersi.
Trend 2021 legati alla pandemia e alla digital trasformation
Una generale e maggiore attenzione alla sicurezza deriva dalla situazione contingente legata alla pandemia globale e alle condizioni di lavoro smart, unite alla trasformazione digitale già in atto.
Vaughn Eisler, Direttore Business Development e Security di Equinix, fra i trend del 2021 mette al primo posto il lavoro da remoto come target degli attacchi di phishing, vishing, smishing e social engineering dei cybercriminali; questi attacchi sono in grado di compromettere dispositivi e di effettuare movimenti laterali verso gli asset aziendali, a causa della minore protezione di dispositivi personali e reti domestiche rispetto ai sistemi aziendali.
Mariana Pereira, Director of Email Security Products di Darktrace su questo tema specifica che nel corso del 2021 si verificheranno sempre di più i cosiddetti “trust attack”, un nuovo genere di attacco sofisticato in cui gli hacker si infiltrano nelle reti dei computer non tanto per rubare dati, ma per alterare subdolamente le informazioni contenute in essi, e minarne l’integrità al fine di minare la fiducia nei dati, e screditare le istituzioni e le organizzazioni che li governano e custodiscono.
Al secondo posto della lista di Eisler c’e’ lo sviluppo dell’azienda estesa “at the edge” come estensione della superficie di attacco: lo sviluppo del lavoro da remoto potrebbe portare le aziende a fornire l’accesso a nuovi servizi cloud, con una digital trasformation spinta, per realizzare un’infrastruttura cloud ibrida altamente distribuita con più punti di ingresso “at the edge”. Se la sicurezza non crescerà di pari passo alla trasformazione, si creerà una superficie di attacco molto più ampia, offrendo maggiori opportunità ai criminali di attaccare individui, asset e servizi attraverso questi endpoint.
Altri target probabili secondo l’esperto riguardano 5G e IoT: i dispositivi IoT non protetti potranno essere target di malware appositamente progettati per annetterli a botnet IoT o di ransomware con varianti modificate appositamente per questi target, che mirano a un funzionamento alterato e dannoso come mezzo coercitivo per costringere il pagamento del riscatto.
Infine, AI/ML (Artificial Intelligence /Machine Learning) saranno utilizzati come armi: la diffusione di sistemi di apprendimento automatici potrebbe spingere i criminali digitali a rubare una copia di dati di training originali, per manipolare i modelli appresi immettendo dati dannosi in un nuovo modello, creando così un sistema che impara in modo distorto, per ad esempio, identificare rapidamente vulnerabilità e debolezze dei target o sabotare la reputation di un brand, orientare gli acquisti di prodotti, destabilizzare società finanziarie, minare i sistemi di traffico e degradare i risultati sanitari.
Come soluzioni l’esperto suggerisce il ricorso al modello zero trust per mitigare il rischio con conseguente aumento dei managed service relativi al monitoraggio attivo della sicurezza, come il rilevamento e la risposta alle minacce e la maggiore adozione di tecnologie di autenticazione. Per la protezione della connettività 5G e per evitare disservizi si auspicano interventi in favore della resilienza end-to-end delle linee; infine, per la sicurezza “at the edge” sono consigliate le best practice contenute nel paper Distributed Security – Digital Edge Playbook.
In generale – conclude Vaughn Eisler – le minacce alla sicurezza sono aumentate dall’inizio della pandemia e di conseguenza le aziende saranno costrette a concentrarsi maggiormente sulla sicurezza informatica. Anche Gartner nel suo “2021 Planning Guide for Security and Risk Management” avverte che per il 2021 – in relazione ad “una maggiore esposizione dovuta all’espansione degli ecosistemi di digital business (digitalizzazione), all’aumento del lavoro da remoto e all’adozione ancora più diffusa di servizi di terze parti rispetto agli anni precedenti” – i team di sicurezza e alle altre aree organizzative aziendali dovranno aumentare la collaborazione per costruire e implementare una solida roadmap di sicurezza.
Trend 2021 scaturiti da attacchi di nuova generazione
Il team dei FortiGuard Labs ha emesso le Threat Predictions 2021 si focalizzano sull’automazione dell’Intelligent Edge come acceleratore della velocità e della portata dei cyberattacchi futuri. Secondo i ricercatori Fortinet gli hacker che sfruttano gli intelligent edge, i dispositivi abilitati al 5G e i progressi nella potenza di calcolo genereranno una nuova ondata di minacce avanzate a una velocità e una portata senza precedenti.
In particolare, i Trojan si evolveranno per colpire l’edge; gli EAT (Edge Access Trojans) potrebbero eseguire operazioni invasive, come ad esempio intercettare richieste al di fuori del network locale per compromettere altri sistemi o eseguire ulteriori comandi di attacco. Sul fronte 5G invece gli attacchi swarm edge-enabled punteranno a compromettere e sfruttare i nuovi dispositivi 5G aprendo la strada a minacce più avanzate. I cybercriminali stanno facendo progressi per sviluppare e diffondere attacchi swarm che sfruttano i dispositivi dirottati raggruppati in due sottogruppi, ciascuno con competenze specifiche. Prendendo di mira i network o i dispositivi come sistema integrato e condividendo l’intelligence in tempo reale si perfeziona l’attacco mentre è in atto. Le tecnologie degli attacchi swarm richiedono una grande potenza di elaborazione per abilitare singoli swarmbot e condividere in modo efficiente le informazioni in un bot-swarm. Questo consente loro di scoprire, condividere e correlare rapidamente le vulnerabilità e quindi di adattare i propri metodi di attacco per sfruttare al meglio quello che viene scoperto. Inoltre, i cybercriminali continueranno a trasferire risorse significative prendendo di mira e sfruttando gli ambienti edge emergenti, quindi si conferma anche in questo caso il target dei lavoratori a distanza, i nuovi ambienti edge OT, gli IoT domestici in aggiunta al solo core network. Secondo gli esperti la tipologia ransomware continuerà ad evolversi per danneggiare le infrastrutture critiche risultato della convergenza da IT a OT edge. Il consiglio dei ricercatori risiede nel potenziamento della adozione di AI specializzate per velocizzare la prevenzione, il rilevamento e la risposta alle minacce.
Sul fronte innovativo del performance computing, i target potranno sfruttare il criptomining avanzato per attaccare sistemi di AI e ML, utilizzare gli attacchi dallo spazio sfruttando l’estensione di connettività delle telco verso la componente satellitare e la convergenza delle reti, per sferrare attacchi DDOS ancora più lesivi delle comunicazioni vitali ed essenziali. Infine, l’applicazione della minaccia al calcolo quantistico potrebbe generare una nuova fonte di rischio quando in futuro sarà in grado di sfidare l’efficacia della crittografia.
Secondo gli esperti dei Fortiguard Labs sarà necessaria un’evoluzione dell’IA, per visualizzare, anticipare e contrastare gli attacchi che si verificheranno nella frazione di microsecondi. I provider di cybersecurity, le organizzazioni che si occupano di threat research e altre realtà industriali dovranno sempre più collaborare tra loro per la condivisione delle informazioni, ma anche con le autorità per contribuire a smantellare le infrastrutture e prevenire attacchi futuri, lavorando tutti insieme per contrastare gli attacchi futuri. Le aziende dovranno essere in grado di rispondere a qualsiasi tentativo di controspionaggio prima che si verifichi, consentendo ai “blue team” di ottenere e mantenere una conoscenza preventiva.
Dello stesso parere sul ruolo determinante dell’AI nella difesa, anche Mariana Pereira, Director of Email Security Products di Darktrace che sottolinea come la profonda trasformazione per cui l’Intelligenza Artificiale è stata in grado di rilevare uno dei più sofisticati cyberattacchi proseguirà, con un numero sempre maggiore di indagini interne di sicurezza, che saranno svolte proprio dalle tecnologie di AI che si occuperanno del lavoro maggiormente operativo e time consuming comprendendo il contesto in cui si può presentare una potenziale minaccia, testando le ipotesi e producendo report in pochi secondi. In questo modo si potrà realizzare una mutua collaborazione tra persone fisiche e IA e i team di sicurezza potranno essere finalmente liberi dal lavoro analitico incentrato sui dati per concentrarsi invece sulla comunicazione aziendale, formulare giudizi di valore e valutare strategie future, aspetti cioè, che vedono la componente umana strettamente necessaria e indispensabile.
Focus on Phishing
La quarta edizione del Report Phishing and Fraud 2020 degli F5 Labs ha osservato un aumento del 220% degli attacchi di phishing durante l’emergenza COVID e l’ondata di cybercrime che sfrutta la pandemia non accenna a volersi fermare nemmeno nel 2021.
I principali espedienti per ingannare le vittime sono stati basati su donazioni fraudolente a falsi enti di beneficenza, raccolta illecita di credenziali con uso entro 4 ore dal furto, falsificazione di comunicazioni e di iniziative brandizzate Amazon e un uso sempre più spinto della crittografia per rendere i propri siti credibili. Infine, per il futuro si profilano all’orizzonte due grandi tendenze nel panorama di queste particolari minacce: l’utilizzo di tecniche come le click farm, per un’attività fraudolenta manuale più difficile da rilevare e il proxy di phishing real-time (RTPP).
Il primo riguarda tentativi sistematici da parte di decine di individui di accedere da remoto a un sito web target utilizzando credenziali raccolte illecitamente, perché la connessione che proviene da un individuo umano che utilizza un browser web standard rende l’attività fraudolenta più difficile da rilevare. Il secondo, il proxy di phishing real-time (RTPP) aumentato di incidenza è in grado di sottrarre e utilizzare codici di autenticazione a più fattori (MFA). L’RTPP agisce con tecniche di “man-in-the-middle” intercettando le transazioni della vittima con un sito web reale. Poiché l’attacco avviene in tempo reale, il sito web maligno può automatizzare il processo di acquisizione e riproduzione dell’autenticazione time-based come i codici MFA, e può anche rubare e riutilizzare i cookie di sessione. A tal proposito David Warburton, Senior Threat Evangelist degli F5 Lab ha specificato che “Fino a quando le persone potranno essere manipolate psicologicamente rispetto a temi specifici, gli attacchi di phishing continueranno a sfruttarli per avere successo. Per questo motivo, gli individui e le organizzazioni devono essere costantemente educati e aggiornati sulle tecniche di attacco più recenti utilizzate dai truffatori così da aumentare l’attenzione sulle modalità con cui gli aggressori sfruttano i recenti trend e i disagi legati alla pandemia”.
