Cybersecurity, tre report a confronto per capire quali sono state le maggiori minacce del 2019

Il livello di sviluppo dell’innovazione in Italia, discusso durante il Digital Italy Summit 2019 e tracciato in modo particolareggiato nella pubblicazione edita dalla Maggioli editore “Rapporto Digital Italy 2019”, fa emergere una crescita inferiore alle previsioni.

Il motivo principale che risulta dallo studio, riguarda la mancanza di un forte sviluppo delle politiche industriali (Industry 4.0) e del procurement pubblico, che rischia di far ristagnare l’Italia fra l’1,2% e l’1,5% fino al 2021. Nella pubblicazione non sembra essere menzionato in modo appropriato il rischio legato alla sicurezza informatica (fatta eccezione per il paragrafo sicurezza e privacy nel sistema 5G n.d.r.), che invece, potrebbe concorrere ad aggravare il quadro già critico e impedire ulteriormente la crescita economica e tecnologica, a causa dell’impatto potenziale degli incidenti di sicurezza informatica, ancora troppo sottostimato da un significativo numero di aziende del Bel Paese.

Questo particolare aspetto della ricaduta sullo sviluppo a livello nazionale, è stato sottolineata in più occasioni da Roberto Baldoni Vicedirettore nazionale Dis con delega alla Cybersecurity, che anche in occasione dell’ultimo Cybertech, ha ribadito come il cyberspazio abbia l’effetto di amplificare e ingrandire qualsiasi problema che nel mondo reale avrebbe conseguenze circoscritte. Il riferimento più calzante riguarda gli attacchi alla supply chain che nell’economia globalizzata, possono causare effetti a catena rovinosi e transnazionali; ma questo effetto è vero per qualsiasi tipo di attacco che possa compromettere la capacità operativa di una realtà di business e delle sue sedi periferiche nel territorio nazionale: ad esempio per effetto dei ransomware (malware che bloccano i sistemi informatici chiedendo un riscatto per riabilitarli), o dei DDOS (attacchi che inducono al blocco dei sistemi per decadimento progressivo delle performance).

Gli ultimi report di aggiornamento della minaccia evidenziano come le minacce possono restare subdolamente all’interno dell’organizzazione, oppure come evolvano e richiedano azioni preventive di difesa. Lo scenario della minaccia è oggi più che mai pervasivo in tutti gli ambienti operativi: mobile, e-mail, cloud, supply chain. Per questo motivo è opportuno e raccomandabile mantenersi aggiornati sui report della minaccia e sulle Cybersecurity Predictions che anticipano le minacce per il 2020 ed i trend maggiormente rischiosi per pianificare per tempo gli interventi preventivi. Alternativamente si rischia uno sviluppo accennato, ma non consolidato.

Report Check Point  

Nessun ambiente IT è immune agli attacchi informatici annuncia Check Point. La threat map che mostra il contatore degli attacchi in real time su scala globale, ogni giorno evidenzia una incidenza numericamente preoccupante. In aggiunta, gli attori delle minacce sviluppano continuamente nuove serie di strumenti e tecniche per poter attaccare qualsiasi nuova tecnologia. La sintesi deli ultimi dati diffusi in occasione del CPX di Roma e relativi all’analisi degli ultimi sei mesi evidenzia per il mobile banking un aumento di attacchi superiore al 50% rispetto al 2018 con malware bancari talmente evoluti da diventare una minaccia mobile molto comune. In crescita anche gli attacchi informatici in ambito cloud, causati dalla mancanza di pratiche di sicurezza come l’errata configurazione e la cattiva gestione delle risorse.

Rilevata la presenza di attacchi alla catena di fornitura del software originati da codice malevolo inserito in un software legittimo. Infine, per la violazione dei sistemi di e-mail si usano le tecniche di social engineering e la variazione e la personalizzazione di contenuti eludendo i filtri antispam. Da gennaio a giugno 2019 inoltre, sono state osservati i seguenti fenomeni:  il principale vettore di attacco in Italia è la e-mail e come allegati malevoli sono usati i file “.doc”, diversamente dal resto del mondo dove rispettivamente troneggia il web come vettore di attacco, e il file tipo “.exe” come vettore malevolo; il malware più pericoloso è stato AgentTesla che monitora e raccoglie l’input della tastiera, gli appunti di sistema, esegue screenshot ed estrae le credenziali appartenenti a una varietà di software installati sul computer della vittima (tra cui Google Chrome, Mozilla Firefox e client di posta elettronica Microsoft Outlook); gli USA sono la principale fonte degli attacchi rilevati in Italia ma il 9% degli attacchi accaduti in Italia proviene dall’Italia stessa; un’organizzazione italiana è stata attaccata in media 702 volte alla settimana, rispetto ai 606 attacchi che hanno colpito settimanalmente un’organizzazione in tutto il mondo.

Per il 2020 sono previsti aumenti degli attacchi di ransomware, di malware verso dispositivi mobili e mobile banking e di phishing sempre più strutturati ed inviati anche via SMS; sul fronte dei trend della cyber-security globale, il 2020 sarà caratterizzato da attacchi informatici ai servizi pubblici essenziali e infrastrutture strategiche, anche come parte della “guerra fredda” cibernetica che con l’aumento delle tensioni internazionali fra i governi, si intensificherà supportata dagli stati già oggi  dominanti per campagne di cyberwarfare. Prevedibile anche una ondata di fake news finalizzate ad influenzare le elezioni USA 2020.

2019 Global threat Report di Crowdstrike

Il report elaborato utilizzando il MITRE ATT&CK™ framework, è basato sui risultati provenienti da quattro diverse fonti informative per l’anno 2018: l’intelligence team per l’analisi approfondita e storica degli avversari, delle loro campagne e delle loro motivazioni, il Threat Graph, un modello di database grafico basato su cloud che elabora, correla e analizza petabyte di dati storici e in tempo reale raccolti da oltre un trilione di eventi alla settimana in 176 paesi, il “CrowdStrike Services Cyber ​​Intrusion Casebook 2018”, che raccoglie casi reali di gestione incidenti gestiti dal team dei Servizi e la CrowdStrike Falcon OverWatch che effettua la caccia proattiva alle minacce. Dai dati emerge che gli sforzi delle forze dell’ordine non hanno ancora fermato o dissuaso le attività sponsorizzate dagli Stati nazionali, ma le attività del Dipartimento di Giustizia degli Stati Uniti contro individui malevoli “State Sponsored”, possono aver influenzato le TTPs in uso (tactics, techniques and procedures n.d.r.). L’ecosistema eCrime evoluto e maturato mostra maggiori collaborazioni tra attori criminali altamente sofisticati che hanno operato per distribuire crimeware, trojan bancari, ransomware-as-a-service, compromettere punti vendita ed effettuare campagne di spear-phishing mirato. Infine, si è assistito all’ascesa del “Big Game Hunting” da parte dei criminali informatici, che consiste nel combinare tecniche di attacco avanzate e mirate con ransomware (tecniche/ransomware), per ottenere enormi profitti finanziari. Esempi rappresentativi sono BOSS SPIDER/Samas, INDRIK SPIDER/Dridex e GRIM SPIDER/Ryuk. Il report evidenzia come il malware sia spesso solo il precursore di un attacco e non l’obiettivo finale. L’intrusione iniziale porta a tecniche più sofisticate e furtive, come l’uso di strumenti legittimi già presenti sul sistema target per raggiungere obiettivi avversari (living off the land technique n.d.r.).

Cloud threat Report Darktrace

Da quando le aziende hanno iniziato ad adottare massicciamente il Cloud Computing grazie ai benefici che offre (convenienze economiche, maggiore collaborazione, maturità dei cloud provider e dei prodotti), sono state sviluppate tipologie di minacce informatiche ad-hoc e si è assistito ad attacchi sofisticati di social engineering caratterizzati da infiltrazioni lente, furtive e subdole per manipolare i dati per periodi prolungati. I controlli di sicurezza nativi offerti dai provider Saas e IaaS possono avere una portata limitata e circoscritta e non sempre riescono nella difesa proattiva e in tempo reale.

Nel report divulgato da Darktrace sono incluse le descrizioni di nove attacchi realmente accaduti sul cloud, la cui complessità ha richiesto l’adozione di una Cyber AI per la detection. L’AI lavora anche sulle minacce emergenti, oltre a quelle già note, sia negli ambienti multi-cloud sia hybrid-cloud. I casi gestiti hanno spaziato fra: spoofing email in Office 365, violazione in sharepoint di credenziali, attività illecite da un insider insoddisfatto, configurazioni errate della crittografia per il trasferimento in Cloud di dati sensibili, minacce 0-day veicolate mediante spear-phishing e-mail, Proprietà intellettuale non crittografata in Azure, attacchi di supply chain. In tutti i casi, la progressiva specializzazione della AI sulla comprensione del business e delle dinamiche che caratterizzano utenti e dispositivi, si è rivelata determinante per la detection.

Approfondimenti

Per rimanere aggiornati o approfondire alcune delle tematiche si possono consultare i Report periodici di Check Point dal sito dei ricercatori e/o partecipare al diversi webinar disponibili. Fra questi il Live webinar bitdefender sulle cybersecurity predictions con partecipazione gratuita previa iscrizione. Se infine si vuole un focus specializzato per l’ambiente Windows si può consultare il Microsoft cybersecurity report 2019.