Attualità

Sicurezza: quali sono i trend di attacco e come contrastarli

Con l’X-Force Threat Intelligence Index 2022, IBM traccia il panorama attuale della cybersecurity e spiega come difendersi dalle minacce informatiche.

Pubblicato il 06 Apr 2022

IBM X-Force Threat Intelligence Index

La pandemia continua a tenere in scacco il mondo intero, mentre le crisi geopolitiche e l’instabilità economica alimentano un clima di pesante sfiducia. A causa delle restrizioni anti-contagio, il remote working si è affermato precipitosamente, lasciando scoperte molte problematiche infrastrutturali e di sicurezza.

Chi prospera nella situazione di caos sono gli hacker, che entrano nei sistemi It delle aziende con tecniche e tattiche sempre più sofisticate, sfruttando le incertezze organizzative e le vulnerabilità informatiche. L’ultimo IBM Security X-Force Threat Intelligence Index offre una panoramica esaustiva sulle minacce osservate nel 2021 dal team di Big Blue specializzato in sicurezza e remediation.

Ransomware in testa agli attacchi

Il primo punto di attenzione evidenziato dagli esperti di IBM riguarda le tipologie di attacco più diffuse, categorizzate in basa allo scopo finale dell’aggressore. Finalizzato all’estorsione di denaro, il ransomware rappresenta il 21% delle rilevazioni totali e guida la classifica da ormai tre anni, nonostante una lieve flessione rispetto al 2020.

Le azioni delle forze dell’ordine contro gli attaccanti sembrano essere l’unico deterrente alla proliferazione dei ransomware. Tuttavia, sotto la minaccia di arresto o altra sanzione, i gruppi ransomware cambiano denominazione e proseguono l’attività criminale. L’operazione di “re-branding” avviene mediamente ogni 17 mesi, molti attaccanti rimangono in libertà e difficilmente un gruppo chiude definitivamente la sua attività.

Oltre al ransomware, il rapporto di Big Blue mette in evidenza altri due principali tipi di attacco. Al secondo posto e diffusi principalmente in Asia, i server attack, che permettono di guadagnare l’accesso non autorizzato a una macchina con finalità non definite, rappresentano l’11% sul totale. Gli attacchi di tipo BEC (Business Email Compromise) si attestano in terza posizione, nonostante un graduale declino già a partire dal 2020.

La classifica delle principali tipologie di attacco nel 2020 e nel 2021 (Fonte: IBM Security X-Force)

Massima allerta per phishing ed exploit

Il rapporto di IBM offre anche una fotografia sulle principali tecniche utilizzate dagli attaccanti per ottenere l’accesso iniziale ai sistemi delle vittime. Il phishing ha causato il 41% delle intrusioni e rappresenta il principale vettore di infezione del 2021, superando il vulnerability exploitation (34%), che invece aveva dominato l’anno precedente.

Gli altri metodi citati nel documento, che utilizzano per esempio le credenziali rubate, oppure sfruttano il protocollo Rdp per la connessione remota dei desktop, rappresentano soltanto una minima percentuale sul totale dei casi osservati. Secondo i test condotti dall’X-Force, il tasso medio di clic ottenuto da una campagna mirata di phishing si attesta all 17,8%, ma le cosiddette attività di vishing (o voice phishing), che contemplano l’aggiunta di chiamate telefoniche, sono state tre volte più efficaci.

Nonostante sia stato surclassato dal phishing, nel 2021 il vulnerability exploitation ha registrato un incremento del 33% rispetto all’anno precedente. Nell’ultimo quinquennio, il numero di vulnerabilità scoperte è aumentato costantemente, con una percentuale 2021-su-2020 pari allo 0,4%. Anche gli exploit, cioè gli strumenti che permettono di sfruttare le vulnerabilità, hanno registrato una crescita stabile.

La classifica dei principali vettori di infezione nel 2020 e nel 2021 (Fonte: IBM Security X-Force)

Internet of Thing e industria manifatturiera

Nel 2021, le vulnerabilità relative all’Internet delle Cose (IoT) e ai sistemi di controllo industriali (Ics) sono aumentate a un ritmo vertiginoso rispetto alla media, rispettivamente del 16 e del 50%. Con il proliferare dei dispositivi connessi, aumentano le vulnerabilità e conseguentemente il rischio di attacco. Qualsiasi impresa che utilizza sistemi IoT nelle proprie infrastrutture è maggiormente esposta, ma ciò vale soprattutto per gli impianti produttivi.

Nel 2021, il 61% degli incidenti ha riguardato il Manufacturing che, per la prima volta in cinque anni, ha superato Finance e Insurance nel numero di attacchi subiti. Gli attaccanti sanno che colpire i produttori significa mettere in ginocchio l’intera supply chain, quindi esercitare una maggiore pressione, per esempio con scopo estorsivo.

Malware sempre più sofisticati

Per sfruttare le nuove vulnerabilità e contrastare tool di difesa avanzati, il malware si evolve continuamente, perché sia più difficile da rilevare e più efficace nel violare i sistemi. Gli attaccanti usano sempre più spesso servizi cloud di messaggistica e archiviazione per mascherare le comunicazioni di comando e controllo, confondendo le attività illecite nel traffico legittimo.

Alcuni gruppi stanno sperimentando nuove tecniche per crittografare e offuscare il codice malevolo, così da rendere più complesse le attività di analisi e identificazione. La crescente adozione del cloud da parte delle imprese di tutto il mondo ha spostato l’attenzione degli attaccanti verso la nuvola. Probabilmente non a caso, il 2021 ha registrato un aumento significativo degli attacchi perpetrati a danno degli ambienti Linux, spesso scelti dalle aziende per implementare le strategie cloud.

Per guadagnare l’accesso iniziale alla nuvola, gli attaccanti usano una pluralità di tecniche: quasi un quarto delle violazioni passa attraverso le reti on-premise, mentre circa due terzi fanno leva su problemi di misconfigurazione delle API. Le mire degli attaccanti verso le piattaforme cloud ha portato a un mercato sommerso per le credenziali di accesso, con decine di migliaia di account in vendita online.

Chi sono gli attaccanti e dove colpiscono

Il report di Ibm permette anche di definire lo scenario della cyber-security in base alla tipologia degli attaccanti, nonché ai territori e ai settori più colpiti. La criminalità informatica, che conduce attacchi con scopo di estorsione e per interessi economici, si rivela il principale responsabile degli attacchi (97% dei casi). Gli attori ingaggiati nel Cyber Warfare, soprattutto con obiettivi di spionaggio e sabotaggio, rappresentano soltanto il 2% del totale, mentre gli hacktivisti, che colpiscono le vittime per motivi ideologici, sono l’1%.

Per la prima volta, l’Asia passa in testa alla classifica delle regioni più colpite, destinataria del 26% degli attacchi. Seguono Europa (24%), Nord America (23%), Africa e Medio Oriente (14%), America Latina (13%). Oltre alla capofila rappresentata dal Manufacturing, i comparti più bersagliati nel 2021 sono stati: il settore finanziario e assicurativo (22,4%), i servizi professionali aziendali (12,7%), l’Energia (8,2%), la vendita al dettaglio e all’ingrosso (7,3%).

Ripartizione degli attacchi diretti verso i 10 settori più colpiti, nel 2020 e 2021 (Fonte: IBM Security X-Force)

Le raccomandazioni per una difesa efficace

A fronte di uno scenario così poco rassicurante, come difendersi dalle minacce? L’X-Force di IBM ha condiviso alcune pratiche utili nel contrastare gli attacchi informatici, che includono l’approccio zero-trust, l’automazione dell’incident response, il ricorso a funzionalità estese per rilevare e contrastare le minacce.

La strategia zero-trust rappresenta un modello rivoluzionario rispetto alla sicurezza tradizionale, basato sul principio “non fidarsi mai, verificare sempre”. Poggia su un robusto sistema di autenticazione e controllo degli accessi, che, secondo l’X-Force, si dimostra particolarmente efficace contro attacchi ransomware e Bec.

La security automation si rivela fondamentale in scenari dove la velocità di risposta agli attacchi è decisiva. Grazie alle tecnologie di automazione, si possono accelerare le operazioni di identificazione ed eradicazione delle minacce, nonché ottimizzare le procedure di difesa.

Combinare diversi strumenti di detection and response, all’interno di un’unica soluzione estesa e integrata, aumenta le probabilità di successo nel rilevare e contrastare gli aggressori, prima che possano concretizzare la fase finale dell’attacco.

L’X-Force aggiunge anche una serie di raccomandazioni pratiche per potenziare il livello di cyber-security aziendale, che prevedono quattro linee di azione:

  • sviluppare un piano di risposta per ransomware, che contempli azioni di contenimento immediato, uno scenario di possibile furto dei dati, l’ipotesi di un attacco a piattaforme cloud, un sistema alternativo per la business continuity durante la fase di remediation;
  • implementare l’autenticazione a più fattori su ogni punto di accesso remoto in una rete, ottenendo significativi risultati contro le minacce più frequenti;
  • adottare un approccio a più livelli per contrastare il phishing, che includa la formazione e sensibilizzazione degli utenti, un software per la sicurezza delle email con opzioni di filtering per messaggi sospetti, vari strumenti di difesa che permettano di bloccare il malware e i movimenti laterali;
  • evolvere il sistema di vulnerability management, grazie a un team dedicato che permetta di analizzare, prioritizzare e risolvere le vulnerabilità presenti nell’architettura di rete aziendale.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3