Il panorama degli attacchi di cybersecurity su scala mondiale (e italiana) peggiora di anno in anno. Nel corso del biennio 2017-2019, documenta il Rapporto Clusit 2019 sulla sicurezza ICT in Italia, si è assistito però a un enorme salto di quantità e qualità. “Si è infatti registrato un aumento sia della frequenza degli incidenti sia dell’impatto che tali incidenti hanno avuto sulle organizzazioni colpite”, afferma Alessio Pennasilico, membro del Comitato Tecnico e Scientifico del Clusit.
Nella parte introduttiva dello studio (di cui i media hanno avuto un’anteprima e che sarà presentato in occasione del “Security Summit”, in programma a Milano dal 12 al 14 marzo), si arriva addirittura ad affermare: “Siamo giunti a un bivio cruciale, al punto di intersezione di un gran numero di crisi concomitanti, il che nel campo della sicurezza cibernetica implica che le scelte che faremo nei prossimi (pochi) anni decideranno la possibilità di sopravvivenza e la sostenibilità della società digitale così come si è venuta a determinare”.
Se l’affermazione potesse sembrare a qualcuno un po’ troppo drastica, i dati riportati dal Rapporto del Clusit 2019 (che fra il 2011 e il 2018 ha censito 8.417 attacchi gravi di pubblico dominio su scala globale), non danno scampo: “Mentre nell’arco del biennio 2017-2018 (con un’accelerazione sensibile nell’ultimo anno) il numero di attacchi gravi è cresciuto del 37,7%, la crescita registrata nel biennio 2015-2016 era stata ‘solo’ del 3,8%, ovvero nell’ultimo biennio il tasso di crescita del numero di attacchi gravi è aumentato di 10 volte rispetto al precedente” (figura 1).
Nel 2018 la più importante associazione degli esperti di sicurezza italiani ha censito 1.552 attacchi, il 38% in più dell’anno precedente. “Ogni mese del 2018 – sottolinea Andrea Zapparoli Manzoni, membro del Consiglio Direttivo di Clusit – ha fatto registrare più incidenti gravi del corrispondente periodo del 2017. Nel 2018 la media mensile di attacchi è stata di 129; a febbraio, luglio e novembre si sono avute le ondate maggiori; a novembre si sono raggiunti 157 incidenti gravi di pubblico dominio. Per il 2019 si prevende un trend di crescita drammatico, con una media mensile di circa 150 incidenti, e mesi da 180/200”.
Le diverse sfumature delle minacce
La problematica delle minacce alla cybersecurity va oggi più che mai analizzata a fondo nelle sue diverse dinamiche a livello di attaccanti, settori target, tecniche di attacco e, come invita a fare da due anni il Clusit, Severity, termine con il quale si intende la gravità degli incidenti, che gli esperti dell’Associazione suddividono in tre livelli: medio, alto e critico. “Le variabili che contribuiscono a comporre la valutazione dell’impatto per ogni singolo attacco analizzato – leggiamo nel Rapporto – sono molteplici e includono: impatto geopolitico, sociale, economico (diretto e indiretto), di immagine e di costo/opportunità per le vittime”.
Per quanto riguarda il 2018, gli attacchi con impatto “medio” hanno rappresentato il 39% del totale (erano il 49% nel 2017), quelli di livello “alto” il 33% (erano il 31%) e quelli di livello “critico” quasi un terzo con il 28% (erano il 21%). Incrociare i dati sulle tipologie di attaccanti, vittime e tecniche d’attacco, con i gradi di severity dei singoli attacchi esaminati, fanno notare dal Clusit, permette di giungere a conclusioni spesso inedite e di rendere i risultati di queste analisi dei driver per stabilire le giuste priorità nell’adozione di nuove strategie e misure di cubersecurity. “Non esistono soluzioni one-size-fits-all” avvertono gli esperti Clusit.
Cybercrime contro Multiple Targets con stile industriale
Torniamo ai dati statistici. Il numero di attacchi gravi attribuiti al cybercrime (che ha come obiettivo l’arricchimento economico) è aumentato, nel 2018, del 43,8% rispetto all’anno precedente. Analizzando una serie storica iniziata nel 2014, si vede che questa categoria di attaccanti si trova sempre al primo posto come responsabili di incidenti gravi, con un trend sempre crescente (figura 2). Nel 2018 gli sono stati attribuiti il 79% degli incidenti gravi, pari a tre punti in più del 2017. Da segnalare, tuttavia, che la maggior degli attacchi del cybercrime si posizionano ad un livello di severity medio e alto. Gli attacchi critici sono pochi perché, spiega il Rapporto, i cybercriminali guadagnano sui grandi numeri, e quindi hanno interesse a rimanere relativamente sottotraccia.
Grandi numeri si ottengono mirando a più settori/vittime. Dal 2014 il Clusit ha coniato una nuova “categoria vittima” chiamata Multiple Targets, che si è posizionata in testa alla classifica delle più colpite con 304 attacchi nel 2018 (+36,9%). Si considerano attacchi Multiple Target quelli che non si rivolgono solo ad uno specifico settore, ma a più comparti contemporaneamente. Il 75% degli attacchi verso questa categoria nel 2018 è stato attribuito al cybercrime (figura 3). Per poter condurre attacchi su larga scala, i cybercriminali utilizzano tecniche d’attacco altamente industrializzate, concepite per poter raggiungere il maggiore successo possibile in differenti situazioni.
Tecniche di attacchi: chi sale e chi scende
La tecnica più utilizzata dal cybercrime è il malware. Lo scorso anno gli attacchi basati sui malware sono stati 585 (68% del totale), per una crescita del 31,2%, e continuano a trovarsi al primo posto per il secondo anno di fila.
Ma di quali malware si parla? A livello globale, dopo la più generica voce Other (31%), al primo posto come singoli malware importanti troviamo i ransomware (23%), seguiti dai cryptominer (23%). Fra i tanti altri malware noti, gli esperti Clusit hanno rilevato una crescita di quelli rivolti alle piattaforme mobile (Android e IoS), che insieme hanno rappresentato il 12%.
Le tecniche Unknown hanno detenuto la prima posizione nel triennio 2014-2016 e nel 2018 hanno ripreso vigore segnando un aumento del +47,3%, raggiungendo quota 408 attacchi, contro i 477 del 2017. Un’altra tecnica che ha mostrato una crescita sopra la media è stata il Phishing / Social Engineering (160 attacchi gravi, +56,9%). Scendendo fra metodologie che sono state riscontrate in numeri più contenuti di attacchi, troviamo in crescita le Multiple Techniques /APT (98 incidenti, +55,6%), 0-Day (20, +66,7%) e Phone Hacking (9, +200%). Cresce poco, ma lo fa, anche l’Account Cracking (56 attacchi, +7,7%), mentre resta stabile la tecnica DDoS (38 incidenti di pubblico dominio registrati). Crollano definitivamente gli attacchi SQL Injection (uno solo riportato, -85,7%).
Gov e Health nel mirino
Scorrendo i dati del Rapporto Clusit 2019, torniamo alle categorie vittime. Dopo i Multiple Targets (304 attacchi, +36,9%), gli altri due settori sul podio delle più colpite nel 2018 sono Gov (che include PA, forze armate, istituzioni legali; 252 attacchi, + 40,8%) e Healthcare (159 attacchi, +98,8%). Il boom di incidenti nel settore sanitario, avvenuti prevalentemente in Nord America con l’obiettivo di rubare dati personali e infiltrare ransomware, vedono l’Healthcare sorpassare, fra le categorie più colpite, Banking / Finance e Online Services / Cloud (rispettivamente +33,3% e +35,8%). Come nei confronti dei Multiple Target, anche in quelli di Gov ed Healtcare la categoria di attaccanti più attiva è stata quella del cybercrime; qui le tecniche Unknown hanno superato i malware 48% contro 27%.
Nel settore Gov, gli attacchi attuati dal cybercrime sono stati pari al 56%, seguiti, con il 28%, da quelli condotti dagli esperti di Espionage / Sabotage, dall’Hactivism (9%), e dall’Information Warfare (7%). A proposito di Espionage / Sabotage, gli incidenti gravi attribuiti a questa categoria di attaccanti sono aumentati nel 2018 del 57,4%, mentre quelli riferibili alle Information Warfare hanno registrato un calo del 9,7%. Sommando Espionage / Sabotage con Information Warfare, Clusit ha registrato nel 2018 un aumento del 35,6% degli attacchi (359 contro 191 nel 2017). Parliamo di un mondo di hacker al servizio soprattutto di Stati-nazione a grandi aziende concorrenti che usano più tecniche quali Multiple Technique / APT (+55,6%), salvo poi concludere alcuni attacchi finali con incidenti su larga scala, impiegando malware e attacchi DDoS. Non meraviglia che gli attacchi Espionage / Sabotage e Information Warfare siano quasi tutti di severity Critica.
I contributi di Fastweb, Akamai e IDC al rapporto Clusit 2019
Come di consueto, anche il Rapporto Clusit 2019 si compendia con alcuni studi che integrano l’analisi compiuta all’Associazione. Fastweb presenta i dati relativi agli attacchi rilevati dal Security Operations Center (SOC) e relativi agli indirizzi IP appartenenti al proprio Autonomous System (AS) che ha analizzato oltre 40 milioni di eventi di sicurezza accaduti nel 2018. Da questa analisi, compiuta su dati automaticamente aggregati e anonimizzati per proteggere privacy e sicurezza, si rileva un’evoluzione nella composizione dei malware e botnet rispetto al 2017 con l’identificazione di 212 famiglie di software malevoli (+10% rispetto all’anno precedente) e, elemento da guardare con attenzione, la diffusione massiva di nuovi malware, non ancora classificati e riconducibili a una famiglia nota.
Il secondo contributo è a cura di Akamai e riguarda un’analisi globale degli attacchi DDoS, applicativi e relativi al furto di identità, mentre il terzo è realizzato da IDC dove la società di ricerca internazionale presenta la propria visione del mercato italiano della sicurezza IT.
