Il conflitto armato tra Russia e Ucraina sembra avere influenzato meno del previsto le sorti della cybersecurity planetaria. Attualmente, non si sono verificati attacchi contro l’Occidente così frequenti e devastanti, ma il futuro è ancora profondamente incerto. Nel frattempo, il mondo della sicurezza informatica è scosso da eventi poco rassicuranti, come si legge nel Global Threat Report di CrowdStrike, riferito al panorama 2022 e ormai giunto alla nona edizione.
Il cybercrime sta guadagnando terreno, mentre l’instabilità geopolitica e la complessità degli ambienti IT fanno da sfondo. Trentatré nuovi avversari hanno fatto capolino sulla scena mondiale (mai era stato osservato un cambiamento così significativo) e lo spionaggio Cina-Nexus è aumentato in tutti i 39 settori e nelle 20 regioni sotto monitoraggio.
Cosa bisogna aspettarsi e come difendersi? Luca Nilo Livrieri, Senior Manager, Sales Engineering – Southern Europe di CrowdStrike, offre un commento alle statistiche del rapporto e suggerisce le best practice da adottare secondo la vision della società.
Vendita di credenziali e attacchi malware-free
«Il report – esordisce Lvrieri – è stato redatto dopo un anno di analisi condotte sia sui dati relativi ai nostri clienti, che ci permettono di vedere quanto stia accadendo realmente sul mercato, sia sulle informazioni derivanti dalle nostre attività di Intelligence. Si tratta pertanto di un documento che riporta le tendenze attuali e le previsioni future, che spesso coincidono».
Così il fenomeno del malware-free attack, che oggi sta crescendo, è destinato a persistere. «Nel 2022 – precisa Livrieri – gli attacchi privi di malware rappresentavano il 71% del totale, mentre nel 2021 la quota si aggirava attorno al 61%. Sempre più spesso infatti, gli attaccanti entrano nei sistemi aziendali sfruttando le informazioni di login che acquistano dai gruppi criminali, quindi non è più necessario installare sulle macchine un malware che rubi le credenziali di accesso».
Non deve stupire quindi che l’anno scorso sul dark-web sono stati pubblicati oltre 2.500 annunci di access broker, con un aumento del 112% rispetto al 2021. Come afferma il manager di CrowdStrike, la tipologia di credenziali e le modalità di vendita variano a seconda del Paese, del settore e delle finalità di attacco. Si riscontra un maggiore interesse dei criminali verso le istituzioni governative, nonché i comparti tecnologico, sanitario e finanziario, ma il fenomeno della compravendita di credenziali si estende a qualsiasi tipo di azienda. Addirittura, come dichiarato da Livrieri, un episodio di furto delle credenziali ha riguardato anche una famosa squadra di calcio italiana. «Insomma – asserisce il manager – gli hacker tendono a fare man bassa indistintamente, dove riescono a scovare vulnerabilità».
Crescono gli attacchi senza ransomware
Dopotutto, i modelli di business e le modalità di azione della criminalità informatica si evolvono, come accade per qualsiasi altro settore. «Oggi – puntualizza Livrieri – anche i criminali lavorano in modalità as-a-service: sostanzialmente, comprano le fasi di initial access, che sono le più onerose, e ottengono direttamente le credenziali di accesso ai sistemi della vittima».
Conseguentemente, gli attacchi ransomware stanno perdendo popolarità. «Se un criminale – spiega Livrieri – è già in possesso delle credenziali, può simulare un comportamento lecito e non deve più ricorrere al ransomware, almeno in prima istanza, per entrare sul bersaglio. Piuttosto effettuerà un attacco di tipo LotL ovvero Living off the Land, che permette di utilizzare strumenti legittimi già presenti sul sistema della vittima, come FTP, PuTTY o PowerShell, per eseguire azioni malevole».
Il report di CrowdStrike ha inoltre evidenziato la netta crescita (+20% rispetto al 2021) delle campagne finalizzate al furto di dati e alla conseguente estorsione senza l’effettivo dispiego di ransomware. Evidentemente, nel tentativo di convincere le vittime al pagamento di un riscatto, la minaccia di divulgare le informazioni rubate è un incentivo altrettanto efficace quanto l’interruzione del servizio causata dal ransomware. «Solo nel caso in cui – commenta Livrieri – l’azienda colpita non fosse disposta a pagare per tutelare la riservatezza dei dati, allora gli attaccanti procederanno con il ransonware, che verrà quindi utilizzato in seconda istanza, in modo più mirato e con finalità distruttiva».
Attacchi al cloud e ingegneria sociale
Il report di CrowdStrike porta all’attenzione altre tendenze significative, tra cui l’impennata degli attacchi diretti alla nuvola e l’aumento delle tattiche di ingegneria sociale. Lo sfruttamento delle vulnerabilità cloud da parte degli attaccanti è cresciuto del 95% rispetto al 2021. Come nota Livrieri, violare un servizio cloud significa andare a colpire tantissimi bersagli con un solo attacco e quindi un minore impiego di risorse: da qui si spiegherebbe l’aumento significativo delle minacce verso la nuvola.
Il ricorso al social engineering invece può essere letto come la risposta degli hacker a una maggiore sofisticazione delle tecniche di difesa adottate dalle aziende. «Fortunatamente – prosegue Livrieri – sempre più imprese utilizzano sistemi di Multi-Factor Authentication per aumentare i livelli di protezione. Gli attaccanti quindi non solo devono entrare in possesso delle credenziali di accesso dell’utente, ma anche inserirsi all’interno del processo MFA e quindi sottrarre alla vittima (o estorcere con l’inganno) il secondo fattore di sicurezza».
In questo caso, come rivela il Global Threat Report, i criminali stanno aumentando il ricorso alle tecniche più sofisticate di social engineering come il vishing (che ha l’obiettivo di ottenere informazioni riservate dall’utente tramite telefonate fraudolente) oppure il SIM swapping (che permette di sottrarre alla vittima il numero di cellulare con cui si autentica su determinati servizi online, così da violarne l’accesso).
«Tra le diverse tecniche – aggiunge Livrieri – l’MFA fatigue fa leva sul senso di frustrazione dell’utente che si vede subissato da richieste lecite e fraudolente di autenticazione a più fattor. La vittima presa d’assalto finisce con l’abbassare la guardia e accettare indiscriminatamente tutte le richieste, senza premurarsi di verificare che siano autentiche. Per non incorrere nel pericolo, CrowdStrike suggerisce di attivare la MFA solo in caso vengano rilevati eventi anomali ed esclusivamente per flussi specifici».
Alcune buone pratiche di cybersecurity
Ma a fronte di ambienti IT sempre più complessi, distribuiti e difficili da proteggere, come si costruisce una strategia di difesa efficace contro attacchi che crescono in numero, efficacia e sofisticazione?
«Il tema della visibilità è fondamentale – proclama Livrieri – così come la capacità di risposta. CrowdStrike è strenuo sostenitore della regola 1/10/60 (che indica le soglie ideali espresse in minuti per identificare, investigare e risolvere una violazione in corso, ndr). La velocità di azione è un tema fondamentale, soprattutto alla luce dell’attuale scenario: secondo le nostre rilevazioni, nel 2022, il tempo medio per effettuare il movimento laterale è sceso drasticamente a 84 minuti. Ovviamente, un fattore di accelerazione è imputabile alla disponibilità delle credenziali di accesso che permette agli attaccanti di iniziare il lavoro partendo già da uno step successivo».
Livrieri prosegue nell’enunciare la strategia di CrowdStrike per garantire la sicurezza nei moderni ambienti IT. «La visibilità deve essere intesa per le fasi sia di prevention sia di detection. Innanzitutto, bisogna capire chi e come potrebbe attaccarci conoscendo le tendenze del momento: ad esempio, quali credenziali stanno vendendo sul dark-web, quali settori stanno subendo più attacchi e così via. Occorre essere preparati avendo a disposizione una componente di Threat Intelligence che permetta di fare prevenzione».
Nel caso gli attacchi vadano a segno, le aziende dovrebbero essere dotate di tutti gli strumenti necessari per il rilevamento, l’analisi e la risoluzione delle minacce. «Per ambienti cloud – sottolinea Livrieri – CrowdStrike fornisce soluzioni che permettono di analizzare la superficie di attacco, le risorse esposte, le vulnerabilità nascoste».
Un altro punto fondamentale della strategia CrowdStrike riguarda la protezione dell’identità, che deve essere prioritaria. «Mettere in sicurezza tutti i singoli endpoint con l’installazione di un agente – dichiara Livrieri – non sarebbe possibile, pertanto bisogna concentrarsi nel punto dove si crea interazione tra utenti e dati».
Anche le simulazioni di attacco e quindi l’esercitazione alla risposta dovrebbero essere componenti imprescindibili della security strategy e coinvolgere tutto l’organigramma aziendale, dai dipendenti agli executive. Come sostiene Livrieri, la tecnologia insomma rappresenterebbe solo un tassello della cybersecurity, mentre è soprattutto grazie alla pratica e alla comunicazione che le organizzazioni possono imparare a riconoscere le minacce.
Protezione unificata per gli endpoints
Livrieri spiega infine quali sono le soluzioni tecnologiche che permettono di mettere a terra le buone pratiche di sicurezza. «Grazie alla telemetria – dettaglia il manager – la nostra piattaforma Falcon per la protezione unificata degli endpoint, ci permette di avere una grande visibilità su quanto accade all’interno delle macchine, con finalità di prevention e protection. Le funzionalità per il threat hunting proattivo ci permettono di vedere se si stanno verificando delle modifiche ai processi che possono essere riconducibili a un attacco. Chiaramente possiamo controllare anche la presenza di vulnerabilità sfruttabili o sfruttate dagli attaccanti».
La piattaforma di CrowdStrike inoltre unisce alla telemetria e alle funzionalità di intelligenza artificiale anche l’expertise umana, mettendo a disposizione dell’azienda un team di professionisti che utilizza gli strumenti AI per fare threat hunting in modalità gestita.
«Il nostro valore aggiunto – prosegue Livrieri – consiste nell’offerta di una soluzione friction less, leggera, che non compromette l’operatività. Per rilevare eventuali attacchi, non deve scansionare tutte le operazioni all’interno della macchina, ma semplicemente andrà ad analizzare gli indicatori di attacco ed eventuali compromissioni. Il nostro approccio insomma consiste nell’eseguire meno analisi, ma più mirate così da concretizzare il nostro mantra “Stop breaches””, bloccando le violazioni senza intaccare l’operatività».
