X-Force Threat Intelligence Index 2024 di IBM evidenzia l’emergere di una crisi globale per ciò che riguarda l’identità digitale sotto attacco da parte dei criminali informatici. Nel 2023, secondo IBM X-Force, divisione dei servizi di sicurezza di IBM Consulting, i criminali informatici hanno individuato l’opportunità di accedere alle reti aziendali, utilizzando account validi, anziché effettuare una compromissione. Il report si basa su insight e osservazioni che derivano dal monitoraggio di oltre 150 miliardi di eventi legati alla cybersecurity che si verificano ogni giorno in più di 130 Paesi.
Il manufatturiero è il settore più esposto
Quasi un attacco su tre osservato a livello mondiale ha preso di mira l’Europa (32%), un numero mai raggiunto prima d’ora in una singola area analizzata.
Sempre nel 2023, i Paesi più colpiti sono stati Regno Unito (27%), Germania (15%), Danimarca (14%), Portogallo (11%), Italia (8%) e la Francia (8%).
In tutta Europa, X-Force ha osservato un +66% degli attacchi causati dall’uso di account validi rispetto all’anno precedente.
I principali punti deboli registrati sono le identità digitali e le e-mail, entrambi sfruttati nel 30% delle violazioni di account validi e phishing.
I malware si sono rivelati l’azione malevola più diffusa, con il 44% degli incidenti. L’Europa è l’area ad aver subito il maggior numero di attacchi ransomware a livello globale (26%).
Identità digitale sotto attacco
I trefattori che hanno impattato maggiormente le organizzazioni europee sono stati la raccolta di credenziali (28%), l’estorsione (24%) e la fuga di dati (16%).
Tra i settori più colpiti, quello manifatturiero, che è passato dal secondo posto del 2022 al primo nel 2023, con il 28% degli incidenti.
Al secondo posto si colloca il settore dei servizi professionali rivolti a imprese e consumatori con il 25% degli attacchi, seguito dai servizi finanziari e assicurativi e dal settore energetico che hanno registrato rispettivamente il 16% e il 14% di attacchi.
Nel complesso, l’Europa ha subito la percentuale più elevata di incidenti nel settore dell’energia (43%) e in quello finanziario e assicurativo (37%).
Le evidenze rilevate nell’Unione Europea
Quasi il 70% degli attacchi contro le organizzazioni europee a cui X-Force ha risposto si trova negli Stati membri dell’UE.
Quasi il 74% degli attacchi osservati ha riguardato infrastrutture critiche.
Il malware è stato la principale tipologia di attacchi osservata, pari al 40%. A ciò è seguito l’uso di strumenti legittimi (26%) e l’accesso ai server (15%). Il ransomware è stato il principale tipo di malware osservato in quasi il 26% degli attacchi malware.
Identità digitale
Charles Henderson, Global Managing Partner, IBM Consulting e Head of IBM X-Force Sebbene l’attenzione riservata agli attacchi ingegnerizzati dall’AI sia maggiore rispetto ai problemi di sicurezza più noti e basilari, sono questi ultimi ad essere ancora oggi i più diffusi. Le identità compromesse vengono utilizzate ripetutamente contro le aziende. Problema che è destinato ad acuirsi poiché gli aggressori utilizzeranno l’AI per ottimizzare le loro tattiche.
Una crisi destinata a peggiorare
Lo sfruttamento di account validi è diventato la via più facile per i criminali informatici, con miliardi di credenziali compromesse accessibili sul Dark Web. Nel 2023 X-Force ha visto gli aggressori investire sempre di più in tattiche volte a ottenere le identità degli utenti. Con un +266% dei furti di dati, progettati per rubare informazioni riconducibili all’identità personale, come e-mail, credenziali di social media e app di messaggistica, dati bancari o di portafogli di criptovalute e altro ancora.
Crescono le spese
Questo “ingresso facile” per gli aggressori è più complesso da rilevare. E inoltre comporta una risposta costosa da parte delle aziende. Secondo X-Force, gli incidenti più gravi causati da criminali informatici che utilizzano account validi richiedono ai responsabili della sicurezza misure di risposta più complesse del 200% rispetto all’incidente medio. Oltre alla necessità di distinguere tra attività di utenti legittimi e malintenzionati sulla rete. Il Cost of a Data Breach Report 2023 di IBM ha infatti rilevato che le violazioni causate da credenziali rubate o compromesse hanno richiesto circa 11 mesi per essere rilevate e recuperate. Il ciclo di vita della risposta più lungo rispetto a qualsiasi altro vettore di infezione.
Il ruolo dell’AI generativa
Questo ampio raggio d’azione nell’attività online degli utenti è stato evidente nello smantellamento, da parte dell’FBI e delle forze dell’ordine europee nell’aprile 2023, di un forum globale di criminalità informatica. Un forum che ha raccolto i dati di accesso di oltre 80 milioni di account utente. Le minacce basate sull’identità continueranno a crescere man mano che i cybercriminali sfrutteranno l’intelligenza artificiale generativa per ottimizzare i loro attacchi. Già nel 2023, X-Force ha osservato oltre 800.000 post su AI e GPT nei forum del Dark Web, ribadendo che queste innovazioni hanno attirato l’attenzione e l’interesse dei criminali informatici.
Identità digitale sotto attacco e soprattutto in Europa
Gli attacchi alle infrastrutture critiche rivelano i “passi falsi” del settore. In quasi l’85% degli attacchi ai settori critici, la compromissione si sarebbe potuta limitare grazie all’applicazione di patch, all’autenticazione a più fattori oppure al principio del privilegio minimo. Ciò significa che quella che storicamente è stata descritta come “sicurezza di base” potrebbe essere più difficile da realizzare di quanto si pensi.
La situazione
In tutto il mondo, quasi il 70% degli attacchi a cui X-Force ha risposto era rivolto a organizzazioni di infrastrutture critiche. Evidenziando così che i criminali informatici stanno scommettendo sulla necessità di uptime di questi obiettivi di alto valore per portare avanti i loro progetti.
Quasi l’85% degli attacchi a cui X-Force ha risposto in questo settore è stato causato dallo sfruttamento di applicazioni pubbliche, da e-mail di phishing e dall’utilizzo di account validi. Quest’ultimo rappresenta un rischio maggiore per il settore. DHS CISA afferma che la maggior parte degli attacchi riusciti contro le agenzie governative, le organizzazioni di infrastrutture critiche e gli enti governativi a livello statale nel 2022 ha implicato l’uso di account validi. Ciò evidenzia la necessità per queste organizzazioni di eseguire frequentemente stress test dei loro ambienti per rilevare potenziali esposizioni e sviluppare piani di incident response.
Meglio ricostruire che pagare
Gruppi di ransomware passano a un modello di business semplificato. Gli attacchi ransomware alle aziende hanno riscontrato un -12% lo scorso anno. Questo perché le organizzazioni più grandi hanno scelto di non pagare e decriptare, a favore della ricostruzione dell’infrastruttura. Con questa crescente resistenza, che probabilmente ha un impatto sulle aspettative degli aggressori di ottenere un guadagno dall’estorsione basata sulla codifica, si è osservato che gruppi, in precedenza specializzati nel ransomware, si sono focalizzati sul furto di informazioni.
AI generativa: la prossima frontiera da proteggere
L’analisi di X-Force prevede che quando una singola tecnologia di AI generativa si avvicinerà al 50% della quota di mercato o quando il mercato si consoliderà a tre o meno tecnologie, potrebbe scattare il momento della maturità dell’AI come superficie di attacco. Questo sta portando ulteriori investimenti in nuovi strumenti da parte dei criminali informatici.
I nuovi strumenti di difesa
Perché i criminali informatici possano raggiungere un ROI derivante dai loro attacchi, le tecnologie che prendono di mira devono essere diffuse nella maggior parte delle organizzazioni di tutto il mondo. Proprio come i fattori tecnologici che in passato hanno favorito le attività dei criminali IT. Questo è stato osservato con i ransomware e la diffusione del mercato di Windows Server, le truffe BEC e la diffusione di Microsoft 365 o il cryptojacking e il consolidamento del mercato Infrastructure-as-a-Service. Così anche questo modello si estenderà molto probabilmente all’AI.
Identità digitale
Sebbene l’AI generativa sia attualmente in una fase antecedente al mercato di massa, è fondamentale che le aziende proteggano i loro modelli di intelligenza artificiale prima che i criminali informatici vadano a rimodulare le loro attività. Le aziende devono acquisire consapevolezza che l’infrastruttura sottostante esistente rappresenta una via di accesso ai loro modelli di AI, che non richiede tattiche innovative da parte dei cybercriminali per essere presa come bersaglio, evidenziando la necessità di un approccio olistico alla sicurezza nell’era dell’AI generativa, come sottolineato nell’IBM Framework for Securing Generative AI.
Che fine ha fatto il phishing?
Pur rimanendo uno dei principali vettori di infezione, gli attacchi di phishing hanno registrato un -44% del volume rispetto al 2022. L’analisi di X-Force indica che l’AI può ottimizzare gli attacchi, riducendo i tempi di quasi due giorni. Pertanto, il vettore di infezione rimarrà una scelta preferita dai criminali informatici.
Tutti sono vulnerabili soprattutto l’identità digitale
RedHat Insights ha rilevato che il 92% dei clienti ha almeno una CVE (Common Vulnerabilities and Exposures) con exploit noti, non affrontati, nel loro ambiente al momento della scansione. Inoltre l’80% delle prime diecivulnerabilità rilevate tra i sistemi nel 2023 ha ricevuto un punteggio di gravità di base CVSS ‘Alto’ o ‘Critico’. X-Force ha osservato anche un aumento del 100% negli attacchi di tipo “kerberoasting“. In questa situazione i criminali informatici tentano di impersonare gli utenti per aumentare i privilegi abusando dei ticket di Microsoft Active Directory.
Come mettersi in sicurezza
Sulla base di questa ricerca, IBM X-Force ha elaborato alcune raccomandazioni per le aziende:
Ridurre il raggio d’azione. Le organizzazioni dovrebbero prendere in considerazione l’integrazione di soluzioni per ridurre i danni che un incidente materia di sicurezza dei dati potrebbe potenzialmente causare. In questo modo si riduce il raggio d’azione dello stesso, ovvero l’impatto potenziale dell’evento in seguito alla compromissione di particolari utenti, dispositivi o dati. Ciò potrebbe includere l’integrazione di un framework di privilegi minimi, la segmentazione della rete e un “identity fabric” che estenda le moderne funzionalità di sicurezza, rilevamento e risposta nel contesto in cui spesso sono presenti applicazioni e sistemi obsoleti.
Eseguire stress-test degli ambienti e preparare un piano. Ingaggiare dei servizi di hacking per eseguire stress test dell’ambiente e identificare le falle esistenti che i criminali informatici potrebbero sfruttare per accedere alla rete ed eseguire attacchi. Inoltre, per ridurre i tempi di risposta, rimedio e recupero da un attacco, è fondamentale disporre di piani di incident response personalizzati per l’ambiente specifico. Questi piani dovrebbero essere regolarmente aggiornati e includere una risposta inter-organizzativa, incorporare gli stakeholder al di fuori dell’IT e testare le linee di comunicazione tra i team tecnici e la leadership aziendale.
Adottare l’AI in modo sicuro. Le organizzazioni dovrebbero concentrarsi su alcuni principi per mettere in sicurezza l’adozione dell’AI. Ad esempio: preservare i dati di addestramento sottostanti all’AI, proteggere i modelli, il loro utilizzo e la loro logica. È fondamentale salvaguardare anche l’infrastruttura più ampia che interagisce con i modelli di intelligenza artificiale. IBM ha recentemente introdotto un Framework for Securing Generative AI completo per aiutare le aziende a stabilire le priorità in termini di difesa in funzione dei rischi e del loro potenziale impatto.
