Luca Nilo Livrieri, Director, Sales Engineering, Southern Europe CrowdStrike, sottolinea l’importanza della cybersecurity per la società e le imprese moderne.
Nello studio Threat Hunting Report 2024 recentemente rilasciato, l’azienda evidenzia l’aumento delle minacce e degli attori che prendono parte ad attacchi mirati e minacce di vario genere.
Aumentano gli avversari, sia di stati-nazione che di eCrime, che sfruttano credenziali e identità legittime per evitare il rilevamento e bypassare i controlli di cybersecurity tradizionali, nonché un incremento delle intrusioni hands-on-keyboard, degli attacchi cross-domain e degli attacchi al cloud control plane.
Gli attaccanti utilizzano sempre più tecniche collaudate, in particolare strumenti RMM legittimi come ConnectWise ScreenConnect e AnyDesk, durante le intrusioni negli endpoint. Negli ultimi 12 mesi, gli exploit degli strumenti RMM sono aumentati, raggiungendo il 27% del totale delle intrusioni interattive. Questo dato evidenzia la necessità di comprendere il comportamento degli avversari lungo l’intera kill chain per rilevare e sventare rapidamente gli attacchi.
I cybercriminali prendono sempre più di mira più domini nell’infrastruttura di un’organizzazione, in particolare identità, cloud ed endpoint, nel tentativo di eludere il rilevamento. Queste minacce cross-domain rappresentano una sfida per gli esperti di threat hunting, perché spesso generano meno rilevamenti in un singolo dominio o prodotto, rendendo l’attività difficile da riconoscere come malevola. La minaccia degli attacchi cross-domain sta crescendo, con gli avversari che tentano di infiltrarsi nei sistemi target attraverso l’accesso umano, comunemente noto come “insider threats”, che sfrutta un accesso affidabile per causare danni. Questi attacchi lasciano impronte minime in ogni dominio, come pezzi di puzzle separati. Solo se combinate è possibile rivelare il quadro completo delle attività sospette.
Nel 2023, abbiamo assistito a un aumento significativo dei gruppi criminali attivi nel campo del cybercrime, con un totale di 232 gruppi identificati, indicando un aumento delle loro specializzazioni. Sono emerse nuove tendenze e modelli di attacchi informatici, con 34 nuovi gruppi catalogati rispetto all’anno precedente.
Cybersecurity – Gli attaccanti operano a più livelli
I temi principali per noi riguardano sempre gli attaccanti. CrowdStrike presta particolare attenzione ai gruppi criminali che operano nel cybercrime e che sono più vicini a ideologie di tipo nation-state. Nel rapporto sono inclusi dati relativi a questi gruppi criminali. È interessante notare che vi è un aumento sia dei gruppi criminali sia delle loro specializzazioni. Da sottolineare che è stato mappato il primo gruppo criminale egiziano.
L’aumento degli attacchi informatici focalizzati sul cloud è un altro tema rilevante emerso dal report. Questa tendenza, sebbene non nuova, è oggetto di una nuova interpretazione: c’è stata una crescente presenza di attaccanti specializzati esclusivamente nel campo del cloud, noti come cloud conscious, cioè consapevoli e concentrati ad attaccare le infrastrutture cloud.
È importante ricordare che i gruppi criminali operano come un ecosistema, agendo come veri e propri affiliati. Nel contesto del cloud, è fondamentale mantenere una visibilità accurata, specialmente per quanto riguarda le configurazioni errate dei servizi. È importante notare che i servizi cloud non sono intrinsecamente insicuri, ma spesso sono le configurazioni sbagliate ad aumentare i rischi, un aspetto particolarmente rilevante per le piccole e medie imprese che ricorrono in modo sempre più estensivo al cloud.
Come abilitare un cybersecurity efficace?
Per quanto riguarda la situazione italiana possiamo fare una distinzione fra il settore enterprise e le PMI. Nel primo caso vediamo una sensibilità sempre maggiore, soprattutto per quel che riguarda la pratica di esercizi di risposta agli incidenti come timing o penetration test. Quindi ci si allena anche a rispondere in caso di incidente e a mettere in pratica un processo importante con tutte le best practice e le azioni da mettere in atto. Nelle PMI e nel manifatturiero questa cosa manca. Un suggerimento che posso dare è di prepararsi attraverso delle esercitazioni periodiche a rispondere agli incidenti.
