È giunto ormai all’ottava edizione il Global Threat Report, il rapporto di CrowdStrike che è diventato un punto di riferimento per i servizi di intelligence e di overwatch sulla cybersecurity internazionale, Italia compresa. Abbiamo chiesto di parlarci dei risultati più eclatanti emersi dal rapporto a Luca Nilo Livrieri, Senior Manager Sales Engineers for Southern Europe di CrowdStrike.
– Quali sono i temi più di spicco che emergono dal rapporto?
Il tema più importante di quest’anno deriva dall’analisi della velocità degli attaccanti. Il tempo medio di diffusione, ovvero il periodo necessario a un avversario per spostarsi “lateralmente” da un host compromesso a un altro all’interno dell’ambiente vittima è di 1 ora e 38 minuti. Questo significa che il tempo per poter intervenire e difendersi è veramente poco. Se analizziamo invece i diversi tipi di attacchi vediamo che c’è un aumento dei malware free, cioè attacchi che non hanno di per sé un codice binario all’interno dell’attacco stesso ma che nel 62% dei casi sfruttano credenziali legittime per entrare sulla macchina e strumenti che sono già su di essa.
In questo modo, per evitare di essere identificato da antivirus e da sistemi tradizionali, l’attaccante utilizza credenziali legittime che magari ha rubato in un attacco precedente, motivo per il quale anche la velocità è così rapida. Questo approccio, noto come “living off the land” (LOTL), elude il rilevamento da parte dei prodotti antivirus legacy.
Un altro punto rilevante riguarda poi la finalità degli attaccanti. Le intrusioni attribuite all’e-crime nel 2021 hanno rappresentato quasi la metà (49%) dell’attività osservata, mentre le intrusioni mirate come spionaggio industriale o una finalità sponsorizzata da uno stato terzo hanno rappresentato il 18%. Quasi un terzo (32%) degli attacchi rimane non attribuito.
– Come avvengono gli attacchi?
CrowdStrike Intelligence ha osservato un aumento dello sfruttamento dei servizi basati sul cloud nel 2021. I comuni vettori di attacco al cloud utilizzati dall’e-crime e dagli avversari di intrusioni mirate includono lo sfruttamento delle vulnerabilità del cloud, il furto di credenziali, l’abuso dei provider di servizi cloud, l’uso di servizi cloud per l’hosting di malware e C2 e lo sfruttamento di container di immagini configurati in modo errato. Gli strumenti popolari di condivisione dei file e di collaborazione sono sempre più abusati dai criminali informatici per accedere alle reti informatiche. È probabile che questa tendenza continui poiché sempre più aziende cercano ambienti di lavoro ibridi.
Abbiamo identificato due gruppi particolarmente attenti nell’attacco dei servizi cloud che sono due gruppi russi FANCY BEAR, che ha preso di mira numerosi provider di posta elettronica basati sul cloud per la raccolta delle credenziali, e COZY BEAR, che ha ripetutamente dimostrato un alto livello di competenza post-exploit negli ambienti cloud. Questi gruppi possono attaccare diverse tipologie di servizi, per esempio, indirizzi di posta elettronica Microsoft Office 365 o G suite. Anche in questi casi la finalità è ottenere credenziali per poi entrare in maniera più veloce all’interno dell’azienda.
Un’altra tipologia di attacchi cloud può essere sui server dell’azienda pubblicati sul cloud, ma con vulnerabilità esposte oppure con applicazioni che fanno capo alla modalità di sviluppo agile, quello che viene chiamato SecOps o DecSecOps. Oggi, infatti, le aziende sviluppano e rilasciano le applicazioni così velocemente che la cybersecurity può non essere considerata in maniera adeguata oppure risulta difficile fare un’operazione di securizzazione che sia contestuale allo sviluppo o al rilascio.
– E rispetto alla minaccia oggi più temuta, il ransomware, cosa ha riscontrato il rapporto?
Il Global Threat Report ha individuato un aumento degli attacchi ransomware che vedono una doppia estorsione. Se in passato la tendenza era cifrare la macchina e chiedere un riscatto per decriptarla, adesso nell’82% dei casi alla cifratura segue anche un furto di informazioni e viene chiesto un secondo riscatto per evitare che queste informazioni vengano pubblicate. Stiamo anche vedendo che spesso si arriva a una terza estorsione: vengono rubati i dati, cifrati e poi viene chiesto un riscatto per fare in modo che questo furto non sia diffuso o non ci sia diffamazione sugli organi di stampa.
– Riguardo invece le vulnerabilità, tipo Log4Shell, cosa ci può dire?
A causa del numero di endpoint potenzialmente interessati, Log4Shell ha ricevuto più attenzione di qualsiasi altra vulnerabilità nel 2021. Segnalato per la prima volta nel novembre 2021, ricordo che Log4Shell sfrutta Log4j2 di Apache, una libreria di registrazione usata da molte applicazioni web. Log4Shell è però in circolazione dal 2013 e questo ha fatto tornare alla ribalta il fatto che, se c’è una vulnerabilità, l’attaccante troverà il modo di sfruttarla al 100% e che quindi le vulnerabilità, anche se presenti da molto tempo, sono elementi di attenzione che l’attaccante troverà sicuramente modo di sfruttare.
– Qual è lo scopo degli attacchi, oggi?
La maggior parte degli attacchi ha una finalità economica: e-crime o big game hunting (BGH) hanno pesato per il 50% nel 2021. E gli attaccanti per il 50% hanno utilizzato tecniche ransomware.
Lo smart working ha aumentato la superficie d’attacco e quindi ha fatto in modo che ci fosse una commistione tra ambiente personale e lavorativo. E spesso l’utente medio tende ad associare il livello di cybersecurity in cui opera all’ambiente in cui si trova. A livello di smart working quello che abbiamo visto è che, per colpire un numero di utenti più ampio, gli attaccanti colpiscono applicativi di terze parti. Siccome l’obiettivo è accedere a un dispositivo personale o a un pc aziendale, è molto importante focalizzarsi sulla credenziale e sull’identità che l’utente sta usando.
Le aziende devono focalizzare l’attenzione su quanto avviene fra l’utente e i dati che sono pubblicati, che spesso sono le credenziali che l’utente sta utilizzando per accedere alle risorse aziendali interne. Questo si dovrebbe tradurre nell’approccio zero trust, che vuol dire fare in modo che l’utente abbia accesso effettivamente alle risorse, ma con il flusso di autenticazione più puntuale possibile. Occorre perciò che ci sia un’analisi comportamentale dell’autenticazione e degli accessi che faccia in modo le credenziali siano confrontate con un comportamento che è costante nel tempo.
– Che ruolo ha per voi il canale?
Il nostro canale di vendita riveste un ruolo estremamente importante nell’individuazione delle esigenze del cliente in termini di gestione e risposta agli incidenti. Si occupa in particolare di identificare le necessità di cybersecurity dei clienti rispetto alla identificazione e gestione dell’attacco e a tutto quello che ne consegue per definire una strategia e attivare tutte le best practice di risposta all’incidente.
È perciò fondamentale per il canale capire il livello di competenza dell’azienda prima di intervenire. Bisogna cioè sapere se si tratta di un’azienda “matura” dove l’intervento può essere a servizio di un Soc o di un team di esperti di cybersecurity già presente o piuttosto se si tratta di realtà con competenze più limitate in termini di cybersecurity, dove invece è necessario offrire, oltre alla tecnologia, anche i servizi di incident response e di gestione del parco installato.
In Italia abbiamo un distributore, Westcon, dei rivenditori di licenze e dei partner che hanno invece un contratto per operare come Mssp, sia nei confronti del cliente finale sia di altri partner. C’è poi un numero selezionato di altri partner a cui offriamo la possibilità di usare la tecnologia CrowdStrike per fornire servizi di incident response.