A rischio di sembrare cinici, costruire strategie di Cybersecurity per rispondere alle minacce alla sicurezza informatica è un po’ come fare i buoni propositi per l’anno nuovo…
Se non avete già provato a prendere nuove e sane abitudini, è improbabile che aspettare lo scoccare della mezzanotte del 31 dicembre renda più facile iniziare. È raro che i cybercriminali aspettino il nuovo anno per svelare improvvisamente un nuovo tipo di attacco, cambiare drasticamente strategia o modificare i loro obiettivi. Le minacce si evolvono lentamente e si adattano a sistemi di sicurezza in continuo miglioramento. Ecco, quindi, le principali previsioni degli F5 Labs per il 2023, insieme all’analisi degli specialisti di Cybersecurity, dei malware reverser e degli ingegneri dei SOC di F5.
Cybersecurity – Previsione #1: Le Shadow API porteranno a violazioni inaspettate
Come per tutti gli aspetti della sicurezza informatica, è impossibile proteggere ciò di cui non si conosce l’esistenza. Secondo Shahn Backer, senior solutions architect di F5 e consulente per il cloud e le API, le Shadow API rappresentano un rischio crescente che probabilmente porterà a violazioni di dati su larga scala che l’organizzazione vittima non sapeva nemmeno fossero possibili:
Shahn Backer, senior solutions architect di F5 e consulente per il cloud e le API Molte organizzazioni oggi non dispongono di un inventario accurato delle proprie API: questa situazione sta agevolando un nuovo tipo di minacce noto come “Shadow API”. Le organizzazioni che hanno adottato un processo di sviluppo delle API maturo mantengono un inventario delle risorse noto come inventario delle API, che idealmente conterrà informazioni su tutti gli endpoint API disponibili, dettagli sui parametri accettabili, informazioni sull’autenticazione e sull’autorizzazione e così via.
Previsione #2: L’autenticazione a più fattori (MFA) diventerà inefficace
Remi Cohen, cyber threat intelligence manager, Office of the CISO di F5
Il social engineering non sta scomparendo e gli attacchi MFA fatigue, noti anche come attacchi MFA bombing, sono destinati ad aumentare in frequenza ed efficacia. Questa tipologia di attacchi mira a infastidire le vittime inondandole di così tante richieste di autenticazione da indurle ad approvare la richiesta di notifica per sbaglio o per frustrazione.
Questo tipo di attacco rappresenta un rischio immediato per le aziende, poiché i dipendenti sono il canale di minaccia più vulnerabile agli attacchi di social engineering. Inoltre, l’MFA è un controllo di sicurezza fondamentale per impedire l’accesso non autorizzato alle risorse critiche. Spesso le aziende non tengono conto delle password violate o utilizzano una soglia più bassa per il tipo di passphrase richiesta, perché esistono altri controlli compensativi come l’MFA.
Gran parte del panorama della sicurezza informatica è una corsa agli armamenti tra difensori e attaccanti. I metodi di autenticazione non fanno eccezione. Ken Arora, distinguished engineer, Office of the CTO di F5, analizza il futuro dell’MFA:
Ken Arora, distinguished engineer, Office of the CTO di F5
Gli aggressori si stanno adattando alle soluzioni MFA utilizzando un mix di tecniche, tra cui il typo squatting, l’account takeover, lo spoofing dei dispositivi MFA e il social engineering. Di conseguenza, i difensori delle applicazioni e delle reti stanno cercando di capire quale sarà il prossimo passo.
L’autenticazione biometrica è vista con un certo scetticismo poiché le impronte digitali, ad esempio, non possono essere modificate in caso di necessità. Invece i comportamenti, tipicamente quelli specifici dell’utente, sono più difficili da falsificare, soprattutto in scala.
Nel breve termine, la soluzione passkey di FIDO Alliance promette forse il primo metodo veramente efficace per mitigare gli attacchi di social engineering, poiché la cripto-chiave utilizzata per autenticare gli utenti si basa sull’indirizzo del sito web che stanno visitando.
Cybersecurity – Previsione #3: Problemi con il troubleshooting
Prevedere gli incidenti di cybersecurity con le implementazioni cloud potrebbe sembrare un’affermazione ovvia, ma dato che la frequenza delle violazioni delle applicazioni cloud continua a crescere – e dato che la portata di tali violazioni può essere enorme – giova ripeterlo.
Ethan Hansen, SOC engineer di F5 che si occupa della sicurezza delle infrastrutture cloud native per i clienti, condivide la sua esperienza:
Ethan Hansen, SOC engineer di F5
Sia accidentalmente che a scopo di troubleshooting, molti utenti cloud hanno difficoltà a configurare correttamente il controllo degli accessi, sia a livello di utente che di rete. Più volte nel 2022 il SOC di F5 ha visto utenti creare account di servizio “temporanei” e poi assegnare loro permessi molto ampi sia tramite le policy IAM integrate che tramite policy inline. Questi account “temporanei” vengono spesso creati per la risoluzione di problemi o per ripristinare l’operatività di un’applicazione che si basa su un utente o un ruolo specifico.
Previsione #4: Le librerie di software open source diventeranno il bersaglio primario
Negli ultimi anni abbiamo assistito a un numero crescente di casi in cui le librerie software sono diventate un rischio concreto per le organizzazioni che si affidano a loro:
Gli account degli sviluppatori sono stati compromessi, in genere a causa della mancanza di MFA, con conseguente inserimento di codice dannoso in librerie ampiamente utilizzate e nelle estensioni del browser web Google Chrome
Attacchi Trojan e typo-squatting, in cui gli autori delle minacce sviluppano strumenti che sembrano utili o hanno nomi molto simili a librerie ampiamente utilizzate
Codici distruttivi e altri codici dannosi inseriti deliberatamente dal vero autore di una libreria come forma di hacktivismo o di protesta politica
Ken Arora analizza cosa significa tutto questo per il futuro dello sviluppo delle app:
Ken Arora, distinguished engineer, Office of the CTO di F5
Molte applicazioni moderne sfruttano il software-as-a-service (SaaS), come l’autenticazione centralizzata, i database-as-a-service o la prevenzione della fuga di dati (DLP). Se un aggressore riesce a compromettere la base di codice del software open source (OSS) o un’offerta SaaS che viene sfruttata da un’applicazione, l’aggressore ha un punto d’appoggio “all’interno” dell’applicazione, aggirando le difese perimetrali come i firewall per applicazioni web e i gateway API.
Questo punto d’appoggio può essere sfruttato per il movimento laterale in diverse forme.
Aaron Brailsford, principal security engineer del security incident response team (SIRT) di F5
Credo che l’adozione diffusa degli SBoM porterà alla luce un’enorme quantità di debito tecnologico. Non credo che la scoperta di questo tech debt renderà i prodotti o i sistemi intrinsecamente meno sicuri, ma penso che farà luce sul modo un po’ disordinato in cui oggi l’industria sviluppa i prodotti. Le aziende dovranno fare grossi investimenti per aggiornare i sistemi più vecchi e correggere o mitigare un gran numero di vulnerabilità (migliaia di vulnerabilità), oppure pensare di ripartire da zero per una nuova generazione di prodotti, o entrambe le cose.
Cybersecurity – Abbiamo chiesto a Ken quale fosse, a suo avviso, la soluzione ai rischi posti dalle librerie di terze parti:
Ken Arora, distinguished engineer, Office of the CTO di F5
Per le vulnerabilità non divulgate/zero-day, la migliore possibilità di individuare l’aggressore è avere visibilità sul traffico interno tra componenti software e servizi “interni” all’applicazione, nonché sul modo in cui tali componenti interagiscono con la piattaforma sottostante (IaaS). Oggi queste interazioni sono catturate da CSPM (infra), CWPP (e-w) e ADR (layer dell’applicazione); questi mercati separati dovranno unirsi per fornire la visione olistica necessaria a rilevare le minacce intra-app con un’elevata efficacia e un basso tasso di falsi positivi.
Previsione #5: Il ransomware si espanderà sulla scena geopolitica
Aditya Sood, senior director of threat research office of the CTO di F5
La criminalità informatica organizzata e gli avversari degli Stati nazionali continueranno a sviluppare le loro tattiche di ransomware e ci aspettiamo che si concentrino, in particolare, sulle infrastrutture critiche. Gli attacchi ransomware contro i database cloud aumenteranno drasticamente nel prossimo anno, poiché è qui che risiedono i dati mission-critical, sia per le aziende che per i governi. A differenza del malware tradizionale che cripta i file a livello di filesystem, il ransomware per database è in grado di criptare i dati all’interno del database stesso.
David Arthur, F5 security solutions architect per la regione Asia-Pacifico, ritiene che le truffe che si traducono in infezioni ransomware di successo saranno il principale motore per esercitare pressioni politiche:
David Arthur, F5 security solutions architect per la regione Asia-Pacifico
Gli aggressori aumenteranno i tentativi di monetizzare i dati della violazione direttamente dalle persone colpite attraverso vari tipi di truffe e frodi a valle. Queste truffe stanno diventando sempre più credibili e, sebbene contengano ancora errori evidenti per un osservatore esperto, avranno probabilmente un certo successo; per gli aggressori il gioco varrà sicuramente la candela. Dal punto di vista del criminale, se il furto delle informazioni personali dei clienti non può essere monetizzato con l’estorsione all’organizzazione violata allora i loro obiettivi si sposteranno sull’individuo singolo.
Cybersecurity – Conclusioni
È raro che i ricercatori sulle minacce rivelino tendenze nel comportamento degli aggressori che modificano drasticamente l’attenzione e le priorità dei CISO e degli altri responsabili della sicurezza. Le nostre previsioni per il 2023 probabilmente non fanno eccezione. Molte delle nostre osservazioni sulle attività dannose ci insegnano che gli aggressori apportano modifiche significative alle loro operazioni solo quando sono costretti a farlo a causa del miglioramento dei sistemi di sicurezza che tutti noi utilizziamo, come l’MFA.
Quando c’è da guadagnare con truffe, frodi e altre forme di social engineering, l’elemento criminale troverà il modo di sfruttare le cose a proprio vantaggio.
