CybergON scatta una fotografia delle minacce informatiche che hanno caratterizzato l’anno appena trascorso e delinea i trend che andranno ad impattare il settore.
Gli attacchi hanno continuato e continuano a crescere anno su anno a livello globale così come sul territorio italiano, in termini di varietà e di quantità. In Italia gli attacchi di criticità elevata registrati nei primi 6 mesi del 2023 sono stati 91, ovvero il 40% in più rispetto all’anno precedente e il 300% se si considerano gli ultimi 5 anni.
Questo emerge da report quali il Clusit o l’ENISA Threat Landscape, entrambe nelle versioni di ottobre 2023 che vanno ad indagare il primo semestre dell’anno in corso.
Si può quindi affermare che si è molto lontani, a livello globale e italiano, da un livello adeguato di protezione dal cyber crime; tuttavia, bisogna considerare che il numero sempre crescente degli attacchi informatici possa essere correlato anche a un maggior e miglior livello di tracciamento dovuto a tecnologie più all’avanguardia e diffuse, sia nei centri di ricerca, sia nelle aziende medie e grandi che stanno adeguando i livelli di investimento al rischio concreto.
Bisogna quindi riconoscere che il livello di consapevolezza sta gradualmente aumentando, ma che probabilmente il gap rispetto al tasso di crescita delle aziende del cyber crime e dei loro attacchi è ancora molto, troppo, importante.
Malware, Vulnerabilità (note e 0-day) e Phishing si confermano tra le tipologie di attacco più utilizzate, seguite da DDoS e dalle restanti categorie di attacco, come quelli con tecniche multiple, attacchi web o furto di identità.
Il 2023: cloud, AI e modelli di business
Osservato l’andamento a livello di scenario, CybergON propone un’analisi su quelli che sono stati gli insight del 2023 e cosa possiamo aspettarci dal 2024.
Minacce informatiche – L’argomento più discusso del momento è ovviamente l’AI, con tutte le sfaccettature e dibattiti che si porta dietro. L’incremento dei chatbot AI ha avuto un impatto sul panorama delle minacce cyber. L’adozione esponenziale di chatbot generativi da parte degli utenti ha ulteriormente contribuito a far abbassare la guardia su condivisioni di dati, password e informazioni sensibili.
Un rischio riguarda la possibilità che i cyber criminali possano manipolare i sistemi di AI per eludere le misure di sicurezza e di conseguenza esfiltrare dati condivisi.
Come riporta nell’analisi CybergON, nel 2023 il phishing ha mantenuto il suo ruolo da protagonista grazie anche alla comparsa dell’AI, il cui utilizzo ha reso le campagne phishing più difficili da riconoscere dall’utente, avendo l’intelligenza artificiale eliminato gli errori linguistici grossolani tipici delle comunicazioni malevole.
Infine, è stata sfruttata per creare codice malevole o individuare e sfruttare vulnerabilità.
Per chi si occupa di difesa, invece l’intelligenza artificiale ha svolto un ruolo nella threat intelligence mediante l’analisi di documenti e informazioni utili e flussi di lavoro più snelli ed autonomi.
Le minacce informatiche
Nonostante il Cloud sembri un tema sdoganato anche in Italia, di fatto, il mercato, specialmente quello legato all’Hybrid Cloud, è cresciuto per tutto il 2023 del 24% sancendo ufficialmente il sorpasso della nuvola sull’on-premise (Fonte: Osservatorio Cloud Transformation del Politecnico di Milano).
L’adozione di strategie di difesa adeguate ha quindi comportato i primi grandi investimenti nell’anno appena trascorso e l’augurio è che ci possa essere un consolidamento in quello a venire, dal momento che il cloud risulta enormemente appetibile per l’ingente quantità di dati che vi circola e del ruolo che riveste nell’ambito di una strategia aziendale e gli attacchi sono sempre più maturi e impattanti.
Minacce informatiche come Malware e Ransomware nelle modalità as a service risultano tra le modalità di business più diffuse nel mercato del cyber crime. La possibilità, cioè, di acquistare pacchetti e usarli contro un target selezionato pur non avendo competenze tecniche ha ampliato di molto l’offerta e trovato grande riscontro già negli anni passati. Il 2023 ha visto consolidarsi questo modello con un focus su un particolare tipo di malware: l’Infostealer. Stealc, ad esempio, è un Infostealer apparso all’inizio dell’anno basato sui suoi parenti più anziani Raccoon, Vidar, Mars e Redline e ha come obiettivo l’esfiltrazione di dati sensibili dal web, portafogli di criptovalute e dati di account di app come Outlook e Telegram, con capacità di recuperare anche file degli impiegati delle aziende colpite.
Gli Infostealer non rappresentano esattamente una novità, sono parte dell’evoluzione preoccupante del modello di business che sta dando luogo anche a una verticalizzazione delle tecnologie per diverse tipologie di attacco. Una crescente specializzazione dà vita anche a “partnership” tra gruppi criminali che a loro volta generano versioni sempre più complesse e difficili da individuare di malware che possono colpire anche moltissime aziende in contemporanea.
Il successo di questa evoluzione risiede nei profitti derivanti dagli attacchi: i set di dati esfiltrati sono numerosissimi e valgono moltissimo, tanto che i forum specializzati nel dark web stanno esplodendo.
Cosa aspettarsi dal 2024
Se da un lato l’AI legata a chatbot generativi ha trovato sempre più spazio, dall’altro c’è un oceano inesplorato di potenzialità e potenziali rischi legati al machine learning e all’intelligenza artificiale che potremmo dover navigare proprio nel 2024. Tra questi sicuramente è da menzionare il deep fake, ormai noto e largamente utilizzato sui social con pagine dedicate a personaggi famosi protagonisti di video improbabili (ad esempio Gerry Scotty nei panni di Freddie Mercury).
Potremmo quindi assistere all’utilizzo di deep fake pericolosi legati a personalità di spicco del mondo politico – non possiamo ignorare che i conflitti attualmente in corso comportino anche una grande e complessa guerra cibernetica – o su privati, minori, personaggi famosi.
Le tecnologie di protezione devono quindi crescere di pari passo e specializzarsi sempre più sulla deep fake detection affinché le aziende siano pronte ad affrontare la minaccia.
Conflitti e compromissioni
I due conflitti principali attualmente in corse comportano una guerra cibernetica che incrementa una tipologia di attacchi molto specifica: state-sponsored e hacktivism.
È possibile prevedere che l’instabilità geopolitica continuerà ad alimentare gli attacchi DDoS, le fughe di dati, gli attacchi di defacing e altri, e che le motivazioni alla base dell’hacktivismo diventeranno sempre più complesse e labili, confondendo il confine tra politica e business e colpendo obiettivi civili e militari.
Si potrà inoltre assistere alla tentata compromissione di eventi importanti come le elezioni in USA, quelle europee o le olimpiadi estive di Parigi.
Anche per queste ragioni, la cybersecurity sta sempre più entrando nelle agende politiche di tutte le nazioni e dei continenti che implementano regolamentazioni sempre più severe, dando mandato ad aziende e organizzazioni governative di attuare politiche stringenti sulla protezione dei dati e dei sistemi.
Queste regolamentazioni andranno di pari passo con processi specifici e un approccio olistico alla sicurezza nelle aziende, che si trovano ora a fare i conti anche con uno skills shortage importante. Tematiche quali zero-trust e DevSecOps andranno via via a integrarsi con tutti gli strumenti e piattaforme che un’organizzazione possiede. Questo comporta la necessità di avere uno o più facilitatori interni che si facciano carico di questo cambiamento e il 2024 potrebbe essere l’anno per muovere alcuni passi in questa direzione.
La cultura
È innegabile che la cultura della cybersecurity si stia diffondendo nelle aziende. Questo porta maggior consapevolezza rispetto ai processi, alle tecnologie e alle risorse da mettere in campo che permettono un recupero più veloce in caso di attacco informatico. Tuttavia, gli sforzi che si stanno facendo in media non sono ancora sufficienti e lo dimostra il fatto che sì, le aziende ci mettono meno tempo a risollevarsi ma continuano sempre più frequentemente a essere vittima di attacchi. Inoltre, l’offesa sta cambiando paradigma: l’obiettivo sembra essere sempre meno il fermo dell’azienda e sempre più l’esfiltrazione di dati, ciò che c’è di più prezioso nell’organizzazione.
La cosa molto interessante è che alcuni attacchi informatici iniziano a chiedere riscatti molto convenienti se paragonati al ripristino dei sistemi. Nel 2024 si potrà assistere a un rafforzamento di questo modello di business.