Cybersecurity 2022, l’anno della consapevolezza per le aziende e gli enti pubblici. Tutto quello che serve sapere in un report di Ben Smith, Field CTO di Netwitness.
Il recente attacco subito da Bricofer anima le cronache dei media generalisti in questo inizio 2022, raccontandoci l’ennesimo episodio di cybercriminalità, che lascia presagire un nuovo anno piuttosto problematico dal punto di vista della sicurezza informatica, almeno quanto lo è stato il 2021 che ci siamo appena lasciati alle spalle.
Anche se i cybercriminali paiono conservare una posizione di indubbio vantaggio nel sorprendere puntualmente le loro vittime, qualcosa sta finalmente cambiando in merito alla percezione del rischio. Il numero degli incidenti di sicurezza informatica e l’enfasi mediatica che ormai puntualmente ricevono stanno accrescendo il livello di consapevolezza generale sui rischi che si corrono facendosi trovare impreparati sia sul fronte difensivo che nella capacità di rispondere in maniera efficace agli eventuali attacchi.
In particolare, la risposta all’incidente informatico sta assumendo un ruolo sempre più centrale sia per mitigare gli effetti nocivi dell’attacco che per risultare conformi alla notifica di incidente prevista dalla normativa NIS, che prevede necessariamente un’attività di natura investigativa.
Proviamo a capire quale 2022 ci attende sulla base dei pareri e delle indicazioni di Ben Smith, Field CTO di Netwitness, brand leader in materia di cybersicurezza, soprattutto per quanto concerne la gestione dell’incidente informatico. In una dettagliata relazione, Ben Smith evidenzia molti aspetti relativi alla sicurezza informatica destinati a diventare di grande attualità nel corso del 2022. Abbiamo selezionato i seguenti trend, che spaziano dal fronte delle minacce agli aspetti normativi, senza trascurare gli aspetti legati più nello specifico alle professioni della cybersicurezza.
Ransomware: l’attacco più diffuso, sempre più micidiale con la sua doppia estorsione
In cima alle statistiche di qualsiasi report relativo agli attacchi informatici del 2021 ritroviamo i ransomware (qui una guida completa sul tema), particolare tipologia di malware che da solo rappresenta circa la metà del volume dell’attività cybercriminale di cui rimangono quotidianamente vittime le aziende e gli enti pubblici di tutto il mondo.
Un attacco ransomware semplice consente nella crittografia dei dati o dei dispositivi aziendali, rendendoli di fatto inaccessibili al legittimo proprietario, cui viene notificata una richiesta di pagamento di un riscatto, utile alla consegna della chiave necessaria per eseguire il processo inverso e ripristinare la situazione precedente all’attacco.
Nel corso del 2021 si è diffusa a macchia d’olio una modalità di attacco ransomware denominato a doppia estorsione, in quanto l’operazione di crittografia dei file viene solitamente preceduta da una vera e propria esfiltrazione illegale dei dati dalle macchine dell’azienda. In questo modo, gli attaccanti possono ricattare la vittima in due modi. Anche qualora fosse in grado di ripristinare i propri sistemi senza procedere al pagamento di un riscatto, i cybercriminali possono far leva sul possesso di dati sensibili e strategici per le sorti del business, minacciando di diffonderli pubblicamente o venderli sul dark web.
Gli attacchi ransomware sono sempre più diffusi anche grazie alla diffusione di veri e propri modelli a servizio, che consentono a chiunque di noleggiare un kit che comprende tutto il necessario per sferrare un attacco basato sul malware. Tale fenomeno, denominato Ransomware-as-a-Service, vede la presenza di un’ampia offerta sul dark web, dove i gruppi cybercriminali offrono l’accesso ai kit o conducono direttamente attacchi su commissione, il tutto mediante il pagamento del servizio da parte di chi intende avvalersene, che solitamente avviene per mezzo di una criptovaluta.
Secondo Ben Smith, nel corso del 2022: “Le tattiche del ransomware continueranno ad evolversi e vedremo nuove combinazioni di tattiche già esistenti”.
La crescente varietà ed influenza degli attacchi nation-state
L’attività dei gruppi cybercriminali è spesso finanziata direttamente dagli stati sovrani, che se ne avvalgono per sostenere una serie di obiettivi piuttosto ampia, che spazia dallo spionaggio ai tentativi di sabotaggio delle infrastrutture critiche di un paese avversario, ivi comprese le istituzioni pubbliche e le aziende di riferimento in vari ambiti di business.
Due celebri esempi di attacchi nation-state portati a segno nel corso del 2021 hanno visto quali vittime Solarwinds e Microsoft. Nel primo caso, l’attacco sarebbe stato condotto da un gruppo criminale finanziato dal governo russo, mentre la multinazionale di Redmond ha visto il suo Microsoft Exchange rimanere vittima di un attacco finanziato dal governo cinese. In entrambe le circostanze, i governi hanno ufficialmente smentito qualsiasi forma di coinvolgimento, ma le prove raccolte a loro carico dall’investigazione svolta dopo l’incidente non lasciavano troppo spazio ai dubbi.
A differenza della maggioranza dei gruppi cybercriminali, le nazioni non hanno esigenza di monetizzare sul breve, pertanto la loro azione si basa su una strategia molto più raffinata dei semplici attacchi svolti per lucrare su un riscatto a breve termine. Secondo Ben Smith infatti: “A volte viene implementato un attacco contro un’infrastruttura critica per avere un effetto immediato, ma a volte l’attacco viene eseguito semplicemente per rilasciare un codice che potrebbe rivelarsi utile a chi attaccherà in futuro o per fornire, nel tempo, informazioni preziose. Gli Stati non sono ladruncoli bensì sono astuti e analitici e pensano esattamente ad un guadagno nel lungo termine, non ad un’azione utile nel breve”.
La privacy e la sovranità dei dati: tra rispetto delle norme ed esigenze di protezione e sicurezza
I dati aziendali sono condizionati ad una serie di normative relative alla privacy e alla sicurezza. Nel caso europeo, il celebre GDPR impone ad ogni azienda di adottare ogni possibile misura tecnologica ed organizzativa per proteggere i dati presenti all’interno dei propri sistemi. Le regole sulla conservazione e sul trattamento dei dati sensibili comportano inoltre delle precise implicazioni per quanto concerne la giurisdizione sui dati stessi, che non sempre coincide con la nazione in cui ha sede legale dell’azienda.
Secondo Ben Smith: “Indipendentemente dalle dimensioni dell’azienda, se hai il compito di proteggere la tua organizzazione, è importante conoscere l’intera architettura, sapere dove vengono raccolti i dati, dove risiedono e dove vengono gestiti, per adottare tutte le misure necessarie per garantirne la massima protezione e riservatezza”.
Oltre al GDPR, i paesi membri dell’Unione Europea hanno recepito la prima versione della normativa NIS, relativa alla sicurezza informatica, che prevede ulteriori obblighi ai fini di garantire una maggior resilienza per le attività di rilevanza primaria e le infrastrutture critiche. La Commissione Europea ha inoltre avviato i lavori per la normativa NIS2, destinata ad ampliare e correggere il disposto originale, soprattutto sulla base delle conseguenze della pandemia Covid-19.
Secondo Ben Smith, a complicare ulteriormente questo quadro per le aziende, ci sarebbe appunto l’elevata probabilità che le normative vigenti subiscano inevitabili evoluzioni per via degli effetti della pandemia: “Con l’avvento, improvviso e violento, del lavoro da remoto e dell’ufficio liquido è cambiata in maniera brusca la geografia dei dati. In un simile contesto le pratiche pre-pandemiche di gestione dei dati sono diventate immediatamente obsolete e, in quanto tali, andrebbero rapidamente riviste. Quello che prima della pandemia non era un problema per la conformità normativa, oggi potrebbe esserlo, quindi bisogna agire di conseguenza”.
Quando si parla di cybersicurezza l’attenzione è concentrata molto spesso sugli aspetti puramente informatici della minaccia proveniente dalla rete, in quanto non ci si rende conto di un’arma subdola quanto micidiale, costituita dalla disinformazione. Grazie ai social media, i gruppi cybercriminali possono supportare delle vere e proprie campagne utili a condizionare l’opinione pubblica su aspetti di primaria rilevanza, che spaziano su argomenti di natura politica, economica e sociale. Basti pensare a quanto avviene quotidianamente in merito alla pandemia Covid-19.
Secondo Ben Smith infatti: “Non si tratta di colpire un computer come parte di un attacco informatico, ma di mobilitare gli esseri umani verso gli obiettivi dell’attaccante. La disinformazione, il suo abile sviluppo e la sua rapida diffusione attraverso i social produrranno effetti consistenti anche nel mondo reale”. Contro una campagna di disinformazione virale sul web è inoltre molto difficile costruire un muro difensivo.
Al di là degli investimenti che i provider dei servizi effettuano per contrastare in tempo reale il diffondersi delle fake news, sarebbe soprattutto indispensabile un’attività di formazione diffusa, utile ad educare gli utenti a non credere alla prima informazione che capita a tiro, dando per scontato che soltanto per il fatto che è stata pubblicata sia per forza vera. Si tratta però di qualcosa di difficilmente attuabile e i cybercriminali hanno capito benissimo come approfittare di questa situazione.
Le professioni della cybersicurezza: verso una diffusa carenza di competenze sul mercato
Il crimine, come si suol dire, corre più veloce di chi si appresta a combatterlo ogni giorno per garantire la solidità del perimetro di sicurezza delle aziende. Il moltiplicarsi degli attacchi richiede un numero sempre più elevato di specialisti della cybersicurezza, per far fronte alle esigenze caratterizzate dalla difesa dei sistemi IT e dalle attività di incident response, fondamentali per mitigare gli effetti causati dagli attacchi stessi.
Ben Smith mette in evidenza un aspetto oggettivo, relativo ad una carenza in termini di competenze destinata ad aumentare nel breve periodo: “Nonostante i numerosi programmi educativi e le certificazioni pensate per attestare la competenza dei professionisti della sicurezza informatica, la domanda di nuovi posti di lavoro supererà sempre di più la disponibilità di personale. Ciò porterà le aziende ad allentare la pressione sulla ricerca del candidato perfetto, abbassando di conseguenza lo standard qualitativo medio”.
A complicare ulteriormente il quadro, oltre all’oggettiva carenza in termini di competenze e forza lavoro, vi è il fatto che mentre le aziende faticano a strutturare i propri team di sicurezza, i cybercriminali colpiscono in maniera sempre più sicura ed efficiente, con una varietà di attacchi sempre più ampia e capaci di sfruttare ogni minima vulnerabilità.
Come affrontare la grande sfida della cybersicurezza in azienda?
La domanda che tutti i CISO, i CIO ed in generale i responsabili della sicurezza informatica di un’azienda oggi si chiedono è relativa a come difendersi ed eventualmente reagire una volta colpiti da un attacco informatico, consci del fatto che, date le numeriche, le probabilità di rimanere vittime dei cybercriminali si fanno di giorno in giorno sempre più elevate.
In un campo di possibili azioni che si prospetta molto ampio, una figura di grande esperienza come Ben Smith suggerisce di concentrarsi in primo luogo su due aspetti fondamentali.
Secondo Ben Smith è in primo luogo utile provvedere a pianificare l’incertezza e la resilienza: “Il mondo in cui viviamo sembra girare sempre più velocemente e, soprattutto, sembra sia portato ad affrontare nuovi attacchi e nuove sfide normative. Un dato di fatto ormai chiaro a tutti di fronte al quale non possiamo pensare di piantare la nostra bandiera nel terreno di una strategia di difesa statica… da conservare a tutti i costi. L’azienda deve cercare di essere reattiva, flessibile e capace di adattarsi: questo è sicuramente uno dei tanti fattori che sta guidando inevitabilmente le aziende verso il cloud e verso la sua capacità di scalare in tempi molto brevi”.
Modernizzare i propri sistemi di sicurezza grazie al cloud costituisce indubbiamente un’opportunità da valutare in maniera molto concreta, a patto di avere una corretta concezione del concetto di visibilità, come precisa Ben Smith: “Troppe organizzazioni, guidate da un modello di verifica normativa, pensano che visibilità significhi essere in grado di raccogliere e aggregare i log dai dispositivi chiave presenti nel loro ambiente operativo. Questa poteva essere la risposta giusta vent’anni fa, ma oggi è assolutamente la risposta sbagliata. Le informazioni basate sui log, in genere file di testo prodotti da applicazioni, server e infrastrutture, sono utili dal punto di vista operativo. Se però hai il compito di proteggere il tuo ambiente e rispondere alle minacce sia esterne che interne, non puoi ottenere una visibilità reale in questo modo, a meno che tu non possa vedere anche il traffico di rete e gli endpoint da e verso i quali si stanno spostando i dati”.
In altri termini, la visibilità dei log è soltanto uno dei tre punti fondamentali del triage: “Essere in grado di visualizzare quei log – procede Ben Smith – insieme ai dati di rete e degli endpoint è ancora più difficile quando l’ambiente è un mix di strumenti locali, virtualizzati e basati sul cloud. Prenditi il tempo necessario per identificare i dati critici e dare priorità alla visibilità di tali risorse in modo che, quando sarà il momento, potrai essere certo di avere la visibilità giusta. Una visibilità che ti permetterà di vedere tutto ciò di cui hai bisogno per prendere le giuste decisioni anche nei momenti più critici”.
