Microsoft Digital Defense Report 2021: il ritratto perfetto della Cybersecurity oggi

Microsoft Digital Defense Report 2021: il ritratto perfetto della Cybersecurity oggi

Il 2020 è stato un anno di profondi cambiamenti, in cui la crescita del digitale è stata influenzata dalla pandemia Covid-19, che ha sensibilmente accelerato il percorso di trasformazione digitale delle aziende, che hanno dovuto fronteggiare l’operatività da remoto, con una nuova normalità che sarà sempre più caratterizzata dal lavoro ibrido.
Questa ed altre dinamiche hanno portato verso un utilizzo decisamente più intenso della rete internet sia a livello globale che nella realtà specifica di ogni business, con superfici d’attacco molto più estese rispetto al passato. Una maggior esposizione che i cybercriminali non si sono fatti certamente pregare dal prendere in considerazione.

Grazie alla visibilità generata da miliardi di dispositivi informatici, capaci di comunicare l’impressionante volume di 24 trilioni di segnali di sicurezza al giorno, Microsoft ha redatto il Digital Defense Report 2021, con l’intenzione di scattare una fotografia molto dettaglia dell’attuale stato relativo alla cybersicurezza a livello globale. Uno sforzo titanico, opera corale degli oltre 8.500 esperti che Microsoft schiera ogni giorno per rilevare, analizzare e contrastare le minacce informatiche provenienti dalla rete, per mettere al sicuro l’ecosistema cloud Azure, le infrastrutture edge e gli endpoint che utilizzano Windows e i suoi applicativi in ambito consumer ed enterprise.

I cybercriminali e le loro minacce sono in continuo aumento, eppure, secondo le conclusioni di Microsoft, il semplice rispetto delle procedure basilari in materia di sicurezza informatica, sarebbe in grado di proteggerci dal 98% dei possibili attacchi provenienti dalla rete. Vediamo dunque alcuni degli elementi che hanno caratterizzato la redazione del Microsoft Digital Defense Report 2021, soffermando la nostra attenzione soprattutto sui caratteri di novità più pertinenti all’ambito della sicurezza aziendale.

Obiettivi, numeri e contenuti della ricerca

L’obiettivo del Digital Defense Report 2021 è quello di integrare e rendere fruibile la base di conoscenza derivante da una enorme quantità di dati, che Microsoft gestisce ogni giorno attraverso i suoi sistemi, collaborando con miliardi di clienti in tutto il mondo. È la ragione per cui il report non si limita ad un’analisi descrittiva, ma cerca puntualmente di fornire indicazioni metodologiche e puntuali per mitigare i rischi e predisporre un miglior perimetro difensivo nei confronti grande varietà di attacchi informatici che si prospetta.

Il Digital Defense Report 2021 è dunque uno strumento neutrale, quasi del tutto indipendente dall’offerta commerciale di Microsoft, utile per orientare l’attività di tutti gli operatori nell’ambito della cybersicurezza, oltre a maturare una maggior consapevolezza di consumatori, decisori aziendali e responsabili di governo sulle minacce cui il loro business è inevitabilmente soggetto. L’obiettivo dichiarato da Tom Burt, Corporate VP Customer Security & Trust di Microsoft consiste infatti nel “fornire un aiuto concreto alla comunità globale per aumentare le difese dell’intero ecosistema digitale”.

L’enorme banca dati analizzata da Microsoft deriva dall’acquisizione effettuata su miliardi di dispositivi informatici facenti parte dell’ecosistema cloud Azure, degli endpoint consumer/enterprise e delle architetture edge che supportano i sistemi IoT in vari ambiti industriali.

Il Digital Defense Report 2021 rappresenta dunque un enorme lavoro di sintesi su segnali, dati e insight provenienti dalle realità di 77 differenti paesi, analizzati in maniera multidisciplinare da data scientist, ricercatori ed ingegneri informatici, analisti ed esperti in materia di incident response. Il lavoro di ricerca e sintesi ha previsto l’impiego di tool basati su intelligenza artificiale per effettuare analisi descrittive e predittive.

Lo spirito “sharing is caring” che caratterizza il Digital Defense Report si manifesta attraverso l’analisi dettagliata di sei macro ambiti, identificati quali focus di ricerca dell’edizione 2021, sulla base delle sostanziali trasformazioni avvenute a seguito della pandemia Covid-19.

• “The state of cybercrime”: analizza l’evoluzione dell’economia del cybercrimine a livello globale individuando e quantificando il business dei principali servizi che vedono impegnati gli hacker.
• “Nation state threats”: offre un quadro di visione sulle attività che avvengono nell’ambito dell’attivismo tra i vari stati, dove sono emersi nuovi gruppi e minacce sensibilmente più estese.
• “Supply chain, IoT and OT security”: il concetto è semplice, aumentano I sistemi interconnessi, aumenta la superficie di attacco che i cybercriminali possono colpire, lungo tutta la filiera operativa, sia per quanto concerne l’IT (information technology) che l’OT (operation technology).
• “Hybrid workforce security”: il new normal va nella direzione del lavoro ibrido, parte in remoto, parte in presenza. Il report si sofferma sull’esigenza di un approccio Zero Trust e sugli aspetti di insider threat, le minacce interne che derivano da una scarsa cultura sulla sicurezza informatica.
• “Disinformation”: un fronte d’azione molto pericoloso è costituito dalle campagne di disinformazione, in grado di influenzare prepotemente l’opinione pubblica, diffondendo menzogne che troppo spesso non vengono verificate nemmeno dagli addetti ai lavori. La cybersicurezza deve necessariamente tenere conto di questa crescente minaccia digitale.
• “Actionable insight”: il capitolo conclusivo è dedicato agli aspetti umano-centrici della sicurezza, nella direzione delle buone prassi volte ad acquisire una buona cyberigiene, per minimizzare la frequenza e le conseguenze degli attacchi informatici in qualsiasi contesto di business.

L’approccio che ha caratterizzato la stesura del documento è di natura dichiaratamente “lessons learned”, forte della solidissima base analitica su cui è strutturato. Come sostiene Tom Burt: ”per proteggere il futuro dobbiamo comprendere pienamente le minacce del presente”.

L’evoluzione del cybercrimine, un business in continuo aumento

I crimini informatici sono ormai in grado di costituire una seria minaccia per settori molto differenti tra cui le infrastrutture critiche, la sanità, l’IT delle aziende, i servizi finanziari e gli impianti di produzione e distribuzione dell’energia. In altri termini, gli hacker possono mettere in seria difficoltà le funzioni fondamentali per la società civile, oltre che causare danni evidenti al comparto economico.

L’ecosistema criminale si è incredibilmente evoluto negli ultimi anni, diventando a tutti gli effetti un mercato di servizi erogati tramite il dark web (qui la guida definitiva al lato oscuro del web), dove persino un amatore può accedere a kit virali, piuttosto che abilitare attacchi “one click” dopo aver effettuato un pagamento a chi noleggia la necessaria infrastruttura. Tra i crime as a service più gettonati vi sono i furti di identità mediante campagne di phising (da 100 a 1000 dollari ogni account rubato), gli attacci DDoS (in media a 312 dollari al mese) e i kit ransomware (a partire da 66 dollari o il 30% del riscatto ottenuto).

Tra le forme più innovative di attacchi risulta molto interessante la sfida a colpi di intelligenza artificiale, tra i sistemi in grado di automatizzare il rilevamento delle minacce e le reti avversarie messe a punto dai cybercriminali per inquinare i dataset utilizzati per allenare i sistemi ML (data poisoning) e rubando gli stessi modelli di ML utilizzati dai sistemi difensivi (model stealing). Tale dinamica prende il nome di Adversarial Machine Learning.

Nell’accurata descrizione analitica relativa alle principali minacce informatiche, il Microsoft Digital Defense Report descrive l’incredibile ascesa dei ransomware a scopo di estorsione, ormai in grado di colpire praticamente tutti i principali ambiti di business, con una preferenza per il retail/consumer (13%), i servizi finanziari (12%), il manufatturiero (12%), il governativo (11%) e la sanità (9%). Gli Stati Uniti si confermano invece il paese più colpito, con un totale di oltre 250 milioni di pagamento di riscatto complessivi nell’arco del periodo tra il luglio 2020 e il giugno 2021.

Il report conclude dicendo che è assolutamente possibile difendersi dagli attacchi provenienti dalla rete e dalle truffe informatiche. La stessa Microsoft ne neutralizza decine di migliaia ogni giorno. Se si riuscisse ad incrementare il livello di difesa generale dei sistemi, gli hacker vedrebbero aumentare sensibilmente lo sforzo ed il costo del loro lavoro e di conseguenza salirebbero anche i prezzi di mercato per i servizi del cybercrime, scoraggiandone l’utilizzo.

Il lavoro ibrido e l’approccio Zero Trust

Il new normal riparte dal lavoro ibrido, con la conseguente espansione della superficie d’attacco, causata dal notevole incremento delle connessioni da remoto verso i server aziendali, così come del numero di dispositivi informatici complessivamente utilizzati. Il proliferare di attacchi phising e malware è in grado di colpire soprattutto gli anelli deboli della catena.

I furti nel mondo fisico e quelli digitali hanno in comune un fattore: i criminali entrano molto spesso da porte aperte, o chiuse in maniera non sufficientemente sicura. Per difendersi, un’azienda deve cercare innanzitutto di chiudere le proprie porte, con una regolare strategia di sicurezza informatica. La base del lavoro è costituita da una corretta cyberigiene: aggiornamenti software, applicazione patch sicurezza, sistemi di autenticazione multifattoriale, controllo sui device che accedono alla rete aziendale, ecc. L’assenza anche soltanto di una di queste procedure basilari aumenta sensibilmente l’esposizione al rischio di attacchi estremamente pericolosi, come i ransomware, piuttosto che i DDoS.

La formazione sulla sicurezza informatica in azienda rimane l’arma migliore per contrastare soprattutto il fronte delle insider threat, le minacce interne. Sulla base dei dati osservati da Microsoft, una formazione efficace è ad esempio in grado di ridurre addirittura del 50% ogni anno l’incidenza degli attacchi phising derivanti dagli errori dei dipendenti. Tale dato è incoraggiante, se si considera come il phising sia la minaccia responsabile di almeno il 70% dei data breach subiti dalle aziende.

Un approccio di sicurezza informatica in grado di garantire un elevato livello di protezione (in grado di resistere al 98% delle minacce) è il cosiddetto Zero Trust, un percorso end-to-end focalizzato sulla visibilità, automazione ed orchestrazione di:

• Identità digitali
• Endpoint
• Applicazioni
• Reti
• Infrastrutture
• Dati

Secondo il Microsoft Digital Defense Report 2021, per introdurre una strategia basata su approccio Zero Trust è sufficiente partire da tre punti fondamentali, successivamente affinabili:

• Utilizzo di sistemi di autenticazione con livelli di accesso multifattoriali
• Garantire l’accesso alla rete soltanto ai dispositivi validati e riconosciuti quali sicuri
• Acquisire e analizzare i log di sicurezza per rilevare possibili anomalie

[Per un approfondimento sul framework di sicurezza Zero Trust clicca qui]

La disinformazione, il nuovo fronte diffuso delle minacce dalla rete

Se i virus e le loro azioni malevole sono da sempre gli indiscussi protagonisti del cybercrimine, di recente stanno emergendo nuove minacce in grado di condizionare in maniera sensibile l’opinione pubblica. È il caso delle campagne di disinformazione, sempre più veloci da attivare e capaci di diffondersi in maniera molto estesa grazie all’utilizzo dei social network. Non va confusa con l’informazione errata, diffusa in buona fede da parte di persone poco informate sui fatti, senza l’intenzione di provocare un danno. La disinformazione è una disciplina di per sé molto antica, ma di recente vi è stata una diffusione delle sue forme digitali, basate sull’impiego di strumenti informatici, capaci di incrementare a dismisura il potere e la diffusione dei messaggi divulgati.

La disinformazione è finalizzata a fuorviare o generare dubbi nei confronti di chi deve prendere una decisione, ad esempio alla vigilia di un voto elettorale. Come nel caso degli attacchi informatici, oggi sono disponibili dei kit in grado di automatizzare interamente lo svolgimento di una campagna di disinformazione utilizzando vari canali web, con la possibilità di sperimentare, monitorare e ottimizzarne progressivamente l’efficienza.

Alle informazioni false si è di recente aggiunta la minaccia caratterizzata dai deepfake: contenuti audio-video generati artificialmente grazie a strumenti di intelligenza artificiale capaci di clonare l’immagine o la voce delle persone, ai fini di utilizzarle per scopi malevoli, come il bullismo, il revenge porn o la richiesta di un riscatto.

Spesso i cybercriminali, per raggiungere i loro ignobili scopi, combinano l’effetto ingannevole della disinformazione con veri e propri attacchi informatici ed il modo migliore per difendersi è caratterizzato dal diffondere una cultura mediatica corretta, atta a scongiurare gli effetti malevoli causati dalle informazioni false in merito agli argomenti più soggetti a questo genere di attenzioni. Tali iniziative possono essere realizzate da soggetti pubblici o privati, come media, aziende tecnologiche, università, aziende social media, capaci di realizzare strumenti coinvolgenti, come quiz basati sulla gamification, piuttosto che contenuti multimediali capaci di sfatare le false credenze messe in circolo dalle campagne di disinformazione.

Le best practice della sicurezza secondo Microsoft

La tecnologia e il rischio di attacchi informatici non possono essere limitati all’attenzione dei reparti IT e dei team di cybersicurezza, ma devono diventare un fattore consapevole di tutta la popolazione aziendale, anche perché gli hacker logicamente rivolgono le loro attenzioni verso i luoghi della rete e i dispositivi dove è più probabile incontrare utenti poco accorti, il cui errore può aprire loro la porta attraverso cui accedere per portare a termine con successo un’azione malevola.

Per questo motivo è molto importante effettuare una formazione continua, per sviluppare nei dipendenti dell’azienda un crescente livello culturale in fatto di sicurezza informatica.

Il Microsoft Digital Defense Report 2021 propone inoltre un framework di cyberigiene basato su cinque azioni che sarebbero in grado di mettere al riparo dalla quasi totalità degli attacchi informatici provenienti dall’esterno e dall’interno della rete, senza trascurare quindi i rischi legati alle minacce interne:

• Abilitare l’autenticazione multifattoriale basata sul maggior numero di data point disponibili;
• Adottare il principio del privilegio minimo per tutte le zone della rete;
• Utilizzare software anti-malware su tutti i device e i dispositivi connessi alla rete;
• Aggiornare tutti i dispositivi e i software on-premises;
• Proteggere i dati con adeguate strategie di backup e disaster recovery.

Spesso basta veramente poco, ma anche quel poco non viene eseguito a causa di palesi disattenzioni o scarse competenze in materia di sicurezza informatica.
Il Microsoft Digital Defense Report 2021 ha infatti rilevato come oltre 20 milioni di dispositivi connessi alle reti aziendali abbiano la password di default “admin”, 10 milioni la password “root” e 4 milioni la password “user”.

Le password fragili, che abbiamo preso come esempio nella grande varietà di situazioni presentate dal report, costituiscono un vero invito a nozze anche per un hacker alle prime armi, capace di scansionare in maniera anche elementare una rete. Sarebbe quindi del tutto inutile e dispendioso elevare delle barriere impenetrabili a livello firewall quando si conservano simili livelli di arretratezza in fatto di cultura di sicurezza informatica.

[Per consultare la versione integrale del Microsoft Digital Defense Report 2021 (in lingua inglese) – clicca qui]