logo

CybergON Blog

Advancing the State of Cybersecurity.

Almanacco 2020: eventi e trend

almanacco-2020-eventi-trend

Si chiude l’anno in cui l’Italia ha visto il maggior numero di morti annue dal 1944.

Si chiude l’anno 0 della Cyber Security, quello nel quale TUTTI hanno scoperto il potere del digitale e il suo lato oscuro. Un anno iniziato con le aziende alla rincorsa di portatili e connessioni VPN per poter dare continuità operativa ai propri collaboratori, proseguito con il cordoglio e la solidarietà nazionale, la rabbia per esserci ricascati e un finale purtroppo all’altezza con il tetro scenario globale.

Un trittico di notizie che non si credevano possibili: FireEye, una delle principali aziende globali di Cyber Security, è stata oggetto di attacco che ha portato nelle mani dei malintenzionati molti tool di Red Teaming, quelli utilizzati per forzare i sistemi. La settimana successiva il Ministero del Commercio degli Stati Uniti e altre importanti agenzie governative sono state attaccate con compromissioni di diversi account email. Lo stesso giorno il sistema di autenticazione di Google non è stato in grado di permettere a milioni di utenti di accedere ai servizi. Nonostante le smentite ufficiali molti vi hanno visto una correlazione.

Sta di fatto che la paura ha preso il posto del timore. La conferma è arrivata poco dopo ed è ancora più spaventosa dell’ipotesi: nessun concatenamento ma un unico attacco perpetrato con un vettore inusuale: una backdoor inserita in un aggiornamento di Solarwinds Orion. La portata dell’attacco non è ancora nota, ma i suoi effetti caratterizzeranno almeno il primo trimestre del nuovo anno.

Si chiude l’anno della prima vittima conclamata a seguito di un attacco Ransomware, è successo il 17 settembre in Germania, una donna per via della indisponibilità dei sistemi di accettazione del pronto soccorso è stata rinviata verso un’altra struttura; purtroppo è deceduta durante il trasferimento.

In dicembre è stato segnalato il più cospicuo pagamento in Bitcoin presumibilmente riferibile ad un riscatto: 34 milioni di dollari. Novembre lo dedichiamo agli attacchi contro le aziende farmaceutiche che stavano sviluppando il vaccino contro Sars-Cov-2. Un attacco ha colpito Moderna, il governo Britannico ha denunciato diversi tentativi da parte di APT e alla fine è toccato all’Agenzia Europea del Farmaco dichiarare che alcune informazioni sui test in corso erano state illegalmente sottratte dai loro sistemi informatici.

Ottobre invece va alla geopolitica con una non ben definita APT Cinese che ha sottratto i dati personali di metà (!!) dei lavoratori di Taiwan.

Agosto è stato il mese di Garmin: dopo giorni di fermo del servizio si è diffusa la notizia di un pagamento milionario.

Luglio il mese che ci ha riportati ai ricordi degli anni Novanta: un diciassettenne di Tampa, in Florida, ha forzato una console di amministrazione di Twitter e ha preso possesso di alcuni account decisamente importanti: Barak Obama, Elon Musk, Apple, Joe Biden, e altri. Per fortuna il suo talento nel forzare il sistema non si è ripetuto nell’ordire truffe; il danno economico si è «limitato» a centomila dollari, quello di immagine per Twitter, invece, non è calcolabile.

Giugno: Nintendo, Postbank, Foodora, Equifax sono state accumunate dall’obbligo di dichiarare databreach che hanno coinvolto informazioni sensibili dei loro utenti. È stato anche il mese in cui la privacy di Whatsapp ha traballato quando si è scoperto un baco che, in particolari condizioni, pubblicava su Google il numero di telefono dell’utente.

In maggio è toccato ad Easyjet dichiarare che un numero elevato di informazioni personali dei suoi clienti, compresi i numeri delle carte di credito erano stati compromessi, Nello stesso mese haveibeenpwned ha aggiunto un database da 27 milioni di record contenete nome utente, password e indirizzo email provenienti da LiveJournal, un popolare servizio di blogging.

I mesi precedenti sono passati in una sorta di sospensione forzata: il SOC di CybergON ha gestito circa un quinto degli incidenti del secondo semestre e abbiamo poi scoperto essere una ratio comune a tutte le organizzazioni che fanno sicurezza. Sono state formulate diverse teorie in merito, la più accreditata, secondo noi, è che la rincorsa a far lavorare le persone in Smart Working abbia aperto un numero significativo di falle ma che, per sfruttarle, i criminali abbiano aspettato la ripresa economica. Questo spiegherebbe l’inusuale numero di aziende industriali italiane colpite da luglio in poi e la gravità del danno subito.

Aspettative e trend per il 2021

Si apre l’anno 1 della Cyber Security, quello in cui la pericolosità del fenomeno è stato universalmente riconosciuto, quello che vedrà sempre più specialisti e responsabili di infrastrutture e applicazioni dormire sonni agitati con l’aumento delle notizie di compromissioni.

Ci saremmo augurati di poter iniziare il nuovo anno senza alcune cattive abitudini, ma alla fine ci siamo convinti che ci accompagneranno anche nel 2021:

  • Oltre la metà degli utenti riutilizza password precedentemente oggetto di un data breach;
  • Monitoraggio delle vulnerabilità, aggiornamento dei sistemi, finestre di manutenzioni ordinarie e di emergenza, sono processi strutturati in poche organizzazioni;
  • Nome utente e relativa password, scalpellate all’interno del codice applicativo è ancora una pratica in uso e pochi hanno una mappa di quelle in funzione;
  • Administrator, admin, SAPadmin, ExchangeAdmin, ecc. devono essere bannati dalle organizzazioni: ogni persona deve essere responsabile delle proprie credenziali e dei livelli di accesso concessi;
  • Compartimentare la propria organizzazione dovrebbe essere obbligatorio, altrimenti un CIO non potrebbe neanche entrare in azienda;
  • Oggi, non avere dei backup a prova di ransomware è estremamente rischioso;
  • I LOG devono essere storicizzati per permettere agli specialisti di capire cosa è successo in caso di attacco. Ovviamente in caso di compromissione di una macchina, l’intruso per prima cosa li cancellerà, quindi devono essere salvati altrove.

Le predizioni, infine, sono quella serie di infruttuosi tentativi di proiettare un trend attuale senza vedere quello in rotta di collisione. Questi sono quelli che abbiamo identificato noi:

  • Il Cybercrime, rappresentabile come la terza economia al mondo, costerà circa 10 milioni di dollari al secondo per tutto il 2021. Warren Buffet ha recentemente commentato come il Cybercrime, soprattutto per la facilità di entrare in contatto con chiunque tramite il Darkweb, sia il problema numero uno dell’umanità: un attacco informatico è in grado di paralizzare un’organizzazione, una città o un’intera nazione e per questo va considerato alla stregua di un’arma nucleare.
  • I danni provocati da Ransomware, che per modalità ed efficacia sono il metodo più facile e veloce per ottenere illeciti guadagni nel breve termine, arriveranno a 20 miliardi di dollari nel 2021.
  • La superficie di attacco cresce esponenzialmente, entro il 2023 il numero di dispositivi connessi alla rete triplicherà e la tecnologia 5G deve ancora essere definita dal punto di vista della Cyber Security. Certo sarà possibile connettere tutti i dispositivi di casa direttamente alla rete e beneficiare di maggiore banda, funzionalità e servizi, ma quanto inciderà quel “direttamente” sulla sicurezza?
  • La crescente adozione di soluzioni multi-tenant, soprattutto associate alle varie tipologie di Cloud e a fornitori terzi, le renderà estremamente appetibili per gli APT (Advanced Persistent Threat). Quello che è stato fatto utilizzando Solarwinds Orion come vettore è un esempio in questo senso: una compromissione che ha permesso l’accesso a diverse organizzazioni. Già quest’anno si potrebbe assistere al primo hack (conclamato) di un hyperscaler. Facciano attenzione soprattutto i service provider locali.
  • La data economy, da cui dipende la capitalizzazione delle prime dieci aziende globali, raggiungerà presto i 200 zettabytes (10 alla 21 bytes). Tanto oro in tanti caveau.
  • Entro il 2025 ci saranno sul cloud 100 zettabytes di dati, circa metà della capacità di archiviazione mondiale. Questo renderà l’identità digitale e i fattori di autenticazione che la regolano la vera architrave della sicurezza delle organizzazioni.
  • Nel 2021 l’industria della Cybersecurity dovrà proteggere 300 miliardi di password;
  • Nel 2021 ci si aspetta un bel po’ di danni dovuti alla forzatura dei sistemi dei veicoli a guida autonoma.

Concludiamo con la corsa tecnologica: solo in Europa sono operative più di 2000 vendor di Cyber Security, per la prima volta dai tempi di Olivetti anche realtà italiane si stanno affacciando con successo sullo scenario internazionale. I SOC basati su SIEM, universali fino a poco tempo fa, stanno segnando il passo, il futuro è nell’intelligenza artificiale. Scontato vero? Ovviamente un’affermazione del genere non basta, bisogna dire anche il compito assegnatole: dovrà essere in grado di sostituire gli analisti nell’applicare tecniche e tattiche di REMEDIATION in modo da ridurre l’impatto di un attacco. Oggi sono in grado di occuparsi di DETECTION e, in parte, di RESPONSE, ma REMEDIATION e MITIGATION sono ancora totalmente in carico agli umani. Nonostante questo non risolveremo il problema delle SPAN-PORT.

Buon 2021 dal team CybergON.