Almanacco 2021: eventi passati, trend e considerazioni
Se abbiamo definito il 2020 come l’anno 0 della cyber security, quello in cui tutti hanno scoperto il lato oscuro del digitale e ne hanno compreso i rischi, possiamo affermare che con il 2021 si conclude l’anno 1 della sicurezza informatica, quello in cui la consapevolezza ha dovuto lasciare il posto all’azione. Il Rapporto Clusit 2021 evidenzia come i costi degli attacchi cyber abbiano ormai superato il valore del 6% del PIL mondiale. Ecco, quindi, che si fanno avanti investimenti, piani di difesa e risposta alle minacce, tecnologie.
L’anno è iniziato con una delle operazioni più significative della storia della lotta al cyber crime: la chiusura di Emotet. Un’operazione particolare anche per la grandiosa collaborazione tra forze dell’ordine di tutto il mondo, che, forti di questa sinergia, hanno messo fine a una delle botnet più pericolose e note. Certo, l’operazione è stato tanto famosa quanto inutile. A Novembre Emotet è tornato con una nuova campagna, chiamata Operazione Reacharound, che sfrutta altre infrastrutture per la propria distribuzione.
Tra marzo e aprile si sono susseguiti una serie di attività pericolose che hanno innalzato di molto l’attenzione della stampa e delle aziende. La più eclatante è stata ProxyLogon: la vulnerabilità 0-day di Microsoft Exchange che ha messo in ginocchio oltre 250 mila aziende nel corso di due mesi.
Il filone degli attacchi alla supply chain iniziato nel 2020 con SolarWinds Orion ha preso definitivamente piede nel 2021 con Kaseya e altri player di mercato. Questo e altri metodi di attacco – il phishing rimane tra i più diffusi – hanno contribuito a compromettere ogni genere di azienda, con un focus globale sul settore manifatturiero e ingegneristico, healthcare, servizi e tecnologia. Una ricerca di Verizon ha indicato che nel 2021 si sono registrati quasi 30.000 attacchi dovuti per lo più ad attività di social engineering e server exploitation.
Il 25% degli attacchi mappati nel primo semestre del 2021 è stato diretto verso l’Europa. Il dato è interessante perché, secondo il rapporto Clusit, nel 2020 gli attacchi gravi contro l’Europa sono stati il 17% ed erano solo l’11% nel 2019.
Poi la pausa estiva, per molti ma non per tutti. In particolare, gli attaccanti hanno agito su due fronti in Italia: la Pubblica Amministrazione e il settore Privato. Nel primo caso, abbiamo assistito ad attacchi di impatto enorme su alcuni enti pubblici. È il caso di Regione Lazio, dell’Ospedale San Giovanni di Roma, di Regione Toscana e Lombardia, di SIAE e CGIL e della più recente ULSS6 Euganea, azienda ospedaliera di Padova. L’attenzione posta dai Governi europei su questo tema è stata crescente e l’Italia non è stata da meno. Il Governo ha istituito l’Agenzia per la cybersicurezza nazionale e ha stanziato diverse risorse per la sicurezza informatica nel PNRR. Sono segnali importanti della volontà di adeguare il comparto cyber italiano alle nuove sfide nazionali e internazionali.
Da un lato il Pubblico, dall’altro il Privato. Molte eccellenze italiane sono state oggetto dei più disparati attacchi informatici. Il made in Italy era già stato colpito nel 2020 con casi quali Luxottica e Geox, ma nella seconda parte del 2021 c’è stata un’escalation di vittime italiane che hanno contribuito a far innalzare ancora di più l’attenzione della stampa nazionale. Aziende del food come San Carlo, manifatturiere, ma anche di giocattoli (Clementoni) e del fashion (Gruppo Miroglio). In generale, gli attacchi informatici dichiarati nel Belpaese sono stati 600 al giorno, con una concentrazione sui settori della ricerca e dell’istruzione che ci permette di salire sul podio, al secondo posto dopo l’India, per media settimanale di attacchi. Secondo il report “Attacks from All Angels” di Trend Micro, nel primo semestre del 2021 l’Italia risulta il quarto Paese più colpito al mondo da attacchi informatici, soprattutto per quanto riguarda i settori che trattano informazioni sensibili come le telecomunicazioni, il settore bancario e finanziario e la distribuzione.
Infine, la seconda parte dell’anno ci ha fatto ragionare su un tema che sarà centrale anche nel 2022: le vulnerabilità. L’ultima d’impatto critico è stata quella di Log4j, ma di fatto, lo sfruttamento delle vulnerabilità note per perpetrare attacchi informatici è aumentato del 41% nel corso dell’anno passato, secondo solo all’utilizzo di malware (43%). Rimangono quindi una priorità il monitoraggio delle vulnerabilità, l’aggiornamento dei sistemi, le finestre di manutenzioni ordinarie e di emergenza. Processi che sono strutturati ancora in poche organizzazioni. Apprendimento: l’errore non è ammesso. Lasciare aperta non una porta, ma uno spiraglio, permetterà di subire un attacco in tempi da record. Sfruttando le vulnerabilità più note – come quelle che abbiamo visto protagoniste di recente – stimiamo che gli attaccanti potranno agire in meno di 48 ore. Nel 2021 questo tempo si aggirava intorno alle 48-72 ore.
Cosa aspettarci dal 2022
Cloud
Il Cloud, con la sua capacità apparentemente infinita di archiviare ed elaborare grandi quantità di dati, ha permesso alle aziende di passare al lavoro remoto con relativa facilità dopo lo scoppio della pandemia di Covid-19. Nel prossimo anno la migrazione al Cloud rimarrà un aspetto chiave per le operazioni aziendali. Gartner prevede che la spesa globale per i servizi Cloud raggiungerà oltre 482 miliardi di dollari nel 2022, con un aumento del 54% rispetto ai 313 miliardi di dollari del 2020. E se le aziende migrano sulla nuvola, i cyber-criminali non saranno da meno.
Supply Chain
La pandemia di Covid-19 ha puntato i riflettori sulla fragilità delle supply chain. Enormi carenze e ritardi economici sono sorti a causa di diversi fattori, tra cui l’aumento della domanda e la carenza di container e di lavoratori. Quando i problemi delle supply chain sono diventati un problema mondiale, tutti hanno compreso il valore di queste catene, compresi i cyber criminali che non si sono fatti sfuggire il potenziale di attacchi diretti alle stesse.
Sfruttando ulteriormente l’interruzione della catena di approvvigionamento, i threat actors potranno portare un’evoluzione nel modello di “estorsione quadrupla” nel 2022. Sfrutteranno al massimo i loro attacchi informatici spingendo sulle vittime (immaginiamo nomi sempre più importanti) per pagare ingenti somme di denaro tramite una quadruplice tecnica di estorsione: tenere i dati critici della vittima per il riscatto, minacciare di far trapelare i dati e pubblicizzare la violazione, minacciare di perseguire i clienti della vittima e attaccare la catena di approvvigionamento o i fornitori della vittima.
IoT
Si prevede che il numero di dispositivi connessi, Internet of Things (IoT), raggiungerà i 18 miliardi entro il 2022. Una conseguenza di ciò è un numero maggiore di potenziali punti di accesso per i criminali informatici che cercano di accedere a sistemi digitali sicuri. Oltre che più diffuso, nel 2022 l’IoT diventerà anche più sofisticato. Molte organizzazioni sono ora impegnate nello sviluppo di “digital twins” - simulazioni digitali che rispecchiano interi sistemi e business. Questi modelli sono spesso collegati a sistemi operativi interni all’azienda (fonte: Forbes).
Questo utilizzo massivo dell’IoT riguarda anche gli utenti, che avranno vita sempre più facilitata grazie ai dispositivi connessi. Non solo wearable e smart devices, parliamo di case sempre più connesse, assistenti vocali e auto “intelligenti”.
Se nel 2021 il numero di user di device mobili in tutto il mondo si è attestato a 7,1 miliardi, le previsioni suggeriscono che probabilmente salirà a 7,26 miliardi nel 2022. Nel 2025, questo numero potrebbe raggiungere i 7,49 miliardi (Statista). Più utenti, più connessioni e più complessità relative alla cyber security.
Cybercrime as a Service
Se il ransomware da un lato non ha mai smesso di essere un “trend”, dall’altro ha la capacità di rinnovarsi continuamente. Per il 2022 stimiamo che il malware as-a service, MaaS o RaaS, la variante meno rischiosa dell’attacco malware diretto, possa prendersi sempre più spazio. Per la cronaca, un “pacchetto” costa dai 60 ai 650 dollari e, in caso di attacco andato a buon fine, il profitto è del 70% per chi compra e del 30% per chi vende. Ne abbiamo parlato approfonditamente anche nel nostro ultimo libro.
Non-Fungible Token
Nel 2022, è probabile che vedremo NFT ovunque; questo include film, programmi TV, libri e altro ancora. Gli NFT fanno parte dell’economia digitale e stanno diventando mainstream perché consentono alle persone di possedere qualcosa che rappresenta una parte di qualcosa di più grande di loro - un’opera d’arte o un personaggio, per esempio. L’economia digitale è composta da una varietà di mercati online, tra cui videogame, immobili virtuali e piattaforme di social media come Facebook.
Ricordiamo che il principio secondo cui agiscono i cyber-criminali è quasi sempre il #followthemoney. Ecco perché bisogna considerare la tendenza degli NFT anche dal punto di vista della sicurezza.
6G is the new 5G
La pandemia ha pesato sul mobile, con il numero di abbonati che ha subito un leggero calo a livello globale. Ciò detto, la marcia del 5G non si arresta e il 2021 si è chiuso con 500 milioni di abbonati. secondo stime di ABI Research raggiungerà quota 2,6 miliardi di sottoscrittori nel 2026 a fronte di ricavi per 942 miliardi di dollari.
Questa espansione sta già facendo spazio a nuovi discorsi legati alla prossima tecnologia: 6G. Nel 2021 LG ha iniziato un progetto di sviluppo legato al 6G e le previsioni attuali indicano la possibile commercializzazione delle soluzioni entro i prossimi 4 anni, con la piena normalizzazione di queste tecnologie entro il 2025. Siamo davvero pronti?
Le nostre considerazioni
Attacchi verso aziende italiane
L’esperienza vissuta sul campo durante questo 2021 ci ha permesso di misurare un trend preoccupante. Confrontando il primo e il secondo semestre del 2021 abbiamo evidenziato un raddoppio (+200%) degli incident legati ad attacchi verso aziende italiane. In particolare, il 35% avviene attraverso attacchi ransomware e in questi casi la durata media della presenza degli attaccanti all’interno della rete del cliente si attesta tra le 2 e le 5 settimane.
Il 25% è legato al furto delle credenziali aziendali, con lo scopo di compiere attacchi man in the middle. La presenza degli attaccanti in questi casi supera i 2 mesi, proprio perché l’obiettivo è di studiare e comprendere al meglio i flussi di comunicazione dei clienti.
Password e Multi-Factor
Nel corso del 2021 abbiamo rilevato un aumento significativo di attacchi legati al furto delle credenziali utente del 180% rispetto al 2020, con un trend preoccupante sull’ultimo trimestre. Questa tendenza ci pone di fronte alla necessità oggettiva di implementare in azienda sistemi di autenticazione di nuova generazione. Stimiamo, ad esempio, che solo il 30% delle aziende che utilizzano sistemi di collaborazione Cloud come Office365 abbiano attivo un sistema di monitoraggio attivo degli accessi sospetti. Parliamo di “risky users” quando vengono rilevati accessi alla casella di posta da sorgenti non usuali (ad esempio accesso da un indirizzo estero verso una casella utilizzata principalmente in Italia). I portali Azure tracciano e visualizzano queste informazioni, ma come sempre è necessario monitorare e agire di fronte a queste segnalazioni.
Se il doppio fattore di autenticazione (MFA) per accedere alla posta elettronica aziendale era un “nice-to-have” per il 2021, sarà indispensabile per proteggere l’azienda nel corso del 2022. La sicurezza in azienda può essere ottenuta solo con la collaborazione di tutti ed è quindi necessario chiedere ai dipendenti di abituarsi ad una nuova operatività. Per ottenere il risultato atteso, un progetto di MFA deve essere affrontato ascoltando le necessità delle varie funzioni aziendali e personalizzando le policy in base alle diverse esigenze. L’ultimo step sarà quello di passare ad un sistema di autenticazione password-less attraverso l’utilizzo di un dispositivo trusted.
Sistemi di Protezione: questione di efficacia
Con la continua evoluzione e complessità degli attacchi, le protezioni aziendali devono evolvere alla stessa velocità. Stimiamo che se un’azienda ha implementato un sistema di protezione dei dispositivi utente, sistemi server e network nel corso del 2020, senza adattarlo alle nuove minacce, potrebbe perdere fino al 25% di efficacia nel corso dell’anno successivo e fino al 50% nel corso dei due anni successivi.
Nonostante gli investimenti in ambito cyber security da parte delle aziende siano in costante crescita da pochi anni a oggi, sono ancora poche le aziende aziende italiane (stimiamo circa il 15%) che hanno affrontato nel corso del 2021 progetti di adozione di protezione avanzata basato su intelligenza artificiale e analisi. Se fino a qualche anno fa parlare di antivirus era un ottimo punto di partenza, oggi non è più sufficiente ed è necessario valutare soluzioni di XDR (Extended Detection and Response).
Anche le polizze assicurative legate al rischio cyber richiedono sempre più spesso la compilazione di questionari approfonditi sul livello di protezione aziendale. Il SOC non è più un nice to have.
Buon 2022 dal team CybergON