logo

CybergON Blog

Advancing the State of Cybersecurity.

Almanacco 2022: eventi passati e nostre considerazioni

Fine anno tempo di bilanci.

Ormai, come nostra consuetudine, vogliamo ripercorrere insieme quanto accaduto nel 2022 da un punto di vista della sicurezza informatica, considerando i trend principali e le future evoluzioni.

Se l’anno 2021 aveva visto un incremento degli attacchi in termini di quantità e gravità, tale tendenza, positiva nei numeri ma negativa in termini etici, si è confermata ampiamente anche nel 2022.

Il numero degli attacchi è aumentato di circa l’8% (Rapporto Clusit 2022), con una media di 191 attacchi al mese (contro i 171 dell’anno scorso). Inoltre, gli attacchi hanno avuto una severity “alta” per metà del numero registrato, mentre quasi un terzo una gravità “critica”. Questo significa che più della maggior parte degli attacchi ha in qualche modo compromesso e severamente danneggiato la business continuity delle aziende, intaccando inevitabilmente profitti e costi da sostenere.

Instabilità geopolitica e attacchi informatici

Un tema centrale del 2022 ha riguardato la guerra in Ucraina e le continue tensioni geopolitiche che sono poi sfociate in una vera e propria guerra cibernetica, con continui attacchi informatici che hanno colpito non solo le due Nazioni protagoniste del conflitto ma anche Nazioni esterne, tra cui l’Italia. Due minacce in particolare hanno rubato la scena dal punto di vista della sicurezza informatica: i malware HermeticWiper e Cyclops Blink.

Approfittando della situazione di emergenza, diversi gruppi di cyber criminali hanno veicolato in particolare il malware é HermeticWiper con l’obiettivo di sfruttare la situazione di tensione per colpire quante più organizzazioni possibili.

E infatti, proprio nei mesi di marzo ed aprile, anche in Italia è stato registrato un sensibile incremento della distribuzione di attacchi veicolati da parte di organizzazioni criminali che sfruttavano proprio il sopracitato ransomware per rubare i dati delle aziende colpite e monetizzarli tramite rivendita e richieste di riscatto.

Numero attacchi per mese in Italia Fonte: True Numb3rs - Numero attacchi per mese in Italia

Le nostre evidenze sul trend 2022

Sebbene i dati del paragrafo precedente mostrino che la situazione ha effettivamente subito un rallentamento durante la primavera, il numero complessivo degli attacchi è rimasto decisamente alto anche durante tutto l’anno.

Il trend riscontrato dalla nostra Business Unit ha messo in evidenza una stagionalità degli attacchi. Nei mesi estivi, e in generale durante i periodi di festa, le attività dei cyber criminali aumentano, come dimostrano gli eventi critici di sicurezza rilevati dal nostro SOC e in evidenza nel grafico sottostante.

Eventi critici per mese

Un altro dato interessante che vogliamo condividere riguarda l’orario di creazione degli eventi critici. Anche in questo caso, vengono sfruttati orari come la pausa pranzo e la fine della giornata lavorativa per poter mettere a segno le attività illecite.

Orari registrazione eventi critici

Target e tecnologie

I gruppi criminali sono ormai diventati delle vere e proprie organizzazioni, il cui obiettivo è quello pecuniario. Nel grafico sottostante possiamo vedere i maggiori settori industriali che sono stati oggetto delle attività criminali durante il 2022.

Settori colpiti 2022 Fonte: Rapporto Clusit 2022

È interessante notare come i primi tre settori riconoscibili riguardino il settore healthcare, quello governativo e quello dell’informazione e della tecnologia, cioè proprio quei settori che gestiscono e veicolano enormi quantitativi di dati sensibili. Questo trend è in linea con la situazione precedentemente descritta e anche con il trend dell’anno 2021, in cui i maggiori tre settori erano: governativo, ICT e healthcare.

Per quanto riguarda invece i tipi di attacco troviamo al primo posto l’utilizzo di malware, in tutte le sue tipologie, seguito da attacchi basati su vettori o tecnologie ancora sconosciuti, campagne phishing e vulnerabilità.

Tipi attacco 2022 Fonte: Rapporto Clusit 2022

Se nel primo semestre dell’anno il conflitto ha avuto un ruolo cardine per gli attacchi informatici registrati, nel secondo semestre la scena è stata rubata da Microsoft Exchange ProxyNotShel, una vulnerabilità che ha reso attaccabili quasi 250 mila server in tutto il mondo, di cui quasi 10.000 solo sul territorio nazionale.

Trend del 2023

Quali sono i principali trend che impatteranno il panorama e il mercato della cybersecurity?

Innovazione tecnologica

La cybersecurity è influenzata dall’innovazione tecnologica. Per questa ragione, essere in grado di anticipare i trend crea l’opportunità di sviluppare un vantaggio competitivo a supporto e protezione della continuità del business.

In particolare, per il nuovo anno possiamo considerare tre macrocategorie:

  • Sviluppo nuove tecnologie come l’Artificial Intelligence, la Blockchain o il 5G. L’innovazione può essere uno strumento utile contro gli attacchi informatici poiché l’uso di nuove tecnologie sia di difesa che di attacco permettono all’organizzazione una maggiore protezione. In particolare, per quanto riguarda l’Artificial Intelligence e la Blockchain, l’abilità di prevenire rischi e minacce tramite le tecnologie sopracitate con il riconoscimento di comportamenti malevoli o dannosi sarà sempre più un fattore differenziante molto forte.
  • Introduzione di nuove architetture e processi come Security by Design, Zero-Trust o DevSecOps. L’introduzione di elementi fisici e logici è fondamentale per il controllo dell’effettiva integrità del perimetro aziendale, la cui verifica puntuale avviene tramite l’adozione di principi, metodologie e paradigmi architetturali. Uno dei trend maggiormente in crescita è quello relativo al modello Zero-Trust, un paradigma che presuppone l’assenza di perimetro di rete all’interno del quale gli utenti e le risorse sono considerati automaticamente affidabili. Ripensare alla logica di permessi ed accessi ad ogni nodo della rete aziendale, unito ad un controllo efficace e preciso delle utenze, diventa quindi d’obbligo per un’azienda e per tutti i fornitori che hanno a che fare con essa.
  • Espansione delle superfici di attacco come il cloud, il metaverso o addirittura il tanto amato smart working. Ad esempio, la crescente adozione di sistemi cloud, accelerata dalla situazione di emergenza sanitaria, rende sempre più necessaria l’introduzione di nuove competenze dedicate e di opportuni sistemi di controllo, monitoraggio e orchestrazione, così come le modalità di lavoro ibride, che prevedono l’utilizzo di dispositivi personali e reti domestiche, costituiscono ormai la nuova normalità. Le aziende devono adottare tecnologie e soluzioni per la sicurezza degli endpoint e la mitigazione del rischio derivante dal fattore umano, specialmente in considerazione dei comportamenti richiesti a ciascuna mansione aziendale.

Importanza crescente dell’AD Audit

Strettamente collegato alla logica Zero-Trust è la gestione delle utenze presenti nell’Active Directory di un’azienda. Monitorare i propri utenti abilita a rilevare i tentativi di accesso non riconosciuti in tempo reale. L’AD Audit è un tool utilizzato per riconoscere eventuali anomalie nella gestione delle utenze, così come i processi ad esse connessi, come la dimissione delle utenze di un dimissionario, che spesso sono fortemente sottostimati rispetto al rischio connesso. Tramite l’AD Audit, si effettua inoltre il controllo delle password delle diverse utenze in uso, in modo da rilevare password deboli, riutilizzate o compromesse e agire tempestivamente in caso di necessità.

Proprio per l’importanza strategica del controllo e l’attuale poca attenzione che viene riservata, per il 2023 si prevede un investimento sensibile nel servizio, unitamente ad una crescente attenzione nella creazione di policy interne volte alla gestione corretta.

Per capire l’impatto positivo dell’analisi, riportiamo i risultati derivati dalla nostra analisi diretta di un campione di oltre 90.000 utenze prese in esame:

  • il 28% degli utenti risulta avere una password duplicata, questo significa che a più username sono collegate le stesse password
  • il 10% degli utenti risulta avere una password compromessa, ovvero presente in qualche data breach
  • il 4% degli utenti risulta un admin e quindi detiene pieni poteri sull’Active Directory aziendale
  • il 65% degli utenti risulta non cambiare la password da oltre 90 giorni (il 52% da oltre 365).

Lo spaccato mette in allarme su come nel 2023 per le aziende diventerà di primaria importanza investire e creare grande consapevolezza sull’utilizzo e la gestione corretta delle password, una base fondamentale per la sicurezza informatica che viene ancora trattata con troppa leggerezza.

Probabilmente nel 2023 si assisterà anche all’inserimento pervasivo di uno o più fattori di autenticazione, i cosiddetti MFA, di cui fa parte l’autenticazione a due fattori, già in uso per i servizi bancari e amministrativi come lo SPID. Proprio l’innovazione sui processi di autenticazione sarà parte della strategia per mitigare i rischi derivati da una gestione approssimativa dell’Active Directory, come i problemi di furto delle password aziendali.

Fattore umano

Old but gold, non possiamo non menzionare l’importanza che continuerà ad avere il fattore umano, sia come fonte di rischio, sia come valido alleato per una pronta prevenzione e/o risoluzione dei rischi.

Come abbiamo visto dal grafico precedente, il 14% degli attacchi arriva da campagne phishing. Questo dato ci mette in allarme su come i cyber criminali continuino a sfruttare la disattenzione e/o l’inesperienza dell’utente per mettere a segno attacchi informatici. Non è mai abbastanza importante, quindi, sottolineare che il fattore umano gioca ancora un ruolo fondamentale, soprattutto considerando che investire in una formazione continuativa per il proprio personale ha un costo decisamente più basso rispetto al ripristino di un incidente informatico, senza considerare il costo di un eventuale riscatto.

Agire sul fattore umano e creare una cultura sulla difesa informatica tramite la condivisione di alcune best practice, da un lato, e il buon esempio dato dalle figure apicali in azienda, dall’altro, continua ad essere un punto di attenzione spesso sottovalutato.

Complessità di valutazione di un attacco informatico

Investire in sicurezza informatica è un aspetto fondamentale per poter permettere la business continuity di un’azienda. Tuttavia, molte realtà pensano ancora di essere un target improbabile per le aziende di cybercrimine, oppure ritengono di avere gli strumenti finanziari e legali per sopportare le conseguenze di un attacco.

Per capire davvero quali sono gli effetti degli attacchi informatici in termini di cyber rischi, si riporta un elenco non esaustivo dei maggiori esiti osservati:

  • Interruzione o ritardi nei processi di business
  • Costi di ripristino e risarcimento danni
  • Violazione o alterazione dei dati aziendali
  • Danni legati alle terze parti
  • Danni di immagine
  • Estorsione digitale

Considerando l’impatto, la stima del rischio è utile per quantificare la perdita finanziaria, l’interruzione o il danno reputazionale che un’attività subisce a causa di un attacco.

Esistono diversi fattori che entrano in gioco per stimare il rischio. Questi fattori sono molto soggettivi in base al tipo di azienda, al tipo di attacco ricevuto e all’impatto mediatico, per questo motivo non ci è possibile condividere dei dati oggettivi in termini economici che un attacco può avere sull’attività.

Esiste però una formula che mostra le sei diverse variabili che entrano in gioco.

Formula Cyber Rischio Fonte: Osservatori Digitali

Si ritiene che nel 2023, al modello sopracitato verranno aggiunte nuove variabili che renderanno ancora più complessa la stima del rischio, ampliando anche il quantitativo di scelte strategiche che fanno la differenza all’interno di un’azienda.

Le nostre considerazioni

Il numero di attacchi ad aziende italiane (e non) è di nuovo aumentato vertiginosamente nell’ultimo anno e proprio per questo, a livello mediatico, un attacco informatico non fa più tanto rumore rispetto a qualche anno fa. Questo, però, non significa che il numero di aziende colpite sia diminuito, ma anzi, le attività registrate, come abbiamo visto, continuano ad aumentare anno dopo anno.

Inoltre, stiamo misurando un cambiamento sui target aziendali presi di mira dalle organizzazioni criminali. Se fino a qualche tempo fa l’obiettivo primario era principalmente la grande impresa, si riscontra un aumento significativo di attacchi anche alle piccole e medie imprese italiane, che non sono preparate ad affrontare una simile situazione, soprattutto da un punto di vista economico. Questo è un sintomo che il mercato del cybercrime sta differenziando sempre più il suo target, con obiettivi diversi in base alla dimensione aziendale.

Un trend che è stato registrato, soprattutto dalle autorità italiane, riguarda le attività illecite che si sono spostate dal mondo fisico a quello digitale. Secondo il report Clusit 2022, nella sezione in collaborazione con la Polizia Postale, è infatti emerso il continuo aumento di crimini digitali, sempre più capillari e puntuali. Questo trend, che è iniziato anche in seguito allo scoppio della guerra cibernetica, continuerà anche nel nuovo anno.

Inoltre, ci troveremo ad affrontare gruppi criminali che uniranno le forze per mettere a punto attacchi sempre più sofisticati e mirati. Agendo come vere e proprie organizzazioni, il cui obiettivo è quello di trarre un guadagno, nell’ultimo anno è spesso capitato di notare delle collaborazioni tra diverse organizzazioni criminali che, focalizzandosi su specifici ambiti della criminalità informatica, sono riuscite a creare vantaggi competitivi. Grazie alla segmentazione delle competenze richieste per perpetrare attività illecite di cyber crimine, infatti, ciascuna organizzazione offre la propria verticalità sul mercato col fine di creare partnership e collaborazioni, proprio come avviene normalmente tra aziende. Questo aspetto crea un ulteriore strato di difficoltà, per un settore che già di per sé è estremamente verticale e che sta a sua volta segmentando questa verticalità.

Un altro aspetto che vogliamo sottolineare riguarda il binomio sicurezza informatica e innovazione tecnologia, due termini che procedono di pari passo. Le aziende che si approcciano all’innovazione, devono avere ben chiaro quali implicazioni essa crea a livello di sicurezza informatica; così anche quelle che si approcciano alla sicurezza informatica devono capire quali innovazioni adottare per poterne trarre un vantaggio concreto. È inutile e controproducente pensare di adottare nuove tecnologie e processi seguendo gli ultimi trend del mercato, senza tener conto dei propri processi aziendali interni o della propria cultura aziendale.

La sicurezza informatica deve diventare un processo continuativo, strutturato e guidato da competenze verticali nel settore, anche per quanto riguarda l’acquisizione di nuove tecnologie e di innovazioni. In poche parole, è inutile dotarsi dei più avanzati livelli di monitoraggio comportamentale, se non viene prima costruita una base di controllo della rete con filtri antispam, antivirus e firewall.

Il quadro diventa ancora più complesso considerando che la nuova cybersecurity che vedremo nel 2023 sarà quindi:

  • Sistemica (coinvolgerà tutte le persone, organizzazioni e tecnologie di diversa natura e provenienza geografica)
  • Sociale (l’impatto della cybersecurity non si limiterà ai sistemi informativi, ma avrà ripercussioni sociali, economiche e politiche)
  • Mutevole (il fenomeno della criminalità informatica, come più volte ripetuto, è costantemente in crescita).

Proprio considerando l’impatto sistemico e sociale della Sicurezza Informatica nel 2023, le imprese non potranno fare a meno di investire in assicurazioni che tengano conto del rischio informatico. Un attacco informatico può costare dai 100.000 ai 3,8 milioni di euro, sia per quanto riguarda il ripristino del funzionamento delle attività sia per il pagamento di eventuali risarcimenti.

Questi numeri spesso segnano il fallimento per molte aziende e proprio per questo sono nate polizze specifiche per il cyber risk, pensate per tutelare dai danni causati da attacchi informatici. Tuttavia le stesse assicurazioni stanno diventando sempre più complesse, con il rischio di diventare poco utilizzate e quindi inutili.

Come ultimo tema, per il 2023 si segnalano due importanti cambiamenti a livello di regolamentazioni internazionali: da una parte la pubblicazione in Gazzetta Ufficiale EU del Regolamento Digital Operational Resilience Act (DORA), che entrerà in vigore a Gennaio 2023 (con applicazione a partire dal 17 Gennaio 2025); dall’altra la Direttiva NIS2, a cui gli stati membri dell’UE dovranno adeguare le proprie normative nazionali entro Ottobre 2024.

Queste due operazioni mirano da un lato ad incrementare le misure di sicurezza a favore della resilienza e della sicurezza informatica del settore finanziario, dall’altro lato ad introdurre obblighi più stringenti, semplificando alcune procedure.

In attesa che entrambe entrino in vigore ci chiediamo, quali impatti avranno sulle imprese italiane il prossimo anno?