logo

CybergON Blog

Advancing the State of Cybersecurity.

Almanacco 2023: Eventi e Considerazioni

L’almanacco era il luogo in cui i cammelli effettuavano lo scarico e il carico delle merci. Nel nostro Almanacco, in maniera non dissimile, trattiamo le evidenze dell’anno appena trascorso e le tendenze di quello venturo.

Gli attacchi continuano a crescere anno su anno sia a livello globale, sia sul territorio italiano e sia in termini di varietà, che di quantità. In Italia gli attacchi di criticità elevata registrati nei primi 6 mesi sono 91, vale a dire che il belpaese ha visto una crescita del 40% rispetto all’anno precedente e del 300% se si considerano gli ultimi 5 anni.
Questo emerge da report quale il Clusit o l’ENISA Threat Landscape, entrambe nelle versioni di ottobre 2023 che vanno ad indagare il primo semestre dell’anno in corso.

Possiamo dirci lontani globalmente e in maniera particolare sul nostro territorio da un livello adeguato di protezione dal cyber crime; tuttavia, bisogna considerare che il numero sempre crescente degli attacchi informatici possa essere correlato anche a un maggior e miglior livello di tracciamento dovuto a tecnologie più all’avanguardia e diffuse, sì nei centri di ricerca ma soprattutto nelle aziende medie e grandi che stanno adeguando i livelli di investimento al rischio concreto. Bisogna quindi riconoscere che il livello di consapevolezza stia gradualmente aumentando, ma che probabilmente il gap rispetto al tasso di crescita delle aziende del cyber crime e dei loro attacchi è ancora molto, troppo, importante.

Malware, Vulnerabilità (note e 0-day) e Phishing si confermano tra le tipologie di attacco più utilizzate, seguite da DDoS e via via le restati categorie di attacco, come quelli con tecniche multiple, attacchi web o furto di identità.

Almanacco 2023 cybergon

Il 2023: cloud, AI e modelli di business

Avendo visto come si è mosso l’andamento a livello di scenario, proponiamo un’analisi su quelli che sono stati gli insight del 2023 e cosa possiamo aspettarci dal 2024.

L’hot topic del momento è ovviamente l’AI con le sue sfaccettature e tutti i dibattiti che si porta dietro. Sorvoliamo sulle questioni etiche e andiamo dritti al punto ragionando su come l’utilizzo delle intelligenze artificiali possa aver facilitato l’attacco e la difesa. L’incremento dei chatbot AI ha avuto un impatto sul panorama delle minacce cyber. L’adozione esponenziale di chatbot generativi da parte degli utenti ha ulteriormente contribuito a far “abbassare la guardia” su condivisioni di dati, password e informazioni sensibili. Un rischio riguarda la possibilità che i cyber criminali possano manipolare i sistemi di AI per eludere le misure di sicurezza e di conseguenza esfiltrare dati condivisi. Come abbiamo detto, nel 2023 il phishing ha mantenuto il suo ruolo da protagonista grazie anche alla comparsa AI, il cui utilizzo ha reso le campagne phishing più difficili da riconoscere dall’utente, avendo l’intelligenza artificiale eliminato gli errori linguistici grossolani tipici delle comunicazioni malevole. Infine, è stata sfruttata per creare codice malevole o individuare e sfruttare vulnerabilità. Per chi si occupa di difesa, invece l’intelligenza artificiale ha svolto un ruolo nella threat intelligence mediante l’analisi di documenti e informazioni utili e flussi di lavoro più snelli ed autonomi.

Nonostante il Cloud sembri un tema sdoganato anche in Italia, di fatto, il mercato, specialmente quello legato all’Hybrid Cloud, è cresciuto per tutto il 2023 del 24% sancendo ufficialmente il sorpasso della nuvola sull’on premise (Fonte: Osservatorio Cloud Transformation Polimi). L’adozione di strategie di difesa adeguate ha quindi comportato i primi grandi investimenti nell’anno appena trascorso e ci auguriamo che ci sarà un consolidamento in quello a venire, dal momento che il cloud risulta enormemente appetibile per l’ingente quantità di dati che vi circola e del ruolo che riveste nell’ambito di una strategia aziendale e gli attacchi sono sempre più maturi e impattanti.

Malware e Ransomware nelle modalità as a service risultano tra le modalità di business più diffuse nel mercato del cyber crime. La possibilità, cioè, di acquistare pacchetti e usarli contro un target selezionato pur non avendo competenze tecniche ha ampliato di molto l’offerta e trovato grande riscontro già negli anni passati. Il 2023 ha visto consolidarsi questo modello con un focus su un particolare tipo di malware: l’Infostealer. Stealc, ad esempio, è un Infostealer apparso all’inizio dell’anno basato sui suoi parenti più anziani Raccoon, Vidar, Mars e Redline e ha come obiettivo l’esfiltrazione di dati sensibili dal web, portafogli di criptovalute e dati di account di app come Outlook e Telegram, con capacità di recuperare anche file degli impiegati delle aziende colpite. Gli Infostealer non rappresentano esattamente una novità, ma stiamo assistendo a una evoluzione preoccupante del modello di business che sta dando luogo anche a una verticalizzazione del mercato. Una crescente specializzazione dà vita anche a “partnership” tra gruppi criminali che a loro volta generano versioni sempre più complesse e difficili da individuare di malware che possono colpire anche moltissime aziende in contemporanea. Il successo di questa evoluzione risiede nei profitti derivanti dagli attacchi: i set di dati esfiltrati sono numerosissimi e valgono moltissimo, tanto che i forum specializzati nel dark web stanno esplodendo.

Cosa aspettarci dal 2024

Se da un lato l’AI legata a chatbot generativi ha trovato sempre più spazio, dall’altro c’è un oceano inesplorato di potenzialità e potenziali rischi legati al machine learning e all’intelligenza artificiale che potremmo dover navigare proprio nel 2024. Tra questi sicuramente è da menzionare il deep fake, ormai noto e largamente utilizzato sui social con pagine dedicate a personaggi famosi protagonisti di video improbabili (ad esempio Gerry Scotty nei panni di Freddie Mercury). Potremmo quindi assistere all’utilizzo di deep fake pericolosi legati a personalità di spicco del mondo politico – non possiamo ignorare che i conflitti attualmente in corso comportino anche una grande e complessa guerra cibernetica – o su privati, minori, personaggi famosi. Le tecnologie di protezione devono quindi crescere di pari passo e specializzarsi sempre più sulla deep fake detection affinché le aziende siano pronte ad affrontare la minaccia.

Come dicevamo, i due conflitti principali a cui stiamo drammaticamente assistendo comportano una guerra cibernetica che incrementa una tipologia di attacchi molto specifica: state-sponsored e hacktivism. Possiamo prevedere che l’instabilità geopolitica continuerà ad alimentare gli attacchi DDoS, le fughe di dati, gli attacchi di defacing e altri, e che le motivazioni alla base dell’hacktivismo diventeranno sempre più complesse e labili, confondendo il confine tra politica e business e colpendo obiettivi civili e militari. Potremmo inoltre assistere alla tentata compromissione di eventi importanti come le elezioni in USA, quelle europee o le olimpiadi estive di Parigi. Anche per queste ragioni, la cyber security sta sempre più entrando nelle agende politiche di tutte le nazioni e dei continenti che implementano regolamentazioni sempre più severe, dando mandato ad aziende e organizzazioni governative di attuare politiche stringenti sulla protezione dei dati e dei sistemi. Queste regolamentazioni andranno di pari passo con processi specifici e un approccio olistico alla sicurezza nelle aziende, che si trovano ora a fare i conti anche con uno skills shortage importante. Tematiche quali zero-trust e DevSecOps andranno via via a integrarsi con tutti gli strumenti e piattaforme che un’organizzazione possiede. Questo comporta la necessità di avere uno o più facilitatori interni che si facciano carico di questo cambiamento e il 2024 potrebbe essere l’anno per muovere alcuni passi in questa direzione.

È innegabile che la cultura della cybersecurity si stia diffondendo nelle aziende. Questo porta maggior consapevolezza rispetto ai processi, alle tecnologie e alle risorse da mettere in campo che permettono un recupero più veloce in caso di attacco informatico. Tuttavia, gli sforzi che si stanno facendo in media non sono ancora sufficienti e lo dimostra il fatto che sì, le aziende ci mettono meno tempo a risollevarsi ma continuano sempre più frequentemente a essere vittima di attacchi. Inoltre, l’offesa sta cambiando paradigma: l’obiettivo sembra essere sempre meno il fermo dell’azienda e sempre più l’esfiltrazione di dati, ciò che c’è di più prezioso nell’organizzazione. La cosa molto interessante è che alcuni attacchi informatici iniziano a chiedere riscatti molto convenienti se paragonati al ripristino dei sistemi. Nel 2024 potremmo assistere a un rafforzamento di questo modello di business.