Il 2022 si è appena concluso e la maggior parte dei CISO e degli esperti in sicurezza informatica si sente sopraffatta da un anno che non ha visto tregua sul fronte della cybersecurity, caratterizzato da tecniche e tecnologie sempre più avanzate e sofisticate, per aggirare le misure di sicurezza aziendali.
La cybersecurity “giusta” per difendere aziende e PA: ecco su cosa puntare
Il ransomware continua a far danni
Nel 2022, per le aziende europee, il ransomware è rimasta la minaccia più persistente e pericolosa, nonché quella più dispendiosa economicamente. Proprio il ransomware continuerà ad essere lo strumento più dannoso del crimine informatico. Secondo il Global Threat Report 2022 di CrowdStrike, durante l’anno in corso si è verificato un preoccupante incremento annuale di fughe di dati legate ad attacchi ransomware, pari all’82%, con un costo medio di 1,72 milioni di euro per le aziende colpite da questa tipologia di attacco informatico.
È facile comprendere il fascino che il ransomware esercita sui criminali informatici: è sempre più semplice da usare e molto redditizio. Nel corso degli ultimi due anni, ottenere e utilizzare strumenti di ransomware è infatti diventato più semplice che mai, con un ecosistema di fornitori criminali che offrono Ransomware-as-a-Service insieme ad altri elementi fondamentali per le varie fasi dell’operazione, dalle credenziali rubate ai servizi di pagamento, fino al riciclaggio di denaro, anch’essi disponibili come servizi di terze parti da un’ampia gamma di fornitori. Basti pensare che nel 2022, per iniziare ad operare come un criminale informatico, è sufficiente una carta di credito. Questo coordinamento di fornitori di servizi criminali per fornire specializzazione e automazione è purtroppo destinato a crescere nel corso del prossimo anno. Il ransomware continuerà ad espandersi finché la maggior parte delle aziende avrà adottato strumenti avanzati in grado di rendere più redditizie altre tecniche di attacco informatico.
Il rischio per l’Europa
Anche le aziende europee non saranno risparmiate dal cybercrimine nel corso del 2023. Mentre alcuni Paesi hanno raggiunto un maggiore livello di maturità del rischio e delle difese disponibili, in Europa lo scenario è più frammentato e, specialmente in alcune aree del continente, c’è una minore comprensione delle best practice di difesa informatica. In particolare, una parte delle aziende è ancora scettica nei riguardi delle tecnologie in cloud, oppure non è in grado di compiere adeguate scelte tecnologiche a causa di incomprensioni o confusione sulle normative locali, regionali e sui requisiti in termini di privacy.
Queste attitudini sono destinate a cambiare nel corso del tempo: non potrà esserci privacy senza sicurezza informatica. I dati rubati o trapelati non sono più privati, indipendentemente dalle leggi o dai regolamenti applicabili. A sua volta, la tecnologia moderna è necessaria per risolvere una minaccia moderna: soltanto le soluzioni di cybersecurity di nuova generazione e basate sul cloud, che attingono ai big data da tutto il mondo, sono in grado di mantenere al sicuro qualsiasi tipo di dato.
La maggior parte dei Paesi di tutto il mondo teme il rischio di una recessione economica, per molti già in corso, con la conseguenza che si verificheranno importanti tagli ai costi che comprenderanno anche una riduzione del budget riservato alla tutela della sicurezza informatica. Ridurre e consolidare il numero di prodotti con licenza in quest’area potrebbe avere senso, anche se il mantenimento dei migliori livelli di sicurezza informatica non è negoziabile in nessun contesto aziendale.
Ciononostante, molte aziende dispongono di molti più strumenti di quelli realmente necessari. Dai colloqui con i CISO emerge come non sia raro, per le aziende, disporre di più prodotti di cybersecurity. Questo non le rende immuni agli attacchi e, anzi, in molte aziende i livelli di sicurezza e le prestazioni dei team ne risentono a causa di notifiche e controlli ridondanti o eccessivi. Lavorare per ottenere un unico punto di analisi, consolidato attraverso una piattaforma unitaria, non solo consentirà di risparmiare sui costi, ma anche di aumentare la produttività e le prestazioni degli analisti di cybersecurity.
Il campo di battaglia del 2023
Nel corso del 2022 abbiamo constatato alcune evoluzioni nelle tattiche di attacco ransomware degli avversari informatici. L’estrazione di dati sensibili e i tentativi di estorsione basati sulla vendita o pubblicazione di informazioni rubate ha registrato un considerevole aumento. Nel corso dell’anno si è infatti verificato un numero di casi in cui la tradizionale cifratura dei dati delle vittime non ha fatto parte dell’attacco, mentre l’avversario è passato direttamente alla minaccia di esporre i dati, con tutti i danni legali, normativi e di reputazione che tali fughe comporterebbero. La tattica di estorsione vale potenzialmente milioni di euro per ogni attacco e può essere ripetuta senza alcuno sforzo aggiuntivo da parte degli avversari, finché i dati mantengono un valore per i legittimi proprietari.
In modo analogo agli anni precedenti, continueremo a registrare il successo di tattiche sempre più sofisticate da parte degli avversari, che non si avvarranno più di attacchi basati sul malware ma – al contrario – si concentreranno su tecniche di attacco prive di malware. Poiché le aziende continuano a concentrarsi sul malware, questi attacchi interattivi hanno iniziato ad avere ampio successo per gli autori delle minacce informatiche, rappresentando il 71% delle violazioni riuscite, con un aumento del 50% rispetto all’anno precedente. Da sempre pragmatici, i criminali informatici si concentrano ora su attacchi basati sull’identità, in base ai quali, anziché introdursi nel sistema della vittima, sono in grado di effettuare un semplice login, utilizzando credenziali autentiche ma rubate, disponibili sui mercati clandestini del dark web o attraverso altre tecniche.
Questa transizione verso attacchi privi di malware registra una forte crescita sin dal 2019, delineando uno scenario in cui la protezione dell’identità diventerà il cuore pulsante della cybersecurity nel 2023. Oltre alle politiche consolidate e ben comprese sulle password forti, le aziende devono adottare nuove tecnologie, sviluppate appositamente per rendere ai criminali più complesso sferrare attacchi basati sull’identità. Gli esperti in sicurezza informatica devono pertanto stabilire politiche zero trust e tecnologie per supportarle. È inoltre necessario interrogare ogni identità presente in rete e utilizzare una serie di tecniche per convalidarne la legittimità. Il partner tecnologico scelto deve offrire diversi modi per stabilire (o meno) tale legittimità. I dati dell’organizzazione devono essere suddivisi in base alle esigenze dei diversi ruoli all’interno dell’organizzazione. Un addetto alle vendite potrebbe avere legittimamente bisogno di accedere ai dati dei clienti, ad esempio, mente un addetto alla produzione probabilmente no.
Oltre alle identità, nel corso del 2022 anche le API sono diventate parte del campo di battaglia della sicurezza informatica, un trend che permarrà anche per il 2023 e oltre. Gartner prevede che proprio le API presto diventerà il vettore di attacco più comune. Molti servizi cloud e SaaS sono accessibili e controllati attraverso le API, che consentono di estenderne le funzionalità e il flusso di dati attraverso diverse applicazioni. Questa è la chiave che determina la potenza e la popolarità del cloud e del SaaS, ma come molte altre tecnologie emergenti, ha ottenuto l’attenzione degli autori delle minacce informatiche. È stato infatti registrato un numero di attacchi di successo in questo dominio e le aziende attente al tema della sicurezza informatica avranno già adottato soluzioni in grado di archiviare e assimilare segnali provenienti da diversi parti dell’infrastruttura IT, nonché dagli endpoint.
La strada giusta da percorrere: i partner non la tecnologia
La tecnologia si muove molto velocemente e anche questo è un dato di fatto che non subirà cambiamenti nel 2023. Gli strumenti e i processi che nel 2022 sono stati considerati come best practice, entro la fine del prossimo anno potrebbero diventare obsoleti, determinando importanti implicazioni anche per quanto riguarda la scelta del giusto fornitore. Concentrarsi esclusivamente su un particolare prodotto o tecnologia non è sufficiente, soprattutto poiché questi hanno intrinsecamente una breve durata. È più opportuno affidarsi ad un fornitore che diventi un partner, a maggior ragione in un periodo determinato da forte incertezza, che sia in grado di offrire la flessibilità ed il supporto necessari, specialmente in uno scenario caratterizzato da tecnologie e minacce in continua evoluzione. Un’azienda partner consentirà di raggiungere elevati livelli elevati di supporto per i propri clienti, offrendo trasparente sulle sue capacità attuali e sulla sua roadmap.
