Così come il 2021 è stato l’anno degli attacchi zero day, il 2022 potrebbe essere ricordato come l’anno dello zero trust. Lo dice Eric O’Neill, National Security strategist, Vmware cercando di mettere a fuoco l’evoluzione della sicurezza informatica prevista per il 2022: “Abbiamo visto una massiccia proliferazione di strumenti di hacking, vulnerabilità e capacità di attacco sul Dark Web. Come risposta, il 2022 sarà l’anno zero trust, atteggiamento che dovrebbe portare le organizzazioni a “verificare tutto” e ad adottare questo atteggiamento pur consapevoli che potrebbero comunque essere violate. Questo uno degli elementi chiave per respingere gli attacchi nel 2022″.
Furto delle credenziali, supply chain e cyberattacchi sulle industrie critiche, esfiltrazione dei dati dalle infrastrutture multicloud, rischi legati al fattore umano e la fragilità dei sistemi operativi più utilizzati negli scenari cloud (Linux), tra gli aspetti che più meritano di essere tenuti presenti nelle strategie difensive. In linea, d’altra parte, con le evidenze emerse dal più recente rapporto Clusit 2021 che fotografa un anno in cui gli attacchi gravi compiuti per estorcere denaro alle vittime sono cresciuti del 21% (sono l’88% del totale), con una quota crescente diretta verso l’Europa (dal 17% nel 2019, al 17% nel 2020, fino al 25% nel 2021). E con “il 2021 che è stato l’anno del più alto numero di zero day mai registrato”, prosegue O’Neill.
Procediamo con ordine, proprio in relazione all’analisi degli esperti di Vmware.
Per esempio, per quanto riguarda i cyberattacchi imitativi verso apparati ed industrie critici, James Alliband, senior security strategist, Vmware, riprende l’analisi a partire da un paio di eventi chiave nel corso del 2021 – l’attacco a Colonial Pipeline, che ha generato una carenza di carburante lungo la costa orientale degli Stati Uniti e l’attacco al sistema sanitario irlandese che ha causato la chiusura degli ospedali dell’intero Paese.
Secondo Alliband, sempre più “gli autori degli attacchi prenderanno di mira industrie critiche in settori come l’energia, la sanità e la finanza con l‘intento di seminare il panico, incassando così il pagamento di un riscatto. I risultati di un attacco riuscito possono essere costosi e pericolosi]…[ e questa sarà un’area di reale interesse per gli stati-nazione, con l’intento di causare disordini all’estero”. Una valutazione condivisa anche nel corso di Cyber Warfare Conference 2021 durante la quale è stata auspicata una maggiore attenzione anche da parte della politica.
Per la riduzione del rischio, è importante una serie di valutazioni. “Mentre le organizzazioni mettono in atto la segmentazione della rete – interviene Tom Gillis, Svp e general manager Vmware network e advanced security business group – per fermare la diffusione del ransomware, gli aggressori si sono evoluti per sfruttare le credenziali e muoversi in tutta la rete senza ostacoli. Con un set di credenziali valide, gli aggressori possono realizzare gran parte delle loro attività nefaste senza sollevare un solo allarme”.
Ed allo stesso tempo “l’enorme numero di dipendenti che lasciano il loro lavoro e che potenzialmente hanno ancora accesso alla rete o ai dati proprietari ha creato non pochi problemi ai team IT e di sicurezza incaricati di proteggere l’organizzazione”.
E’ Rick McElroy, principal cybersecurity strategist, Vmware, a sottolineare che “le minacce interne sono diventate una nuova sfida per le organizzazioni che cercano di bilanciare il turnover dei dipendenti, l’inserimento dei nuovi assunti e l’uso di app e piattaforme non autorizzate”. Nel 2022, quindi ci si attende l’incremento del numero di incidenti dovuti proprio alle minacce interne “con gli aggressori che prenderanno di mira i dipendenti per portare a termine i loro attacchi o per diffondere ransomware”.
Serviranno nuovi protocolli e linee guida per permettere alle organizzazioni di mantenere le reti e i dati sensibili protetti.
E questo su tutta la supply chain, sotto scacco, come spiega Tom Kellermann, head of cybersecurity strategy, Vmware: “La ]…[violazione di SolarWinds, il ransomware Revil ha sfruttato uno zero day in Kaseya Vsa, non rappresentano casi isolati ]…[ ed anzi nel 2022, ci si può aspettare che i cartelli del crimine informatico continueranno a cercare modi per dirottare la trasformazione digitale delle organizzazioni per distribuire codice dannoso, infiltrarsi nelle reti ed entrare nei sistemi ]…[. I difensori e le organizzazioni dovranno monitorare le reti e i servizi in modo vigile per attività sospette e potenziali intrusioni. ]…[Microsegmentazione, caccia alle minacce e capacità di telemetria avanzate possono aiutare a garantire che le organizzazioni non siano la porta d’ingresso o la vittima di un attacco gravemente dannoso”.
La digitalizzazione e l’adozione delle tecnologie cloud e multicloud non semplificano il compito, rispetto al passato, perché contribuiscono in modo indeterminato all’espansione delle superfici di attacco.
“E gli avversi possono muoversi lateralmente ed esfiltrare i dati in modo agile una volta penetrati all’interno della rete di un’organizzazione – dettaglia Chad Skipper, global security technologist, Vmware –. Così nel 2022, vedremo l’avversario concentrare i propri sforzi nel vivere e nascondersi nel rumore comune delle reti di un’organizzazione. Avere visibilità in questo rumore per identificare l’avversario diventerà più essenziale che mai nella difesa degli ambienti multicloud di oggi“.
Ambienti che sono prevalentemente operativi grazie ai vantaggi offerti da Linux che alimenta la maggior parte dei carichi di lavoro cloud e il 78% dei siti Web su Internet, ed è diventato il driver chiave dietro quasi tutti i progetti di trasformazione digitale intrapresi dalle organizzazioni, ma proprio per questo “è preso di mira dai cattivi attori che hanno sempre più iniziato ad attaccare gli host basati su Linux con varie minacce – da Rat e Web shell a cryptominer e ransomware”, come spiega Giovanni Vigna, senior director of threat intelligence, Vmware.
Vmware, 5 principi basilari per sostenere le sfide
Indipendentemente dal numero di minacce che vedremo operative e dagli attaccanti, sarebbe importante tornare a fare riferimento ai principi ed alle regole quotidiane che se applicate possono ridurre il rischio di incorre in attacchi informatici. Li richiama ancora una volta Rodolfo Rotondo, Business Solution strategist director Vmware Emea. Sono privilegio minimo sui livelli di accesso.
“Concedere all’utenza del dipendente quindi solo gli accessi di cui ha effettivamente bisogno (1)“. Quindi certo la microsegmentazione della rete in segmenti e aree circoscritte (2) “perché attraverso i punti di accesso non sia resa vulnerabile l’intera rete”. E ancora la crittografia (3) di file e dati prima della condivisione con l’autenticazione multifattore (4) sfruttando anche la biometria, “più sicura di un semplice codice Pin” (ma purtroppo ancora molto dipendente dalle password alfanumeriche in fase di impostazione). Infine il patching (5): aggiornare i sistemi è il primo passo ed invece tante infrastrutture, proprio negli ambienti più critici sono esposte in questo senso. “I malware si evolvono diventando sempre più sofisticati ed è imprescindibile essere pronti a fronteggiarli con gli upgrade che i service provider rilasciano a tale scopo”.
© RIPRODUZIONE RISERVATA
