Arriva alla settima edizione #SecurityBarcamp di Trend Micro, la seconda completamente “online”. E cade in un momento particolare, con le aziende impegnate nei progetti di trasformazione digitale che vedono nel cloud l’ideale acceleratore per la realizzazione di nuovi servizi. Così come lo è per il cybercrime però, che ne sta utilizzando le potenzialità. Se il cloud, nel 2022 continuerà ad essere importante per la DT delle aziende, infatti, anche i cybercriminali, saranno pronti a sfruttarlo, così come nel corso degli ultimi due anni hanno saputo concentrare i propri sforzi sugli attacchi ransomware diretti verso tutti i servizi esposti, facilitati anche dall’alto numero di dipendenti impegnati da remoto. Le vulnerabilità sfruttate in tempi più rapidi, rispetto alla capacità di detection delle organizzazioni, la fragilità dei sistemi IoT, come di quelli OT, con un utilizzo pervasivo di sensori – e una connettività sempre più estesa all’edge – hanno di fatto dissolto l’idea di “perimetro”. E questo ha avuto un impatto importante anche sulle supply chain.
Sono i temi chiavi in occasione dell’incontro in cui Trend Micro presenta anche le evidenze fondamentali del rapporto dal titolo Verso un Nuovo Slancio, sulla scorta dell’esperienza anche di Puntozero (Regione Umbria) e Acea. Ne parlano Robert McArdle, director Ftr Cybercrime Research, con Gastone Nencini, country manager Italy per Trend Micro, e Giancarlo Cecchetti, responsabile sistemi e responsabile della sicurezza informatica per Umbria Digitale (ora Puntozero) con Massimo Ravenna, Ciso di Acea.
Si parla di “evoluzione del cybercrime, non certo di rivoluzione – spiega McArdle –. Il cybercrime sa fare tesoro dell’esperienza maturata, ma soprattutto sfrutta le nuove tecnologie, per operare in scenari sempre più interconnessi” che permeano ogni tipologia di processo a vantaggio dalla velocizzazione legata alla digital transformation.
“Certo, il cloud così come è centrale per l’evoluzione del business, lo è anche per quella del cybercrime – prosegue McArdle –. E tuttavia la fotografia del report Trend Micro evidenzia come siano di fatto sei le principali criticità sotto la lente: oltre al cloud le minacce ransomware, i vulnerability exploit, i cosiddetti commodity attacks, IoT threats e proprio gli attacchi alle supply chain“.
Soprattutto, il ransomware è sempre più “as a service ed un vero e proprio modello di business“; oggi vede la “collaborazione di una supply chain articolata composta da fornitori di servizi e associazioni criminali impegnate negli attacchi alle aziende”. Per questo è importante comprenderne il funzionamento e il ruolo di tutti gli attori di filiera. In primis, la minaccia ransomware è evoluta puntando su meccanismi di estorsione, piuttosto che sul semplice ricatto basato sull’encryption dei dati. E oggi si parla addirittura di “quadrupla estorsione” che comprende la possibilità di tenere in ostaggio i dati critici di una vittima fino al pagamento di un riscatto, la minaccia di diffusione delle informazioni e della pubblicizzazione della violazione, la minaccia ulteriore di attacchi ai clienti della vittima e, infine, di attacchi la supply chain dei fornitori della vittima.
Meccanismi di estorsione su più fronti quindi: nei confronti dell’azienda, ma anche nei confronti degli utenti, per massimizzare le possibilità di guadagnare dal singolo attacco. Per esempio, anche attraverso campagne di spam in grado di moltiplicare i propri effetti. In questi casi la “filiera” di chi propone soluzioni di malware “as a service” e di chi poi le utilizza prevede di fatto una vera e propria economia “parallela” con sistemi di redemption e guadagno non così lontani da quelli del mondo reale e delle dinamiche “mercenarie”.
“L’Italia è allineata di fatto a questo scenario, tra i Paesi più colpiti da questa evoluzione – spiega Nencini – e paga il fatto di un tessuto economico composto prevalentemente da Pmi, dove gli investimenti in cybersecurity sono spesso limitati o inadeguati”. Negli ultimi mesi, nel nostro Paese, la pandemia ha aperto scenari vantaggiosi per gli attaccanti, anche in relazione all’utilizzo intensivo del lavoro remoto. “Una sorta di tempesta perfetta che infatti si è manifestata anche nei diversi casi di attacchi ransomware subiti da importanti enti pubblici e privati”. Le Pmi quindi saranno esposte nel corso del 2022 agli attacchi di affiliati a servizi RaaS (Ransomware-as-a-Service) e dei piccoli cybercriminali che sfruttano malware commodity mantenendo un basso profilo. In particolare, i dispositivi IoT usati dalle Pmi saranno gli obiettivi principali di questi attacchi.
Anche l’utilizzo crescente delle piattaforme di e-commerce e la nuova generazione di app aziendali per la vendita diretta sono al centro dell’attenzione degli attaccanti, “in uno scenario – prosegue Nencini – in cui deve essere chiaro che gli utenti sono allo stesso tempo vittime e il prodotto venduto, quando vengono commercializzati i loro dati sensibili (email, numeri di telefono, etc.)”.
Trend Micro, l’analisi dei trend cybersecurity 2022
Ecco allora in sintesi i principali trend cui sarà importante prestare attenzione nel corso del 2022. Per quanto riguarda il ransomware, saranno i server saranno il principale obiettivo. I cybercriminali che desiderano accedere a bersagli aziendali si concentreranno quindi sui servizi esposti e sulle compromissioni server, piuttosto che sugli endpoint, e gli attacchi saranno ancora più mirati; mentre in ambito cloud il cybercrime si rivelerà contemporaneamente innovatore e tradizionalista, “adottando un approccio shift-left per seguire le ultime tendenze tecnologiche e continuando a usare tecniche più che collaudate per colpire gli utilizzatori del cloud e in particolar modo gli ambient DevOps e le Api, utilizzate per effettuare attacchi su larga scala”.
Inoltre il 2022 sarà l’anno delle vulnerabilità zero-day, con una riduzione ulteriore dei tempi necessari per trasformare una vulnerabilità in vera e propria arma di attacco (fino a pochi giorni/ore).
Le informazioni associate all’IoT poi diventeranno merce preziosa per l’underground cybercriminale. Non si tratta semplicemente di assumere il controllo di gadget IoT, per disporre di una comoda base di attacco per ulteriori attività criminali – o per muoversi lateralmente all’interno delle reti attaccate – quanto piuttosto di poter estendere ulteriormente gli ambiti di possibili attacchi, di fatto con il crescere della digitalizzazione ad ogni ambito della vita quotidiana delle persone. E per questo, sotto scacco finiranno anche le supply chain nel mirino di tecniche di quadrupla estorsione, cui abbiamo già accennato.
L’esperienza di Umbria Digitale/Puntozero e Acea
“L’insieme dei trend fotografati da Trend Micro è evidentemente sfidante – cala nella realtà dei fatti le previsioni di Trend Micro, Cecchetti, Umbria Digitale/Puntozero (nata dalla fusione di Umbria Digitale e Umbria Salute) –. La nostra è una realtà IT che svolge attività di interesse generale, e per la gestione e lo sviluppo del settore Ict regionale, e attività nei confronti dei soggetti pubblici soci secondo il modello in house providing. Comprende oltre 1.500 sistemi che trattano mezzo petabyte di dati ogni giorno. Realtà articolata e difficile da gestire anche perché conferiscono su Puntozero diversi enti ed è vivo il problema dell’aggiornamento di generazioni infrastrutturali obsolete con il relativo software applicativo”.
Le difficoltà tecniche si associano con quelle di un’effettiva security awareness. Gli investimenti sono comunque insufficienti ai bisogni, ed il tema cybersecurity non vede ancora il livello di attenzione necessario, mentre sarebbe tra i problemi preponderanti da affrontare. Questo aspetto è riconducibile, esso stesso, ai rischi legati al “fattore e all’errore umano”, che non è riducibile solo “alle disattenzioni nel fare clic dell’utente finale, ma comprende una effettiva carenza di attenzione proprio nella stesura dei budget e dei piani operativi, mentre il cybercrime, proprio in questi anni, ha ampiamente dimostrato di non risparmiare più nemmeno le realtà al servizio delle persone, come la sanità.
Si aggancia Massimo Ravenna (Acea): “E’ evidente che con l’estensione della superficie digitale, crescano i rischi anche per un soggetto come Acea che gestisce e sviluppa al servizio della produzione e della distribuzione di energia e della distribuzione delle risorse idriche sistemi IT, IoT e OT“. E per questo è più che mai importante fare i conti con una “quarta dimensione”, oltre alle precedenti, “che richiede una visione di insieme con al centro la cybersecurity. Sistemi, processi, competenze devono fare i conti con questo tema”. E’ necessario parlare quindi di “security by field”, significa “adottare un approccio di security by design sulle risorse ma innestato in tutto il flusso operativo” e riuscire a comunicare in modo corretto anche con i board le necessità di questo approccio.
Il contesto per ben operare, grazie anche ai fondi del Pnrr, potrebbe essere favorevole. Anche se Nencini non manca di evidenziare come “sui 42 miliardi complessivi disponibili per la digitalizzazione, leggere un capitolo di appena 620 milioni di euro per la cybersecurity è limitativo, anche nella speranza che la digitalizzazione “sicura” sia inclusa per definizione di default nei nuovi progetti”. Per farlo è necessario oggi estendere l’osservazione, non solo su cosa avviene all’interno delle aziende, ma anche tenere un approccio vigile – per esempio, in collaborazione con gli altri attori della supply chain – con i partner, con i fornitori, utilizzati spesso come cavalli di troia per violare le aziende. E per questo “serve la collaborazione di tutti, in primis quella tra i vendor, ma non solo”.
Per quanto riguarda l’approccio pratico alla cybersecurity, Cecchetti spiega: “Abbiamo virtualizzato infrastruttura e reti, con datacenter e networking software defined che ci hanno concesso di “parcellizzare” in modo adeguato l’infrastruttura, quindi abbiamo strutturato le linee di difesa per livelli successivi, mitigato i rischi sui sistemi vetusti anche attraverso soluzioni di patching, ma certo riconosciamo l’importanza di estendere i nostri programmi per la sicurezza oltre la tecnologia e i componenti fino ad agire su processi e persone e per questo, soprattutto nella PA serve crescere anche nelle competenze”.
La sfida per il prossimo anno sarà integrare le forme di difesa e riuscire a poter sfruttare in tempi rapidi gli IoC (Indicators of Compromise) finanche dagli apparati di frontiera, mentre si auspicano, proprio in relazione al tema della convergenza di intenti, solidi interventi da parte delle agenzie per la cybersecurity affinché “gli sforzi di protezione non siano vanificati da un contesto in cui comunque gli altri attori continuano a non avere limiti di azione”.
Per Acea, la virtualizzazione dei sistemi di controllo e l’integrazione tra IT, IoT, e OT rappresentano parte integrante dei processi di digitalizzazione, per quanto la sfera dei servizi di distribuzione dell’acqua abbia una maturità in questi ambiti decisamente minore.
Sarà importante quindi soprattutto compiere passi avanti in questo senso attraverso la “realizzazione di ambienti di testing e puntare sull‘assessment per sviluppare un’effettiva capacità di reazione su tutte le infrastrutture”, che per il contesto in cui opera Acea sono evidentemente critiche.
I fondi resi disponibili dal Pnrr in questo senso si riveleranno utili anche per “realizzare un combinato disposto tra esigenze di evoluzione ecologica dei processi, delle infrastrutture operative e la gestione del ciclo energia e acqua coerente con l’evoluzione delle sfide della cybersecurity che deve entrare in “stream” nel ciclo di vita dell’azienda e nei processi operativi”.
La parola d’ordine che mette d’accordo tutti è “visibilità“ che permette di integrare tecnologie e servizi e architetture realtime, monitoring e orchestrazione, con maggiore sensibilità e precisione. Chiude Nencini: “Consapevolezza e accelerazione nei tempi di risposta le si affiancano per fare bene”.
© RIPRODUZIONE RISERVATA