A caratterizzare le problematiche relative alla cybersecurity nell’anno che da poco è iniziato è in primo luogo il contesto in continua evoluzione in cui si trovano ad operare le aziende. Di incertezza, certo ma anche, dal punto di vista geopolitico ed economico, dai tratti complessi che favoriscono l’attività del cybercrime. Nei prossimi mesi si assisterà quindi all’intensificarsi degli attacchi legati alla diffusione del lavoro ibrido, del cosiddetto home office – con i cybercriminali concentrati su Vpn senza patch, sui dispositivi di home office connessi e sulle infrastrutture cloud backend – ma sotto attenzione sono anche le supply chain e le realtà Industry 4.0, con AI e machine learning disponibili non solo per le strategie di difesa ma anche di chi attacca. In un certo senso si assisterà alla trasformazione e ad un’ulteriore sofisticazione delle tecniche di ingegneria sociale che verranno messe a punto ulteriormente per fare breccia nelle aziende, nelle organizzazioni della PA, sfruttando proprio l’attività social dei dipendenti e degli utenti, anche quando si muovono nella loro sfera privata.
Sono i temi al centro del confronto con gli esperti di Trend Micro – Ed Cabrera, chief cybersecurity officer e Salvatore Marcis, technical director Italy di Trend Micro, in occasione della presentazione del rapporto Future/Tense: Trend Micro Security Predictions for 2023, anche attraverso l’esperienza diretta delle aziende ed in particolare di Pirelli con Stefano Vercesi, Ciso, ed Ezio Ricca, Associate partner di Spike Reply.
Con alle spalle circa 20 anni di esperienza nei servizi segreti degli Stati Uniti, così esordisce Cabrera: “Che si tratti di crimini informatici, attacchi commissionati da diversi Paesi, hacktivism, o semplicemente cybercrime negli ultimi anni sono cresciute le minacce anche in relazione alla complessità crescente dei sistemi IT, in azienda. Il contesto attuale, a sua volta complesso, incrementa ulteriormente le chance di successo per il cybercrime”. Ma oggi è realmente possibile anche riuscire ad “anticipare” i criminali informatici e le tecnologie di AI e machine learning, utilizzate da Trend Micro in modo esteso e pervasivo da anni, “rappresentano ora il primo strumento proprio per riuscire a fare bene negli ambienti complessi, per minimizzare e mitigare i rischi. Certo consapevoli che la sfida non si gioca tanto sulla possibilità di non essere attaccati, quanto piuttosto di mostrare la resilienza necessaria per ridurre al minimo l’impatto ed i danni”.
Esfiltrazione dati e i nuovi sistemi di estorsione
Otto sono nei dettagli i trend più importanti individuati dal rapporto. Li seguiamo nella traccia proposta da Marcis: “Cambiano in primis gli scenari degli attacchi ransomware che certo perdureranno ma vedranno il cybercrime ricalibrare obiettivi e metodi, anche in relazione alle capacità che hanno dimostrato le aziende di modificare la propria postura di sicurezza e lavorare sulla disponibilità dei backup”. Per questo gli attaccanti punteranno non tanto o non solo a bloccare l’attività attraverso la cifratura dei file, quanto piuttosto a “penetrare nelle aziende, ed operarvi per riuscire ad esfiltrare i dati richiedendo un riscatto, pena la perdita di proprietà intellettuale di valore, brevetti, o ancora peggio che i dati siano diffusi e venduti, con relativi pesanti impatti anche per la brand reputation”. Quindi l’attività criminosa si concentrerà sulla monetizzazione dei dati, sottraendo informazioni rivendibili, e ricorrendo all’estorsione ma mantenendo di fatto la stessa kill chain del passato pur senza il payload rappresentato dal ransomware. L’estorsione in questa prospettiva consentirà quindi ai criminali di attirare meno attenzioni indesiderate dei media e delle forze dell’ordine.
Social engineering e deepfake
La seconda prediction considerata da Marcis mette al centro dell’attenzione “il social engineering come strumento e vettore di attacco, in particolare tenendo come obiettivo le figure aziendali apicali, per esempio sfruttando Linkedin“, per “minare” in modo critico l’attività aziendale anche attraverso la violazione delle identità e lo studio delle dinamiche di processo/relazione. Per questo, dettaglia Marcis: “si impone l’attenzione sul tema dell’awareness non solo dei dipendenti ma anche dei partner di business“. I truffatori sono impegnati a utilizzare tecniche evolute per gli attacchi Bec (Business Email Compromise), con “l’email che si conferma tra i “canali” principali che consentono di ingannare con successo dipendenti e dirigenti anche grazie alla possibilità oggi di formulare messaggi che tengono conto di una lunga attività di social engineering”, come delle potenzialità delle tecnologie di intelligenza artificiale (AI) e machine learning.
Il perimetro enterprise esteso
In apertura abbiamo considerato subito tra le prediction il cambiamento di paradigma legato al lavoro ibrido che ha dissolto il perimetro aziendale. I cybercriminali prenderanno di mira ancora i dispositivi domestici, sapendo che le apparecchiature per l’home office sono connesse alle risorse aziendali e faranno perno sulle reti connesse tramite Vpn per spostarsi lateralmente nell’azienda in target. “Le aziende che hanno pensato semplicemente di affidarsi all’adozione delle Vpn – dettaglia Marcis – sono risultate comunque facilmente vulnerabili, mentre è necessario un approccio zero trust sulla base di una verifica continua delle identità insieme all’incrocio di una serie di altri parametri legati a device utilizzati, orari, location, ed abitudini, oltre ovviamente alla segmentazione degli accessi ad app e risorse di rete”.
Cloud computing, rendere omogenea la protezione
“La crescente adozione del cloud, espone a nuovi rischi, in relazione al fatto che la scelta di architetture multicloud pone di fronte al bisogno di proteggere sistemi e processi eterogenei” – spiega Marcis -. E negli ultimi tre anni le aziende hanno adottato rapidamente la tecnologia cloud migrando asset e operation per agevolare il lavoro da casa così come l’utilizzo delle soluzioni contactless. “Velocità di migrazione, l’adozione di tecnologie cloud di nuova realizzazione e l’integrazione di questi cambiamenti nell’ambiente di lavoro ibrido, hanno rappresentato nuove sfide che almeno in parte si era impreparati ad affrontare”. Serve ora puntare all’uniformità nell’implementazione della tecnologia cloud e rimediare errate configurazioni. Si parla in questo contesto quindi anche dell’esposizione delle Api, “così come dell’utilizzo di eSim nei sistemi (e nelle auto) connessi per trasmettere dati telematici”, con i relativi rischi degli apparati di backend e frontend che se esposti possono offrire a chi attacca il pieno controllo su mezzi e sistemi.
L’esperienza italiana
Questi primi trend sollecitano la riflessione di Stefano Vercesi, Ciso Pirelli, in due direzioni. Vercesi sottolinea in primis come “la conseguenza di ogni attacco cyber è in primis un danno economico, sia in termini di produttività, sia in relazione alla perdita dei dati (i due principali pain point) e l’email rappresenta davvero un canale preferenziale anche perché spesso gli strumenti a disposizione non sono in grado istantaneamente di ‘comprendere’ il lavoro di conoscenza portato avanti da chi attacca che ha studiato nei minimi dettagli come formulare il messaggio che funge da esca”.
Torna il tema dell’awareness. Significa – anche sulla scorta di poche principali chiavi di lettura “fare in modo che diventi importante per dipendenti e line of business tenere alta l’attenzione sulla scorta magari anche di un’effettiva esperienza, più che declinando una serie di regole”. Un secondo punto chiave riguarda invece la capacità di far leva sulla virtuosa collaborazione tra i diversi attori impegnati nel comparto. Pirelli è “affiliata” all’Agenzia per la Cybersicurezza Nazionale ed in continuo contatto con il suo braccio operativo, il Csirt, anche a livello di intelligence. E, proprio grazie nella capacità di fare network, l’azienda legge il vantaggio di riuscire ad ottimizzare risposte e sistemi sfruttando l’automazione necessaria. “In un contesto – specifica Vercesi – in cui stanno cambiando in modo netto le possibilità di ricorrere al mercato assicurativo per limitare i danni, anche perché è veramente difficile quantificare il valore delle informazioni esfiltrate e di fatto si riesce ad assicurare solo in parte la perdita di produttività in conseguenza di un attacco”. “E – interviene Ezio Ricca – sempre a fronte di una serie di verifiche in relazione all’effettiva postura di sicurezza aziendale”.
Ricca coglie l’assist sul tema dell’importanza dell’awareness: “Il fattore umano resta elemento centrale di criticità. E’ il dipendente, nella maggior parte dei casi, ad aprire le porte agli hacker, per quanto inconsapevole; purtroppo la robustezza di una catena di protezione si misura proprio in relazione all’anello più debole”. Nella catena poi ci sono anche i partner di business e gli attori della supply chain, “per cui il lavoro di awareness dovrebbe essere effettivamente valutato a 360 gradi e si dovrebbe parlare di supply chain awareness, includendo quindi anche – per esempio – le verifiche sulle forniture dei materiali”. Formazione, test sul campo, simulazioni anche in condizioni difficili da gestire dovrebbero entrare tra le pratiche comuni. “Soc non integrati con i Siem, l’assenza di threat modeling e di policy, rappresentano poi gli ulteriori elementi critici a fronte dei quali anche la migliore delle tecnologie può poco”, chiude Ricca.
Hype in calo su Nft e Metaverso, occhio a blockchain
Si è visto nel corso dell’ultimo anno come anche le “crisi” delle cryptovalute abbia contribuito all’evoluzione del ransomware; Marcis sottolinea a questo riguardo che “per il 2023 assisteremo allo scemare di interesse nei confronti degli Nft e del metaverso, ma non delle blockchain” vero territorio di frontiera e alla base della registrazione sicura e decentralizzata delle transazioni che riguardano le criptovalute, per questo gli attaccanti saranno attirati da siti che agiscono da banche e broker specializzati in moneta digitale, senza tuttavia essere vincolati agli stessi obblighi assicurativi e di trasparenza dei tradizionali istituti finanziari, mentre si assisterà senza dubbio “ad un incremento del rischio proprio riguardo l’utilizzo delle criptovalute in relazione alle problematiche di exchange ed alle relative piattaforme”.
Industria 4.0, OT e IT richiedono competenze
“Attacchi IT e OT sono strettamente correlati, il confine è sempre più sfumato. Anzi, vi è come una sorta di permeabilità tra le due sfere funzionale alla valorizzazione dei dati, ma anche in grado di incrementare le vulnerabilità”, spiega Marcis. Si pensi anche solo ai dispositivi IoT non protetti a partire dalla componentistica utilizzata. “Le aziende acquisiscono consapevolezza in proposito ma – interviene Vercesi – si fatica a reperire talenti in grado di comprendere a fondo le tecnologie e di valutarne effettivamente il grado di sicurezza”. Anche per questo nel 2023 gli ambienti OT/Ics (Operational Technology/Industrial Control Systems) saranno tra quelli maggiormente colpiti dalla carenza di competenze nella sicurezza. Ricca: “Bene, nella protezione IT/OT, l’attenzione oggi più elevata anche da parte dei regolamentatori, siano essi di settore o governativi. Anche considerando come oggi la partita la partita della sicurezza dei componenti” non sia solo sfida tecnologica ma anche geopolitica. Sempre in ambito IT/OT è interessante segnalare il lancio di Trend Micro in questi giorni relativo a CTone, la nuova società controllata che si focalizzerà sulla cybersecurity di avanguardia per le reti 5G. CTone servirà le organizzazioni che hanno bisogno di integrare le risorse per combattere in modo efficace le minacce che emergono nelle reti 5G private.
Software open source, utilizzo protetto
I criminali trovano vantaggio nello sfruttare le vulnerabilità dei software non aggiornati e patchati ma cercheranno di colpire anche moduli e componenti di largo utilizzo per lo sviluppo rapido ma la cui sicurezza è spesso trascurata, così come accade spesso di verificare anche nelle librerie software open source. Serve controllare e sostituire i protocolli obsoleti presenti nelle proprie reti, così come ovviare ai problemi legati alla mancanza di visibilità delle aziende sui dispositivi. “Inoltre – spiega Marcis – bisogna puntare su modelli di sviluppo innovativi come la metodologia agile, per esempio, e SecDevOps, in quanto in grado di assicurare software più sicuro, a patto di una effettiva implementazione a regola d’arte”.
Un modello di sicurezza a 360 gradi
Per far fronte alle sfide bisogna poter contare su piattaforme di sicurezza in grado di abbracciare a 360 le realtà operative e di processo, per un approccio olistico. Continuare a puntare su soluzioni verticali eterogenee espone infatti ad una serie di rischi non più sostenibili e nel migliore dei casi sottopone comunque Cso e i Ciso ad inutili stress generati dal moltiplicarsi di alert cui non si riesce a dare un significato o a valutarne l’importanza. Marcis: “Invece, la proposta di una piattaforma di cybersicurezza unificata è destinata a favorire nelle aziende la visibilità necessaria anche su asset eterogenei, ambienti cloud diversi, reti e sistemi operativi, anche negli scenari OT complessi”.
La disponibilità di analisi comportamentali, sulla scorta dell’utilizzo del machine learnig, dell’AI e su un’effettiva integrazione tra Siem e Soc abilita la possibilità di approdare ad un modello in cui l’orchestrazione, l’automazione, e la risposta agli attacchi agiscono in modo coordinato ad incrementare il livello di security. “Il dialogo tra tutti gli attori di filiera e con gli organismi, come l’Acn, insieme all’orchestrazione tecnologica ed ai modelli di protezione zero trust – specifica Ricca – sono alla base di un approccio corretto al problema cybersecurity, così come la capacità di puntare all’ideale di security by design su tutta la supply chain”. Vercesi: “Il rischio è inevitabile continui ad accompagnare le attività di ogni settore ma oggi effettivamente l’attenzione è cresciuta. E tra le evidenze anche dal report World Economic Forum, c’è che si è sensibilmente ridotta la distanza tra business e technical leader, soprattutto nelle aziende enterprise”. Serve non ridurre l’impegno negli investimenti, anche se in un contesto economico complesso e continuare a far leva sul Pnrr, consapevoli comunque che grazie all’attività dell’Acn, affrontando i problemi cybersecurity con un’ottica di collaborazione, l’Italia si trova già oggi orientata in questa direzione ed in una posizione di vantaggio.
© RIPRODUZIONE RISERVATA
