Immagine di kjpargeter
E’ trascorso oramai oltre un anno dal completamento dell’acquisizione di Mandiant, da parte di Google. E si sono pertanto attivate anche tutte le sinergie tra i gruppi di lavoro, sinergie che rappresentano poi il reale valore aggiunto delle operazioni di questo tipo. In questo specifico caso tra i risultati di inizio 2024 c’è anche la prima edizione del Google Cloud Cybersecurity Forecast che è proprio il frutto della collaborazione tra i diversi team di security di Google Cloud che oggi comprendono Mandiant Intelligence, Mandiant Consulting, Chronicle Security Operations, Google Cloud’s Office Ciso e Virustotal.
Quelli che prima erano report diversi, preparati da diverse business unit, ora sono raccolti in un unico contributo organico che si propone come scopo quello di “aiutare i professionisti della sicurezza a prepararsi alle certezze e alle incertezze dell’anno a venire”, lungo un percorso che è sempre in evoluzione e per questo richiede a chi si occupa della “difesa cyber” di continuare a “tenere il passo”. E tenere il passo oggi significa prima di tutto prepararsi al nuovo scenario per cui l’intelligenza artificiale servirà sempre di più a scalare le operations cybersec a vantaggio sia degli attaccanti, sia dei difensori.
Basta pensare da una parte alle operazioni di phishing, al furto delle informazioni e ai deep fake sempre più sofisticati grazie all’AI di intelligenza artificiale, ma dall’altra anche a tempi di risposta e analisi grazie all’AI più rapidi e approfonditi.
Gli esperti di intelligence che osservano dalle prime linee gli eventi cybersec, interpretano i numeri evidenziando che Cina, Russia, Corea del Nord e Iran è probabile continuino le operazioni di spionaggio e criminalità informatica per raggiungere i propri obiettivi geopolitici. In particolare, gli attori cinesi dello spionaggio informatico
continueranno a lavorare su segretezza, riduzione delle opportunità di rilevamento e di attribuzione degli attacchi, tenendo come priorità a lungo termine la stabilità interna e l’integrità territoriale l’influenza politica ed economica sui mercati chiave.
Gli attaccanti russi invece continueranno anche per il 2024 a focalizzarsi in primis sulla questione Ucraina che rappresenterà ancora la principale attività di minaccia anche per il 2024. Secondo il report invece, la Corea del Nord si focalizzerà nel 2024 nel prendere di mira il settore delle criptovalute e delle piattaforme legate alla blockchain, in particolare per ridurre le pressioni della comunità internazionale lato finance. Gli esperti infine si attendono che le ambizioni geopolitiche dell’Iran, le esigenze di sviluppo economico, la concorrenza con i rivali regionali – Arabia Saudita e Israele – le minacce alla stabilità e alla sopravvivenza del regime e la sorveglianza sulla diaspora iraniana e sui gruppi di opposizione saranno i fattori chiave delle attività di attacchi cyber sponsorizzate da quel Paese nei prossimi anni. Solo alcuni esempi a seconda delle diverse geografie.
La situazione in Ucraina poi sta mostrando la dipendenza dalle tecnologie spaziali (Starlink, ad esempio, e altri satelliti e reti di comunicazione) durante il conflitto. E nel 2022/2023 si sono osservate la ripresa del volume dell’attività degli hacktivisti, proprio associate agli autori delle minacce che hanno espresso sostegno alla Russia o all’Ucraina. Allo stesso modo, il recente conflitto tra Hamas e Israele è stato accompagnato da una raffica di attività di hacktivisti. L’attività osservata include attacchi DDoS (Distributed Denial of Service), fughe di dati e defacement.
A questo proposito, la Mandiant Intelligence sta monitorando gruppi di presunti hacktivisti che mostrano capacità superiori alla media e un significativo allineamento con le narrazioni e gli obiettivi del Paese che affermano di sostenere. Inoltre nel 2024 ci aspettiamo di vedere un’ulteriore maturazione nella capacità di sfruttare le reti di computer a tutto spettro per compromettere le infrastrutture di supporto terrestre e spaziali associate e i canali di comunicazione così da riuscire ad interdire, interrompere, distruggere o ingannare i nemici, in un contesto cyberwar sempre più sofisticato.
Per quanto riguarda lo scenario europeo, le elezioni prossime del Parlamento europeo saranno un probabile obiettivo degli attacchi, in particolare dalla Russia. Così come le Olimpiadi a Parigi. Facile in questo secondo caso pensare anche alle numerose campagne di phishing legate alla vendita dei biglietti e al merchandising, così come ad operazioni di disinformazione legate all’evento.
L’analisi evidenzia inoltre l’evoluzione nella scelte di vettori e leve per fare breccia, per esempio attraverso un utilizzo maggiore delle vulnerabilità zero-day e prendere di mira i dispositivi edge e i software di virtualizzazione come modo per eludere il rilevamento.
Anche gli aggressori, però, come chi difende utilizzeranno sempre di più i servizi cloud per estendere la portata delle proprie operazioni e tentare di sfruttare configurazioni errate e vulnerabilità delle identità così da spostarsi velocemente, ma anche lateralmente, negli ambienti cloud. In particolare si prevede l’incremento nell’utilizzo delle tecnologie serverless. E gli autori di malware svilupperanno sempre più software in linguaggi di programmazione come Go, Rust e Swift, in parte per ridurre l’efficacia degli sforzi di reverse engineering.
Una sorpresa. Si prevede anche un maggiore utilizzo di tecniche datate in quanto o non più contemplate dai moderni sistemi di rilevamento o comunque poco considerate come rischi. Lato difesa invece ci si attende un effettivo consolidamento nell’approccio SecOps perché i clienti richiedono sempre più informazioni integrate su rischi e minacce nelle loro soluzioni ed un ecosistema integrato che copra tutta la catena del valore della rete (cloud, multicloud, onpremise e ambienti ibridi) e si aspettano sempre più che i fornitori offrano flussi di lavoro, indicazioni e contenuti per un programma cybersec efficace.
© RIPRODUZIONE RISERVATA
