Come evolvono le minacce informatiche e attraverso quali risorse è possibile contrastare il cybercrime. Lo abbiamo chiesto a Luca Nilo Livrieri, director, sales engineering – Southern Europe di CrowdStrike a valle della pubblicazione del “Global Threat Report 2025”, il rapporto mondiale pubblicato in questi giorni, nel quale l’azienda statunitense fornisce approfondimenti sugli eventi critici e le tendenze che hanno caratterizzato il 2024 e sugli avversari che li hanno orchestrati.
Il quadro delle minacce informatiche
“Il primo elemento che emerge dalla nostra analisi rispetto alle tecniche di attacco – entra subito nel merito Livrieri – è un ritorno e al contempo un aumento del social engineering, con un’impennata del 442% anno su anno del vishing. Sempre più diffuso in questo contesto è il callback phishing, una tecnica molto utilizzata oggi perché l’attaccante è meno identificabile e può raggiungere con facilità l’obiettivo. L’uso crescente dell’intelligenza artificiale favorisce inoltre gli attaccanti nell’intercettare l’utente, come nel caso delle e-mail, creando mittenti affidabili e contenuti ai limiti della perfezione”.
Si riduce anche il breakout time degli attacchi, che raggiunge una media di 48 minuti, con picchi di velocità che arrivano a 51 secondi, “un tempo praticamente insufficiente perché i team di sicurezza possano accorgersi e reagire” afferma Livrieri.
Rispetto alla tendenza degli attacchi, crescono quelli interattivi, con il 79% di attacchi malware free; vengono in questi casi utilizzate credenziale valide acquistate nel web, attraverso access broker, i cui annunci vedono un incremento del 50% nel 2024. “Le credenziali compromesse vengono usate per infiltrarsi nei sistemi come utenti legittimi – spiega il manager -; l’attaccante entra sulla macchina e inizia a utilizzare strumenti già presenti, come File Transfer, Google Drive, Windows, Linux, rendendo difficilissimo riconoscere l’attività illecita”.
Rispetto agli attaccanti, CrowdStrike ha una threat intelligence che lavora per incrementare il numero di gruppi criminali tracciati; l’azienda ne conta ad oggi 257, di cui 26 nell’ultimo anno. Spiega a questo proposito Livrieri: “Dare un’attribuzione all’attacco è un’informazione fondamentale per difendersi, perché le tecniche di attacco vengono replicate; sapere per esempio che c’è un gruppo cyber che sta colpendo le banche in Nord America può essere utile anche per le banche italiane perché spesso lo stesso gruppo cyber declina l’attacco su tutte le aziende dello stesso verticale riutilizzando le stesse tecniche”.
Tra gli attori, la Cina ha messo nel proprio piano strategico industriale di essere una superpotenza cyber e sta crescendo in questa direzione sia in termini di investimenti sia di numerosità degli attacchi. “L’attribuzione ai gruppi criminali cinesi è per noi una delle più importanti” afferma Livrieri confermando in generale la tendenza sempre più forte dei gruppi criminali a lavorare in ecosistemi, con distinte specializzazioni fra chi fa l’attacco, chi lo distribuisce, chi lo monetizza.
Le vulnerabilità non corrette restano un obiettivo chiave: il 52% di quelle osservate è legato all’accesso iniziale, evidenziando la necessità di proteggere i punti di ingresso prima che gli avversari riescano a stabilire una presenza persistente nei sistemi, ribadisce il manager: “Pensiamo alla produzione industriale che in Italia è molto sviluppata, dove l’attaccante può sfruttare le vulnerabilità dei sistemi produttivi e compromettere sistemi IT e OT lavorando proprio sulla connessione fra i due mondi”.
L’intelligenza artificiale nel mondo cyber
Il report di CrowdStrike segnala una forte crescita nell’utilizzo delle intelligenze artificiali per operazioni di vero e proprio spionaggio industriale. “Abbiamo osservato molti gruppi criminali che si fanno assumere all’interno delle aziende, oltre 300 casi lo scorso anno, utilizzando l’AI per vari scopi, con l’uso del deep fake durante il colloquio, l’utilizzo dell’AI per rispondere alle domande dei colloqui di lavoro in maniera molto verosimile per poi creare vere e proprie “laptop farms” in paesi specifici”. In questi casi, gli attaccanti agendo da dipendenti infiltrati in maniera fisica all’interno delle aziende possono sfruttare armi nuove che non siano solo quella cyber, ma anche la sicurezza reale. In generale, sintetizza Livrieri, “l’AI nel mondo cyber migliora gli attacchi in termini di automazione e scalabilità, generazione automatica di contenuti e di social engineering sempre più precisi”.
Ma nella sfida tra attaccanti e attaccati, chi vince dunque? “Ad oggi sembrerebbe prevalere l’attaccante – afferma Livrieri – ma è un inseguimento, e anche chi come noi deve difendere la cybersecurity sta progredendo notevolmente in questa direzione. I vantaggi in questo caso sono la velocità della rilevazione della risposta, l’analisi temporale dei contenuti, la prevenzione della minaccia. Poter utilizzare una tecnica di un determinato paese per lo stesso verticale aiuta a identificare la campagna di attacco in maniera molto più veloce, creando degli indicator of attack che vengono resi azionabili da tutte le Soc per bloccare e identificare quei pattern in maniera rapida”, sostiene il manager.
“Oggi abbiamo più risorse a livello computazionale che velocizzano l’analisi – l’AI fa il lavoro di un analista con il 98% di precisione – sottolinea Livrieri – dando la possibilità di diffondere le soluzioni in maniera molto più veloce. Soprattutto in prospettiva, ci sarà a mio avviso un’evoluzione nell’intercettazione sempre più veloce delle minacce. La vera sfida sarà poi quando si inizieranno ad attaccare i modelli che utilizzano i difensori per dare degli output che non siano corretti”.
Settori nel mirino
Guardando al Sud Europa (non c’è nel report un dato specifico sull’Italia) i settori più colpiti sono il governativo, l’aerospaziale e il settore accademico. “Sul settore aerospaziale, dove la finalità degli attacchi è il furto della proprietà intellettuale, l’Italia, come la Francia, in particolare, sono paesi potenzialmente attaccabili vista la presenza di diverse importanti aziende del comparto. La parte governativa è invece figlia di tutti i conflitti presenti a livello mondiale, con un’attenzione crescente dei gruppi criminali e degli attivisti a investigare sui paesi nell’orbita del governo russo-ucraino. In campo universitario, è il furto di proprietà intellettuale che ha valore strategico per gli attaccanti, ma anche purtroppo la scarsa maturità delle difese cyber nel settore”.
A livello globale, lo studio CrowdStrike evidenzia tra i verticali più colpiti, le utilities e i trasporti. C’è inoltre una costante grandissima attenzione al settore tecnologico, a Telco, software companies e cloud provider per la numerosità delle credenziali trattate. Se guardiamo all’Italia, nell’ultimo anno gli attacchi hanno avuto come oggetto di attacco un settore di nicchia molto sensibile, i legali e gli avvocati, facendo leva sulla riservatezza dei dati.
Puntare su una strategia zero trust
“Applicare una strategia zero trust a 360°, che coinvolga non solo il livello informatico, ma qualsiasi tipo di interazione col mezzo digitale da parte dell’utente, è fondamentale. La strategia deve partire dalla formazione, dal monitoraggio costante dell’utilizzo delle identità rispetto alla segmentazione dei flussi autenticativi e quindi fare della protezione una priorità” suggerisce Livrieri definendo una corretta postura aziendale.
Strategia che esige un rilevamento e una risposta estremamente veloci, un breakout time di meno di un minuto, e una valida procedura di cloud security, “perché è dal cloud che si sono aperte numerose porte degli attacchi di questi mesi e quindi è importante lavorare sulla cloud security, visibilità delle vulnerabilità. Avere una visione della post management sulle applicazioni cloud è molto importante così come la definizione di insider response plan molto dettagliati per agire tempestivamente in caso di attacco”.
In maniera cross su tutte le aziende l’educazione degli utenti è sempre più strategica, per elevare il livello di allerta, soprattutto oggi che l’utilizzo dell’AI lavora proprio sul fattore di fiducia dell’utente. Una gestione della supply chain adeguata che si ispiri ai principi della Nis2, definiscono infine una strategia di difesa. “Le indicazioni ci sono, adesso sta a metterle a attualizzarle” afferma il manager.
CrowdStrike, asset e strategie
CrowdStrike adotta un approccio strategico basato sulla combinazione di tecnologia avanzata e servizi specializzati, sfruttando la threat intelligence per ottenere una conoscenza approfondita degli avversari e delle loro tattiche di attacco. “Un elemento chiave della nostra strategia è l’impiego di analisti dedicati al threat hunting, che operano direttamente per il cliente. Questo ci consente di individuare e neutralizzare le minacce in modo proattivo, analizzando le informazioni disponibili. La conoscenza degli attaccanti, ci permette di riconoscere i comportamenti di attacco in tutte le aree aziendali in cui lavoriamo – a livello di identità, di cloud e di endpoint, per proteggere l’intera organizzazione con una visione a 360°, evitando un approccio verticale limitato a singole aree”. Il servizio di incident & response di CrowdStrike, spiega Livrieri, gioca il suo ruolo su tempi di reazione rapidi, ovvero lavora sulla logica di 1 minuto per fare una rilevazione; 10 minuti per l’investigazione e 60 minuti per dare una risposta all’attacco.
Questo è possibile grazie all’integrazione tra tecnologia, intelligenza artificiale e competenza umana, “elementi per noi imprescindibili – ribadisce Livrieri -, dove, la continua innovazione, attraverso AI, machine learning, automazione ed espansione delle capabilities, è il motore che ci consente di garantire protezione ai nostri clienti e rappresenta il nostro mantra” conclude Livrieri.
© RIPRODUZIONE RISERVATA
