Il 2022 è stato un anno molto particolare tra escalation di attacchi, nuove minacce e nuovi aggressori. Cosa dobbiamo aspettarci con il nuovo anno? La cosa certa è che la cybersecurity è diventata imprescindibile per le aziende.
Ce ne parla Sean Duby, Semperis Principle Technologist analizzando le cifre di una ricerca in modo da approfondire lo scenario che ci aspetta.
Nel 2022 abbiamo avuto la dimostrazione, ben oltre quanto si potesse prevedere, che la guerra informatica è quantomai reale e, altro dato di fatto, non fa alcuna distinzione fra confini fisici dei Paesi. Infatti, non è più un fatto raro che gli attacchi abbiano origine in Paesi molto lontani per poi propagarsi e colpire ovunque in qualsiasi momento.
È d’altro conto positivo constatare che le agenzie governative stanno inasprendo i provvedimenti per combattere le organizzazioni criminali. Purtroppo però non c'è alcuna sanzione sul loro operato nei Paesi che le ospitano, di conseguenza, che si tratti di settimane o mesi, queste organizzazioni sono destinate a ricomparire, come nel caso, ad esempio, di REvil e Conti.
Va anche detto che il livello di collaborazione tra le diverse organizzazioni è aumentato, al punto che il Ransomware-as-a-service è ormai una tematica comune.
Furto di identità, sfruttamento vulnerabilità server web e RaaS, i principali obiettivi per i cybercriminali
Il furto di identità, di credenziali utente e servizi continua a essere l’obiettivo principale della maggior parte degli attacchi. Le fasi iniziali di una violazione possono includere un attacco di phishing a un dipendente dell'azienda, seguito da un'escalation di privilegi su di un altro utente o account di servizi con privilegi elevati, seguito da un movimento trasversale su tutta la rete aziendale, attraverso l'identità dell'utente compromesso. Lo scopo è sempre lo stesso: appropriazione di dati sensibili, l’esecuzione di azioni sensibili o persino danneggiare dati mission-critical.
Tuttavia, vi è anche un approccio diverso che prevederebbe lo sfruttamento delle vulnerabilità in un asset di dati rivolto verso l'esterno (ad esempio un server web), il quale permetterebbe lo spostamento laterale in tutta la rete aziendale, utilizzando l'account di servizio e i privilegi dell'asset di dati compromesso. In entrambi i casi, l'identità svolge un ruolo fondamentale e rimane quindi l'obiettivo principale della maggior parte delle minacce.
Anche il ransomware as a service (RaaS) è e continuerà a essere una delle principali minacce per la sicurezza. Per l’anno appena iniziato prevediamo un aumento di tali incidenti a causa di diversi fattori, tra cui il conflitto tra Russia e Ucraina, dove un'ampia percentuale di organizzazioni criminali RaaS è gestita direttamente o autorizzata dalle autorità russe, come anche l’attuale scenario macroeconomico dovuto all'inflazione globale.
Questo tipo di crimine informatico, estremamente redditizio e terribilmente efficace, crea una crescita esponenziale del numero di incidenti ransomware, poiché gli aggressori possono semplicemente acquistare online un codice pronto all'uso e investire la maggior parte dei loro sforzi nell'identificazione e nella compromissione di aziende disposte a pagare molto denaro per ripristinare l'accesso a dati e infrastrutture cruciali.
Gli attacchi saliranno in modo vertiginoso
Nel corso del 2023 e negli anni a venire si assisterà a una crescita continua della criminalità informatica. Secondo Statista Cybersecurity Outlook, si prevede che il costo globale dei danni causati dalla criminalità informatica subirà un'impennata nei prossimi cinque anni, passando da 8,44 trilioni di dollari del 2022 a 23,84 trilioni di dollari entro il 2027, con una crescita media annua compresa tra il 21% e il 36%. Questo trend manda un chiaro messaggio: occorre continuare a lavorare sulle basi della sicurezza e sulla chiusura delle vie di attacco più comuni.
Come difendersi? Dare priorità alla sicurezza incentrata sull'identità
Ci sono molti modi per rafforzare le difese, ma il passo più efficace che le aziende possono compiere quest'anno è dare priorità alla sicurezza incentrata sull'identità.
Alla fine dello scorso anno Gartner aveva richiamato l'attenzione sulle soluzioni di rilevamento e risposta alle minacce all'identità (ITDR). La maggior parte degli attacchi coinvolge l'identità e, a prescindere dal punto di accesso iniziale, dove gli attori delle minacce passano in genere attraverso l’Active Directory (AD) per guadagnare terreno. Un ottimo punto di partenza è quindi la valutazione e la riduzione della superficie di attacco AD. Uno dei modi più semplici per farlo è utilizzare strumenti gratuiti come Semperis Purple Knight, che aiuta a individuare lacune e vulnerabilità spesso esistenti da anni, e Forest Druid, che è in grado di identificare le risorse di identità più importanti e i relativi percorsi per accedervi.
È, inoltre, importante per le aziende considerare il diverso approccio che i servizi basati sul cloud richiedono per mantenere e proteggere correttamente l'ambiente di identità.