Risponde Michael Sentonas, CTO at CrowdStrike
Autore: Redazione SecurityOpenLab
Nel 2023, gli avversari sfrutteranno gli attacchi basati sull'identità per l'accesso iniziale e il movimento laterale, riducendo il breakout time
Nel corso del 2022 abbiamo assistito a un aumento degli attacchi basati sull'identità e allo sviluppo di sofisticate tecniche senza file che aggirano le tradizionali difese di autenticazione a più fattori. E non si tratta solo di credenziali rubate: pass-the-cookie, golden-SAML e persino l’ingegneria sociale con MFA fatigue si aggiungono alle modalità, ormai sempre più numerose, messe in atto per compromettere un'identità. Nel 2023 prevediamo che gli avversari eluderanno sempre più rapidamente i sistemi di difesa, compromettendo le identità per spostarsi lateralmente tra gli endpoint per diffondere ransomware, per ottenere una compromissione della posta elettronica aziendale (BEC) accedendo all'infrastruttura, oppure per sottrarre dati importanti dall'infrastruttura cloud pubblica Azure, GCP o AWS.
Le API sono il prossimo vettore d'attacco
Con la proliferazione e l'utilizzo delle applicazioni SaaS, l'uso delle API è cresciuto in modo esponenziale di anno in anno e, come in ogni area di crescita, anche il rischio ad esso associato è in aumento. Le API collegano dati e servizi decisivi, che guidano l'odierno processo d’innovazione digitale. Di conseguenza, le API si sono rivelate un obiettivo estremamente prezioso per i criminali informatici. È fondamentale che i team di sicurezza abbiano una conoscenza approfondita e una chiara visibilità dell'intera superficie d'attacco. Questa superficie include tutte le API presenti nell'ambiente, comprese quelle non documentate (shadow) e quelle inutilizzate/obsolete che non sono state disabilitate. Di conseguenza, le API si sono rivelate un obiettivo estremamente prezioso per i criminali informatici. Sulla scia di alcuni recenti incidenti di alto profilo legati alle API, questa tendenza è destinata ad accelerare nel 2023.
Nel 2023 i marketplace dedicati alle fughe di dati vedranno una forte espansione, mentre l'estorsione diventerà la TTP numero 1 dell'eCrime
Nel 2023 assisteremo ad una crescita dell'utilizzo dei dati come arma, in quanto l'estorsione diventerà la TTP più comune utilizzata dai criminali informatici. L'estorsione dei dati supererà la tradizionale crittografia dei dati e fornirà agli autori delle minacce la capacità di colpire ripetutamente le aziende con tattiche quali la doppia o la tripla estorsione. Lo dimostreranno le operazioni di lock-and-leak, in cui gli autori dell'eCrime prenderanno di mira imprese con dati di alto valore, ad esempio nel caso dei settori della tecnologia, in ambito manifatturiero e nel mondo finanziario, bloccando le reti dell'obiettivo colpito e minacciando successivamente di far trapelare le informazioni delle vittime. In settori come quello sanitario, tenuti a rispettare diversi requisiti normativi, un attacco di questo tipo può essere devastante. Come risultato di questo aumento del furto di dati e dell'estorsione, si assisterà ad una crescita esplosiva di nuovi mercati criminali dedicati alla pubblicità e alla vendita dei dati delle vittime.
Il circolo vizioso Zero-Day Tuesday/Hack Wednesday continuerà: Il “panico” da patch che attanaglia i team di sicurezza il secondo martedì di ogni mese persisterà e aumenterà nel 2023, quando gli avversari aumenteranno la sofisticazione delle loro TTP e continueranno a puntare sulle vulnerabilità zero-day. Come abbiamo visto, il numero di zero-days e di vulnerabilità critiche ha continuato ad aumentare e, contemporaneamente, si è ridotto il tempo che intercorre tra la divulgazione di tali vulnerabilità e il tentativo attivo di sfruttarle da parte degli autori delle minacce. Nel 2022, infatti, abbiamo assistito a molti casi in cui gli autori delle minacce hanno sfruttato le vulnerabilità annunciate immediatamente. La continua crescita delle minacce zero-day sottolineerà l'importanza di adottare soluzioni di threat hunting proattive, in grado di affrontare le minacce su scala. Fino ad allora, le aziende dedicheranno più tempo a distribuire le patch critiche non appena disponibili, o a concentrarsi sui workaround quando le patch non sono disponibili.
I vincoli organizzativi in uno scenario di incertezza che caratterizzerà il 2023 porteranno a incidenti informatici di alto profilo: l'incertezza è pervasiva in tutto il mondo, delineando così un ambiente maturo per lo sfruttamento da parte degli autori delle minacce. Nell'attuale clima economico e geopolitico in rapida evoluzione, le aziende sono sottoposte ad una crescente pressione per fare di più con meno, proteggendo la propria attività con risorse simili o potenzialmente inferiori contro il volume e la gravità degli attacchi informatici in continuo aumento. Un attacco informatico di alto profilo avrà conseguenze ancora più gravi per l'organizzazione vittima, in quanto un'unica grande violazione dei dati rischia di paralizzare l'intera azienda, quando le imprese non possono permettersi tempi di inattività. Gli incidenti di cybersecurity sono costosi e possono protrarsi per anni, compresi i costi per la neutralizzazione dopo una violazione, il pagamento della risposta all'incidente e delle indagini forensi, le spese legali, il cambio dei fornitori di sicurezza, fino alla notifica ai clienti e alle autorità di regolamentazione. Nel 2023 assisteremo ad un numero ancora maggiore di incidenti di alto profilo, dettato dall'aumento della pressione dei vincoli organizzativi tipico di questi tempi di incertezza.