Il cyber crime è diventato un ecosistema complesso ed articolato che ha nel mirino qualsiasi tipo di impresa, senza porsi limiti per dimensione o mercato
Attenzione alla vecchia distinzione tra gli attacchi di alto livello, portati dai cosiddetti state actor, e gli attacchi "normali", per i quali scende in campo il crimine informatico. Questa distinzione ovviamente resta vera ma, all'atto pratico,
per le aziende conta poco sapere chi sta cercando di violare le loro infrastrutture. Prima di tutto bisogna difendersi, dopo ci sarà tempo e modo per cercare di capire chi ha attaccato. O meglio, cercare di individuare chi ha fatto cosa in un
ecosistema del cyber crime che si sta facendo sempre più articolato e connesso.
Questa è una delle conclusioni più interessanti che emergono dal Global Threat Report 2021 di
CrowdStrike. Una analisi che parte dai dati raccolti direttamente dalle piattaforme dell'azienda di cyber security, in particolare dei dati di telemetria, e che si combina con i risultati delle attività di
threat hunting e threat intelligence dei suoi team di esperti e della sua parte servizi.
Tutte queste informazioni contribuiscono a delineare anche per la cyber security uno scenario che abbiamo visto per tutto il mondo digitale: se il 2020 è stato indubbiamente
un anno anomalo, non ha introdotto rivoluzioni ma ha accelerato molto evoluzioni che erano già in corso. Analizzarlo, quindi, aiuta a
trarre indicazioni per come evolverà in futuro il panorama non tanto delle singole minacce quanto delle dinamiche di tutto il cyber crime.
Il cyber crime trasversale
Il primo elemento da considerare è, come accennato, la progressiva sovrapposizione tra i due grandi protagonisti tradizionali degli attacchi in rete:
gli attaccanti nation-state, che abbiamo sempre associato agli attacchi contro le grandi realtà governative o le
infrastrutture critiche nazionali, e
l'ecrime in senso stretto, ossia i singoli e i gruppi che si considerano mossi da interesse prevalentemente economico. "
Le varie possibili tecniche di attacco sono state sempre più sdoganate e oggi vengono usate da gruppi di diverso tipo", spiega
Stefano Lamonato, Solution Architecture Manager, Europe Channel & MSSP, di CrowdStrike in Italia: "
quindi non possiamo più immaginare una ideale linea di confine tra l'attaccante avanzato, nation-state, e l'ecrime, come operatore meno sofisticato".
Stefano Lamonato, Solution Architecture Manager, Europe Channel & MSSP, di CrowdStrike in ItaliaIn parte questo è dovuto ad una
progressiva e già nota "commoditizzazione" dei possibili vettori di attacco, che passano nel tempo dalle mani dei cyber criminali più capaci a quelle dei meno sofisticati. In parte è anche causato dalla necessità, per alcuni state actor, di
monetizzare parte delle loro attività. Perché lo spionaggio "puro" ha un valore politico ma non rende a breve termine quanto un banale attacco ransomware.
Il risultato pratico di questa evoluzione è che "
non ci troviamo più in un mondo in cui determinate aziende si devono preoccupare solo di determinati attaccanti", sottolinea Lamonato.
Tutti possono essere bersaglio di chiunque. Anche le imprese generaliste possono essere colpite da uno state actor e non solo come vittime collaterali di un attacco verso bersagli più strategici. E l'ecrime che punta a monetizzare gli attacchi può avere abbastanza risorse da mirare ai bersagli più importanti. Tanto che la crescita del "
big game hunting" - la caccia grossa - è uno dei fenomeni simbolo del 2020.
La specializzazione paga
Se tutti possono avere interesse a fare tutto, la tendenza alla specializzazione delle componenti del cyber crime può sembrare un controsenso. In realtà non è così: il cyber crime è sempre più un ecosistema in cui
saper fare bene il proprio "lavoro" è un vantaggio. "
Che ci sia un ecosistema criminale cyber - commenta Lamonato -
non è di per sé un fatto nuovo. Lo è, ed è anche più interessante, che i gruppi che ne fanno parte siano sempre più specializzati. Quello che è già accaduto da tempo nel crimine organizzato 'reale', accade ora anche per la criminalità digitale".
Non è, ovviamente, una constatazione che metta più tranquilli i potenziali bersagli. Una volta gli onori della cronaca erano solo per i
grandi gruppi criminali auto-consistenti, capaci cioè di sviluppare un malware, analizzare le infrastrutture IT delle vittime, penetrarle, veicolare attacchi, rubare informazioni. Gruppi cioè dotati di skill e risorse finanziarie, molto spesso state actor. Poi questa catena "autarchica"
ha cominciato a spezzarsi.
C'è chi ha abbandonato la parte di sviluppo dei malware per concentrarsi solo sulle
tecniche di diffusione, chi si è dedicato a violare le reti per rivendere ad altri l'accesso alle reti colpite, chi ha sviluppato la propria capacità di "pulire" i riscatti in criptovaluta, e via specializzando. "
Siamo arrivati ad un ecosistema che si evolve costantemente, basandosi proprio sul concetto della specializzazione e del miglioramento di specifici skill o servizi. E che proprio in questo modo trova sempre forme per autoalimentarsi", spiega Lamonato.
Anche perché la specializzazione permette di rispondere alle azioni che i potenziali bersagli mettono in atto per proteggersi. Ad esempio, oggi una
azienda attenta non pagherebbe un riscatto per riavere i dati criptati da un ransomware, banalmente perché ha messo in atto procedure di backup che permettono di ripristinare i dati "rapiti" a costo zero. Ecco quindi entrare in azione da un lato
un nuovo modus operandi, in cui i dati sono esfiltrati dagli attaccanti prima di criptarli, e dall'altro
gli specialisti dei data leakage, che mettono a disposizione siti e forum dove pubblicare parte dei dati stessi. E le aziende così pagano ancora, non più per riavere i loro dati ma per evitare che siano resi pubblici.
Focus sui supply chain attack
Il 2020 ci ha anche lasciato in eredità il tema del supply chain attack, per via dell'impatto esteso e ancora non completamente stimato del
caso SolarWinds. Ancora una volta, il tema di fondo
non è nuovo: i supply chain attack sono noti da tempo, e in più accezioni del termine. Sia in senso stretto, come
violazioni del processo che genera un prodotto, in modo da usare il prodotto stesso come veicolo per attacchi cyber. Sia in senso lato, come
violazione delle infrastrutture IT di un attore di una supply chain per arrivare a penetrare il capofila della catena stessa. Ad esempio, entrare nell'IT di un fornitore per arrivare ai sistemi del suo committente.
Paradossalmente, proprio la grande rilevanza del caso SolarWinds rischia di far passare in secondo piano i suoi possibili insegnamenti perché il caso appare anomalo,
un'eccezione ad una regola meno preoccupante. "
È stata - spiega Lamonato -
la tempesta perfetta: si è compromessa una software house che aveva il suo prodotto installato in tantissime aziende ed a livello di gestione IT, quindi con alti privilegi. E l'attaccante era sicuramente un attaccante evoluto con notevoli risorse. Ha creato qualcosa di molto mirato, ha potuto decidere dove completare la compromissione delle reti e dove lasciare dormiente la parte di primo accesso, conosceva bene il funzionamento di una serie di sistemi legati al cloud, ne ha facilmente bypassato le tecniche di protezione".
Premesso tutto questo, il caso SolarWinds dovrebbe comunque costituire un avvertimento per tutti. "
Sui supply chain attack si fa ancora molta confusione e c'è poca focalizzazione sulle attività da svolgere", spiega Stefano Lamonato. Il messaggio in generale è che "
Le aziende devono cominciare a guardare in modo diverso i loro fornitori, perché dare loro fiducia in senso informatico significa aprire loro parte della propria IT, mettere in comunicazione domini diversi. Il che crea ovviamente punti di contatto tra la potenziale vittima di un attacco e quella che ne diventa la vittima indiretta", sottolinea Lamonato.
La risposta non può essere non aprire mai la propria IT, ma farlo con policy ben precise e improntate al modello
zero trust. "
L'obiettivo - evidenzia Lamonato -
è definire politiche di cyber security che richiedano ai fornitori un assessment della loro sicurezza IT, per non finire col 'portarsi in casa' inconsapevolmente le vulnerabilità del fornitore. Inoltre, sempre nella logica zero trust, è necessario implementare una attività costante e continua di analisi e validazione delle azioni fatte dai sistemi IT, anche in automatico".
In un'ottica più ampia, per CrowdStrike vale sempre il principio che
non ci si può difendere in modo efficace da ciò che non si vede. La (relativa) novità dell'odierna cyber security sta nella criticità sempre maggiore del fattore tempo. "Oggi ci sono gli strumenti - spiega Lamonato -
per reagire agli attacchi degli attori ecrime come a quelli anche più complessi degli state actor. La differenza però la fa il nostro tempo di reazione: è su questo aspetto che bisogna investire, perché ridurlo al minimo è l'arma più importante per difendere le infrastrutture IT". E statistiche alla mano c'è sempre meno margine in questo senso: dalla breccia iniziale al completamento di un attacco un cyber criminale "classico" impiega circa quattro ore, uno state actor
anche meno di venti minuti.