Cyber criminali e APT sferrano attacchi sempre più veloci, elusivi e devastanti contro le aziende del settore IT: ecco alcuni suggerimenti per difendersi.
Le aziende del settore tecnologico hanno creato gli strumenti che utilizziamo per costruire e gestire le operazioni di business, elaborare le transazioni dei consumatori, abilitare la comunicazione e organizzare le nostre vite personali e professionali. La tecnologia ha dato forma al mondo moderno per come lo conosciamo e la fiducia riposta nei suoi riguardi continua a crescere.
Il ruolo strategico del settore tecnologico non è passato inosservato nemmeno ai criminali informatici, né ai gruppi sponsorizzati dagli stati nazione, che prendono di mira le aziende tecnologiche per diversi motivi: perseguire obiettivi strategici, militari ed economici; ottenere l’accesso a dati aziendali sensibili per richiedere un riscatto o per venderli sul dark web; per compromettere le supply chain e molto altro.
È da molto tempo che i cyber criminali prendono di mira le aziende di questo settore, ma lo scorso anno tali attacchi hanno registrato un aumento esponenziale. Secondo i dati sulle minacce di CrowdStrike quello tecnologico è stato il settore più preso di mira dalle intrusioni informatiche tra luglio 2021 e giugno 2022, nonché il più colpito dagli autori delle minacce: negli ultimi dodici mesi, gli esperti in threat hunting di CrowdStrike hanno registrato infatti oltre 77 mila potenziali intrusioni, approssimativamente una potenziale intrusione ogni sette minuti.
Michael Sentonas, Chief Technology Officer, CrowdStrike
Le aziende di ogni dimensione, appartenenti al settore tecnologico, dovrebbero essere preoccupate dal potenziale dell’attività criminale informatica, spesso incentrata sul furto dei dati. In questo articolo, Michael Sentonas analizza da vicino le principali minacce informatiche e le tattiche di attacco che colpiscono le aziende tecnologiche, fornendo alcuni suggerimenti utili a bloccare questi attacchi.
Le aziende di piccole e medie dimensioni (PMI) e le startup devono essere consapevoli delle minacce che le riguardano e come difendersi da esse. I cyber-criminali si stanno progressivamente allontanando dal malware nel tentativo di eludere il rilevamento: i dati delle minacce di CrowdStrike mostrano come l’attività priva di malware si attesti attorno al 71% di tutti i rilevamenti effettuati tra luglio 2021 e giugno 2022. Questo cambiamento è, in parte, legato all’aumento dell’abuso di credenziali valide da parte degli autori delle minacce, al fine di ottenere l’accesso e mantenere la persistenza (come stabile l’accesso a lungo termine ai sistemi nonostante interruzioni come riavvii o modifiche alle credenziali) negli ambienti IT. Tuttavia, c’è anche un altro fattore: la velocità con cui le nuove vulnerabilità si diffondono e con cui gli avversari possono rendere operativi gli exploit.
Il numero di zero-day e di nuove vulnerabilità divulgate continua ad aumentare anno dopo anno. I dati sulle minacce di CrowdStrike mostrano oltre 20 mila nuove vulnerabilità registrate nel 2021, il numero più alto rispetto a qualsiasi anno precedente; oltre 10 mila di queste sono state registrate dall’inizio di giugno 2022. Un chiaro segnale di un trend che non sembra dare cenni di rallentamento.
Analizzando da vicino le tattiche, le tecniche e le procedure (TTPs) usate durante le intrusioni emergono schemi comuni nel modo di operare dell’attività criminale. Quando una vulnerabilità viene sfruttata con successo, è seguita abitualmente dall’implementazione di web shell (come script malevoli che consentono agli avversari di compromettere i server web e di lanciare ulteriori attacchi).
Il settore tecnologico deve mantenere un alto livello di difesa contro uno scenario delle minacce in constante evoluzione. I nemici informatici di oggi stanno cambiando le loro TTP per apparire più discreti, per evadere il rilevamento e causare più danni. È compito delle aziende difendersi per proteggere i workload, le identità e i dati da cui dipende il proprio business.
Non esiste un modello univoco per il modo in cui i criminali informatici conducono i loro attacchi e nemmeno un modo in cui le aziende possono difendersi da ciascuna intrusione. Tuttavia, l’attività di intrusione rivela alcune aree critiche su cui gli addetti all’IT e alla sicurezza devono concentrarsi. Ecco di seguito i suggerimenti di CrowdStrike per le aziende del settore tecnologico:
L'evoluzione del crimine informatico e dell’attività sponsorizzata dagli stati nazione mostra alcun segnale di rallentamento. Le aziende del comparto tecnologico devono rafforzare le loro difese e comprendere le tecniche degli avversari, al fine di proteggere i loro workload, identità, dati e l’operatività aziendale.
Michael Sentonas è Chief Technology Officer di CrowdStrike