Nel 2022 gli attacchi informatici sono aumentati del 38% rispetto all'anno precedente, con una media di 1.168 attacchi settimanali per ogni organizzazione. Il dato è elaborato da Check Point Research per il Security Report 2023, che ripercorre un turbolento 2022 in cui attaccanti e gruppi ransomware più piccoli e agili attaccano le proprie vittime sfruttando i tool collaborativi utilizzati nell’ambiente di lavoro ibrido.

Come già segnalato da altre ricerche, i temi centrali del 2022 sono stati tre: il già citato ransomware, il conflitto ucraino, che ha causato consistenti attività legate all’hacktivismo, soprattutto nell’area dell'Europa orientale e del Medio Oriente e la cloud security. I settori maggiormente sotto attacco sono education e ricerca, ma sono in forte aumento anche gli attacchi contro il settore healthcare, che segna un +74% rispetto all'anno precedente.

Tornando ai temi, partiamo con il ransomware. La chiusura di gruppi importanti come Conti ha portato a una dissoluzione di affiliati ed esperti a vario titolo in gruppi più piccoli. Questi ultimi sono veloci, dinamici ed è molto difficile identificarli per l’attribuzione degli attacchi o per identificarne e tracciarne le attività. Proprio le TTP sono il principio su cui si basano le difese moderne, non riuscire a tenerne traccia costituisce un problema enorme per i difensori. A questa complicazione se ne aggiunge un’altra segnalata da CPR: i meccanismi di protezione esistenti basati sul rilevamento delle attività di crittografia potrebbero diventare meno efficaci. L'attenzione si concentrerà invece sul data wiping e sul rilevamento dell'esfiltrazione.

Sull’hacktivismo si è già detto praticamente tutto: era sostanzialmente estinto prima dell’invasione dell’Ucraina. La guerra ibrida ha scatenato un filone di attacchi cyber da cui sarà difficile tornare indietro: i confini tra le operazioni informatiche promosse dagli stati nazionali e l'hacktivismo sono sempre più labili, e le attività cyber consentono alle nazioni di agire nell'anonimato e nell'impunità. Come sottolineò a suo tempo Mikko Hyppönen di WithSecure, le armi informatiche sono "efficaci, convenienti e negabili".

Chiudiamo con la questione cloud. La trasformazione digitale ha portato al trasferimento in cloud di una buon parte degli asset aziendali. Aziende, dipendenti a utenti fanno un uso sempre più massivo di applicazioni SaaS, IaaS e PaaS, ovviamente gli attacchi si spostano di conseguenza e, come avevamo già segnalato – si spostano in cloud. Non è quindi un caso se nel 2022 il numero di attacchi cloud-based che si verificano in ogni organizzazione è cresciuto a dismisura (+48% rispetto all’anno precedente).

Non esiste una soluzione univoca per tutto. Esiste però un concetto che indica la strada da seguire per una difesa efficace: ridurre il più possibile la complessità. Perché cloud e multicloud hanno reso le infrastrutture molto più complesse che in passato e molto più difficili da difendere. Perché difendere asset differenti con una pletora di prodotti diversi comporta una perdita di tempo e di visibilità che si paga con i buchi nella sicurezza. E perché il personale competente disponibile è poco, quindi bisogna ottimizzare il suo lavoro per risparmiargli stress e aumentarne la produttività. In quest’ottica, intelligenza artificiale e machine learning sono vitali, senza però perdere di vista il fatto che le competenze umane non sono rimpiazzabili da una AI, ma solo valorizzabili con il suo sfruttamento.