Nel corso del 2024 i cyber criminali hanno intensificato gli attacchi informatici alle infrastrutture critiche italiane e globali prendendo di mira in modo specifico i distinti settori di cui sono composte. Le infrastrutture critiche risultano sempre più appetibili a tutte le categorie di attaccanti informatici, dai cyber criminali ai quali permettono di massimizzare i proventi illeciti, agli attacchi sponsorizzati dai governi nei contesti di spionaggio e competitività, fino agli hacktivisti. Analizzando i dati estratti dai FortiGuard Labs di Fortinet, emerge che l'Italia è stata colpita dal 2,91% delle minacce globali, rispetto allo 0,79% dell'anno precedente. Esaminando le minacce specifiche, si osservano le seguenti percentuali per l'Italia rispetto ai dati globali:

• 1,22% dei malware individuati complessivamente (2,5% nel 2023)
• 2,89% dei tentativi di exploit globali (1,18% nel 2023)
• 1,05% delle botnet intercettate nel mondo (1,81% nel 2023)

Come di seguito riportato, se già nel 2023 si era registrata una significativa crescita delle minacce totali individuate in Italia e nel mondo, nel corso del 2024 tale incremento è stato ancora più marcato a livello italiano. Inoltre, tra gli aspetti che più preoccupano nel 2024 si segnala il cospicuo aumento di Active Scanning Techniques, che in Italia hanno avuto un incremento del 1.076%, passando da 4,21 miliardi a 49,46 miliardi. Va precisato che l’incremento totale risulta legato ad un picco significativo raggiunto nel mese di febbraio 2024, laddove nel resto dell’anno il dato resta di poco superiore rispetto l’anno precedente. La crescita a livello globale delle stesse attività è stata del 16,71%, passando da 993 miliardi a 1,16 trilioni. Anche gli attacchi Denial of Service (DoS) hanno fatto registrare un forte aumento, passando da 576,63 miliardi a 1,07 trilioni a livello globale (+85,25%) e da 657,06 milioni a 4,22 miliardi in Italia (+542,52%).

Tutti i dati mostrati sono estratti dai FortiGuard Labs di Fortinet e offrono un punto di osservazione peculiare, in quanto indicano le minacce informatiche totali individuate da Fortinet. I dati includono attacchi, malware e tutte le attività di scansione e intelligence comprese nella fase di Pre-Att&ck ed evidenziano la numerosità dei tentativi di azioni malevole condotte dagli attaccanti in Italia e nel mondo. Andando a collocare le minacce identificate nella Cyber Kill Chain, si hanno i seguenti risultati (i dati sono espressi con l’abbreviazione angloamericana: B=miliardi, M=milioni, K=migliaia).

Come già sottolineato lo scorso anno, il dato relativo alle attività di “Reconnaissance” suscita particolare attenzione sia a livello globale che a livello italiano. La ricognizione comprende tutte le tecniche utilizzate dagli avversari per raccogliere, in modo attivo o passivo, informazioni utili a supportare un attacco. Queste informazioni possono includere dettagli sull'organizzazione, sull'infrastruttura o sul personale della vittima. Per ottimizzare le strategie di difesa, è fondamentale sfruttare al massimo le potenzialità offerte da tecnologie come Deception, Intelligence e AI. Questi strumenti, sebbene essenziali per contrastare le minacce, vengono ancora troppo spesso messi in secondo piano o utilizzati in modo limitato. Andando a suddividere gli attacchi per alcuni mercati specifici delle infrastrutture critiche, abbiamo un’importante evidenza di come il settore Sanitario e quello Telco, siano stati specificamente presi d’assalto anche nel corso del 2024.

Andando a suddividere le minacce nei distinti mercati delle Infrastrutture Critiche emerge che Sanità e Telco sono i settori più colpiti in termini assoluti.

Dal punto di vista degli attacchi informatici identificati da sistemi IPS, la Sanità è risultata quella maggiormente colpita. Le scansioni effettuate nella fase “Pre-Att&ck” sono state quelle maggiormente utilizzate dagli attaccanti.

Dal punto di vista dei Malware e degli attacchi botnet, sono state le Telco a risultare maggiormente impattate, seguite ancora una volta dalla Sanità.

Le predictions per il 2025

L'intelligenza artificiale (IA) sta trasformando il mondo della cybersecurity, offrendo sia nuove difese che nuove minacce. Sul piano difensivo, l’IA può migliorare enormemente le capacità di rilevamento e risposta agli attacchi. Gli algoritmi di machine learning analizzano enormi quantità di dati, identificando schemi anomali e rilevando attacchi informatici in modo più rapido ed efficiente, e possono aiutare i SOC a rispondere in modo più efficace agli incidenti di sicurezza. Tuttavia, l'intelligenza artificiale è oramai ampiamente sfruttata dai criminali informatici per attacchi sempre più sofisticati e automatizzati. L'IA può, tra le altre attività criminali, creare deepfake convincenti, generare e-mail di phishing personalizzate, scrivere codice malevolo e automatizzare attacchi di social engineering.

Un'altra area critica è l'uso dell'intelligenza artificiale per manipolare le infrastrutture fisiche/OT, considerata la sempre maggiore sovrapposizione degli ambiti OT nel tradizionale perimetro IT. I criminali possono utilizzare modelli linguistici di grandi dimensioni (LLM) per generare script che compromettono le infrastrutture critiche come il governo del traffico terrestre, aereo e marittimo, i veicoli, reti elettriche e impianti industriali. Inoltre, l'IA può essere utilizzata per aggirare i controlli di verifica dell'identità, creare identità sintetiche e manipolare i sistemi finanziari.

Aldo Di Mattia, Director of Specialized Systems Engineering and Cybersecurity Advisor Italy and Malta di FortinetÈ fondamentale quindi adottare un approccio equilibrato allo sviluppo e all'implementazione dell'IA nella cybersecurity, riconoscendone tanto il potenziale positivo, quanto quello negativo.

Un'altra tendenza importante è l'emergere dell'IA Agentiva (Agentive AI), ovvero l'IA in grado di prendere decisioni e agire in modo autonomo perseguendo uno specifico obiettivo. L'IA agentiva offre nuove opportunità, ma presenta anche nuove sfide per la sicurezza. Gli aggressori possono sfruttare l'IA agentiva per automatizzare gli attacchi informatici, il Reconnaissance e lo sfruttamento delle vulnerabilità. La sicurezza dell'IA agentiva sarà quindi un elemento cruciale per la cybersecurity nel 2025.

Inoltre, gli aggressori stanno diventando sempre più sofisticati nello sviluppo di nuove tecniche e strategie per violare i sistemi di sicurezza. Gli attacchi informatici sono sempre più rapidi e silenziosi, sfruttando credenziali valide e strumenti legittimi per eludere i sistemi di rilevamento. Gli attacchi basati sull'identità sono in aumento, con l'IA generativa che aiuta gli aggressori a utilizzare nuove tecniche come il phishing, il social engineering e l'acquisto di credenziali legittime da broker di accesso.

Aldo Di Mattia è Director of Specialized Systems Engineering and Cybersecurity Advisor Italy and Malta di Fortinet