Il parere di Kaspersky

Risponde Giampaolo Dedola, Senior Security Researcher, GReAT, Kaspersky

Autore: Redazione SecurityOpenLab

Previsioni di cybersecurity per il 2023

“Le tensioni geopolitiche del 2022 hanno determinato un cambiamento che si rifletterà sulla cybersecurity dei prossimi anni e avrà un effetto diretto sullo sviluppo di futuri attacchi sofisticati. Le nostre previsioni per il 2023 si basano sulle esperienze e sulle ricerche di tutto il Global Research and Analysis Team (GReAT) di Kaspersky, che quest’anno ha monitorato oltre 900 gruppi e campagne APT.

Statisticamente, alcune delle epidemie informatiche più grandi e impattanti si verificano ogni sei/sette anni. L’ultimo incidente di questo tipo è stato il famigerato ransomware-worm WannaCry, che ha sfruttato EternalBlue, una vulnerabilità estremamente potente, per diffondersi automaticamente sui computer più a rischio. Riteniamo elevata la probabilità che il prossimo “WannaCry” si verifichi nel 2023. Uno dei potenziali motivi per cui un fenomeno simile potrebbe ripetersi è che gli attori delle minacce più sofisticate al mondo probabilmente sono in possesso di almeno un exploit adatto e le attuali tensioni globali aumentano notevolmente la possibilità che si verifichi un hack-and-leak in stile ShadowBrokers.

I cambiamenti più importanti si rifletteranno anche nei nuovi obiettivi e scenari di attacco: il prossimo anno si potranno individuare attaccanti e specialisti abili nel combinare intrusioni fisiche e informatiche, impiegando droni per attacchi in prossimità, ovvero che vengono lanciati con dispositivi fisicamente vicini al target. Alcuni dei possibili scenari di attacco includono l’installazione di droni con strumenti sufficienti a consentire la raccolta di handshake WPA utilizzati per il cracking offline delle password Wi-Fi o persino il posizionamento di chiavi USB dannose in aree riservate, nella speranza che un utente le raccolga e le inserisca in un computer.

Altre previsioni sulle minacce avanzate per il 2023 includono:

  • Malware distribuito da SIGINT: uno dei vettori di attacco più potenti che si possano immaginare, che utilizza server in posizioni chiave della rete Internet per consentire attacchi man-on-the-side, potrebbe ripresentarsi più forte l’anno prossimo. Sebbene questi attacchi siano estremamente difficili da individuare, riteniamo che saranno ancora di più e porteranno a un maggior numero di scoperte.
  • Aumento degli attacchi dannosi: considerato l’attuale clima politico, prevediamo un numero record di attacchi informatici dirompenti e dannosi, che colpiranno sia le PA sia i principali settori di mercato. È probabile che una parte non sia facilmente riconducibile a incidenti informatici ma appaia come un incidente casuale. Altri attacchi assumeranno la forma di pseudo-ransomware o di operazioni “hacktivist” per fornire una copertura plausibile ai veri autori. Inoltre, temiamo che durante il prossimo anno osserveremo anche attacchi informatici di alto profilo contro le infrastrutture ad uso civile, come le reti energetiche o la radiodiffusione pubblica, così come i collegamenti sottomarini e i nodi di distribuzione della fibra, che sono difficili da difendere.
  • I server di posta elettronica continuano ad essere obiettivi prioritari: i server di posta elettronica contengono informazioni chiave, quindi sono elementi interessanti per gli attori APT e hanno la più grande superficie di attacco immaginabile. I leader di mercato di questo tipo di software hanno già affrontato lo sfruttamento di vulnerabilità critiche e il 2023 sarà l’anno degli zero-day per tutti i principali programmi di e-mail.
  • Il target delle APT si rivolge a tecnologie, produttori e operatori satellitari: l’utilizzo delle tecnologie satellitari ha assunto un ruolo fondamentale nel mondo moderno e nel corso degli anni abbiamo osservato un aumento dell’interesse, da parte dei gruppi APT, verso questa tecnologia. Incidenti come il recente attacco a Viasat indicano che in futuro i gruppi APT rivolgeranno sempre più l’attenzione alla manipolazione e all’interferenza con le tecnologie satellitari, rendendone la sicurezza sempre più importante
  • La nuova moda Hack-and-leak: Nel corso degli ultimi anni i gruppi specializzati in attacchi ransomware mirati ci hanno abituato al leak delle informazioni, il quale viene sfruttato come strumento di pressione sulla vittima per facilitare l’attività di estorsione. Dagli eventi passati, sappiamo però che il “leak" è stato usato da gruppi APT come strumento distruttivo per danneggiare gruppi rivali. Considerando il numero di crisi geopolitiche e la sempre maggior ricerca di nuove forme di conflitto ibrido, crediamo che le azioni di hack-and-leak finalizzate al danneggiamento di avversari, faranno parte dello scenario delle minacce del prossimo anno.
  • Altri gruppi APT passeranno da CobaltStrike ad altre alternative: CobaltStrike, strumento di red-teaming, è diventato fondamentale per gli attori APT e i gruppi criminali informatici. Avendo ottenuto così tanta attenzione da parte dei difensori, è probabile che gli attaccanti passino a nuove alternative pubbliche come Brute Ratel C4, Silver o sviluppino internamente soluzioni private come Manjusaka o Ninja, che offrono nuove ed avanzate funzionalità e tecniche di elusione.”

Consigli/soluzioni per non farsi travolgere dagli eventi

“Per una sicurezza completa è necessario mettere in campo una combinazione di soluzioni tecniche, consapevolezza e servizi di threat intelligence. Un progetto completo di cybersecurity si basa su una soluzione tecnologica, come strumenti e servizi di sicurezza specializzati, o su fornitori esterni di servizi di sicurezza IT per proteggersi dagli attacchi. Le sessioni regolari di formazione dei dipendenti completano le soluzioni tecnologiche implementate. Il comportamento e le competenze dei dipendenti in materia di rischi informatici sono, infatti, un fattore da non sottovalutare. Che si tratti di aprire un allegato, cliccare un link infetto o effettuare il download di un software non autorizzato, i criminali informatici spesso prendono di mira i dipendenti per trovare una via d'accesso alla rete aziendale e in molti settori sono ancora numerosi i dipendenti che non hanno ancora ricevuto una formazione IT adeguata. Così come detto anche da Gartner, la threat intelligence è un elemento chiave dell’architettura di sicurezza aziendale, che aiuta i professionisti della sicurezza e della gestione del rischio a rilevare, segmentare e analizzare con precisione le minacce.

Oggi un approccio reattivo alla cybersecurity non è più sufficiente e una threat intelligence di alta qualità deve avere una serie di caratteristiche. Queste includono, in primo luogo, un contesto esteso che crei un’intelligence azionabile dai dati e aggiunga valore e, in secondo luogo, il supporto di un team di esperti con una comprovata esperienza nella rilevazione di minacce complesse. In terzo luogo, richiede un’agevole integrazione dei servizi nelle operazioni di sicurezza esistenti di un’organizzazione. Una buona threat intelligence alleggerisce il carico di lavoro degli addetti interni alla cybersecurity, consentendogli di concentrarsi sugli obiettivi prioritari. Grazie a oltre 20 anni di esperienza nel rilevamento delle minacce informatiche, nonché a un team internazionale di ricercatori e analisti, Kaspersky Threat Intelligence offre un accesso diretto alle informazioni sulle minacce, consentendo alle aziende di prendere decisioni di sicurezza più veloci e consapevoli e anticipando eventuali rischi. Complementare alle misure di cyber sicurezza già implementate, la Threat Intelligence deve essere adattata individualmente alle esigenze dell’azienda, indipendentemente dalle sue dimensioni. Per una protezione completa le aziende devono controllare in ogni momento tutti gli asset, quindi è fondamentale che scelgano un fornitore che monitori e analizzi il sistema 24 ore su 24, in modo da individuare tempestivamente le vulnerabilità e avviare le misure di sicurezza”.