Cybersecurity: le minacce emergenti del 2023

I trend di sviluppo della cybersecurity sono dettati, tra gli altri elementi, dall’emersione di nuove minacce e dal consolidarsi di attacchi già sperimentati, in un contesto segnato da un inarrestabile incremento. Secondo il Clusit, a livello mondiale la crescita è stata del 21% tra il 2021 e il 2022, con 2489 episodi gravi nell’arco di 12 mesi. Nello specifico, emerge il preoccupante dato italiano, con 188 attacchi gravi che rappresentano il 169% in più tra i due anni considerati (l’83% è di grave livello).

In questo scenario, emergono una serie di minacce che si aggiungono alle tradizionali (ransomware e phishing tra tutti). Di seguito analizziamo alcune delle nuove modalità di attacco.


Desktop remoto

Secondo il Global Incident Response Threat Report (GIRTR) di Vmware, società sussidiaria di Dell Technologies, saranno sempre più frequenti gli attacchi condotti con movimenti laterali, sfruttando servizi quali Remote Desktop Protocol o in generale strumenti di accesso remoto. I criminali utilizzeranno questi mezzi per fingersi amministratori di sistema. Le aziende e le organizzazioni sono quindi chiamate a integrare le proprie difese con sistemi Endpoint Detection & Response (EDR) o Network Detection & Response (NDR) a protezione dei punti di accesso. 


Deepfake

L’evoluzione dell’Intelligenza Artificiale si misurerà anche nel proliferare di attacchi deepfake, condotti con i principali sistemi di comunicazione (e-mail, messaggi mobile), all’interno dei social media e con i sempre più utilizzati sistemi di registrazione vocale. Il deepfake è una tecnica utilizzata per la sintesi di immagini umane. Si basa su Intelligenza Artificiale e Machine Learning per combinare immagini e video esistenti con altri originali. Ciò porta alla creazione di contenuti fraudolenti, manipolati per ingannare le vittime prese di mira e ottenere da queste informazioni personali, credenziali di account o somme di denaro.

L’aumento di attacchi di questo tipo è rilevato dal citato report di Vmware. Basati sul trattamento di false informazioni e di frodi di identità, hanno l’obiettivo di compromettere integrità e reputazione delle vittime. Per proteggersi, è fondamentale rendere gli utenti finali più consapevoli tramite una formazione continua, che preveda simulazioni pensate per allenare utenti e dipendenti a rispondere in modo efficace. 


API

Le API (Application Programmi Interface), interfacce che permettono ad applicazioni e software di interagire tra loro, sono strumenti molto efficaci per procurare danni, poiché il traffico dati che transita al loro interno spesso non è controllato adeguatamente. Una volta dentro ai sistemi, i cyber criminali utilizzano tecniche evasive per deviare il rilevamento su Virtual Desktop Interface, Virtual Machine e applicazioni tradizionali. Se le capacità di monitoraggio delle organizzazioni non miglioreranno, il 2023 si annuncia come anno di consolidamento del fenomeno. 

Per rafforzare la sicurezza della connessione API è buona prassi realizzare le seguenti attività: gestire periodicamente l’inventario delle API, utilizzare una soluzione di autenticazione forte per controllare gli accessi, crittografare il traffico utilizzando TLS, limitare la velocità di utilizzo per prevenire attacchi denial-of-service e rimuovere informazioni sensibili che non devono essere condivise (come chiavi di accesso). 


Supply chain

Una ricerca di Capgemini sulla resilienza della supply chain ha fatto emergere le difficoltà di imprese e organizzazioni nel gestire il profondo cambiamento innescato dalla crisi legata alla pandemia di Covid-19. Le catene di fornitura restano quindi un terreno di attacco privilegiato dai criminali informatici per colpire a tutto tondo, arrivando anche a fornitori e collaboratori (studi legali, società di consulenza, studi commercialisti). La difesa, in questo caso, è prevista anche dalla legge. Le nuove direttive NIS 2, Cyber Resilience Act e DORA infatti impongono requisiti specifici di sicurezza non solo per i loro settori di applicazione ma anche per tutta la supply chain. 

 
Infrastrutture critiche

La Polizia Postale ha rilevato tra il 2021 e il 2022 un incremento del 138% degli attacchi alle infrastrutture critiche, con un salto da 5400 a quasi 13 mila eventi. Secondo gli analisti e i responsabili della sicurezza delle aziende, la causa principale è stata l’invasione russa dell’Ucraina. Il protrarsi del conflitto induce a pensare che le infrastrutture rimarranno tra i bersagli più considerati, in una strategia che considera la cyberwar perfettamente integrata nelle dinamiche dei conflitti tradizionali.  

Il recente report “State of the connected World 2023” di World Economic Forum analizza le principali criticità che riguardano le infrastrutture critiche, evidenziando il problema della sicurezza.

Proprio con gli obiettivi di prevenzione e di riduzione al minimo dell’impatto delle conseguenze di eventuali incidenti informatici, la nuova direttiva NIS 2 impone ai soggetti essenziali e importanti l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate nel cyber risk management, cioè nella gestione dei sistemi informatici e delle reti utilizzate nel corso delle attività aziendali e della fornitura dei servizi.