Con l’avvento di regolamentazioni sempre più stringenti in USA e nell’Unione Europea e la convergenza di intelligenza artificiale, ransomware e social engineering, il 2023 ha segnato un punto di svolta nel mondo della cybersecurity. Il 2024, a giudicare dai primi segnali, continuerà il trend degli anni precedenti: anche quest’anno, infatti, i CIO devono fare i conti con nuove minacce informatiche che rischiano di mettere a repentaglio la continuità operativa delle aziende. In questo articolo andremo ad analizzare le tre minacce in dettaglio, identificando best practice e accorgimenti per prevenirle prima che sia troppo tardi.
1. Ransomware potenziati dall’AI generativa
Il 2023 è stato un anno ricco di sviluppi per l’industria dei ransomware. La diffusione a macchia d’olio dei Large Language Model (LLM) combinata con la crescita senza sosta dei Ransomware as a Service (RaaS) ha portato a un’integrazione sempre più profonda tra le due tecnologie. Questa sventurata sinergia si è tradotta in una diminuzione del costo degli attacchi cyber, nonché in una progressiva sofisticazione degli stessi. Questo costituisce un cambiamento netto per il settore.
Se dapprima coloro che lanciavano attacchi ransomware tendevano a non essere programmatori esperti quanto piuttosto clienti di un gruppo RaaS che vende i propri servizi sul dark web, oggi, con l’ausilio dell’AI generativa, è sempre più facile anche per hacker in erba cimentarsi nella creazione di nuovi ransomware. Secondo recenti studi sperimentali, anche i criminali informatici con conoscenza IT molto limitata possono già sfruttare l’AI generativa per portare a termine attacchi molto complessi.
A questo riguardo si è recentemente pronunciato il servizio di intelligence contro le minacce cyber del Regno Unito, che ritiene “quasi certo” un incremento nel volume degli attacchi ransomware nei prossimi due anni. La maggior parte degli attori in questo contesto, siano essi stati sovrani od organizzazioni di altro genere, sta già adottando l’AI generativa. Ciononostante, il vero pericolo è rappresentato da coloro che hanno accesso a dati di formazione di alta qualità, competenze significative e ampie risorse. Per questa ragione, è improbabile che i ransomware diventino accessibili a un vasto pubblico entro il 2025, anche se l’hacking di stato costituisce senza dubbio un serio pericolo.
2. Attacchi alla supply chain
Per attaccare un’azienda non è più necessario trovare una falla nel suo sistema di sicurezza. Ogni organizzazione è cliente di uno o più fornitori di soluzioni IT; è sufficiente pertanto individuare una vulnerabilità nel fornitore per compromettere i dati di migliaia di aziende in un solo colpo. Ecco in cosa consiste un attacco alla supply chain: piuttosto che investire energie nel penetrare un singolo target, il criminale informatico prende di mira il vendor e con esso tutti i suoi clienti.
L’impatto che può avere un singolo attacco di questo tipo non è da sottovalutare. Nel giugno 2023, la gang criminale Cl0p ransomware ha sfruttato una vulnerabilità nell’applicazione di trasferimento file MOVEit, utilizzata da circa 1700 organizzazioni in tutto il mondo. Alcune vittime di alto profilo includono Deloitte, Deutsche Bank, Sony, Siemens, BBC, British Airways e il Dipartimento di Energia degli Stati Uniti.
Nel 2024, ci si aspetta che gli attacchi alla supply chain crescano in complessità e raffinatezza, con un’accentuata attenzione sull’utilizzo di vulnerabilità zero-day. Esperti di Kaspersky hanno evidenziato la crescente minaccia rappresentata dagli attacchi alla supply chain, sottolineando come l’impiego dell’intelligenza artificiale possa giocare un ruolo significativo nell’evoluzione di queste minacce.
3. Vulnerabilità nei servizi cloud
La digitalizzazione rappresenta una ghiotta opportunità per le imprese, ma comporta anche rischi significativi. Se difatti il processo di trasformazione digitale non viene compiuto prestando la dovuta attenzione alla cyber security, si presenta un pericolo concreto di esporsi a minacce informatiche potenzialmente critiche.
Si registra infatti un focus sempre maggiore da parte dei gruppi criminali nei confronti dei servizi cloud. Recenti ricerche di Veeam dimostrano che il 93% degli attacchi cyber prende di mira proprio i backup in cloud. Configurazioni errate, controlli di accesso inadeguati e pratiche di crittografia dei dati insufficienti hanno portato a un aumento degli attacchi diretti alle piattaforme.
Secondo il report “Global Digital Trust Insights” di PwC, gli attacchi ai servizi cloud costituiscono la preoccupazione primaria per le aziende. La percentuale di imprese vittime di attacchi hacker, riporta lo studio, è arrivata a 36% negli ultimi dodici mesi, un balzo sostanziale rispetto al 27% dell’anno prima. La ricerca, che ha coinvolto 3800 aziende in oltre 71 Paesi, ha evidenziato un certo scetticismo nei confronti della minaccia rappresentata dall’AI generativa, mentre forte è la percezione del pericolo data breach, il costo medio del quale, scrive PwC, si aggira intorno ai 4,4 milioni di dollari.
Rischio cyber 2024: ecco come prevenire
Quando si parla di attacchi cyber, reagire alla minaccia senza un’adeguata preparazione risulta spesso insufficiente. Per questo motivo, è essenziale essere proattivi e prevenire gli scenari più critici prima che questi si presentino. Di seguito analizzeremo le contromisure più indicate che i CIO possono implementare per mettere in sicurezza la propria azienda contro le minacce informatiche discusse in precedenza.
Misure anti-ransomware
Combattere il fuoco col fuoco: questa è la strategia da seguire secondo un vasto numero di leader del settore. Se infatti sono sempre più comuni tool come WormGPT e FraudGPT, bisogna ricordare che l’AI generativa può essere uno strumento utile nella prevenzione. Il machine learning è un componente cruciale della moderna protezione contro i ransomware. Grazie all’analisi delle interazioni passate con il sistema è infatti possibile stabilire un benchmark di comportamento, rilevando sul nascere exploit e minacce zero-day in maniera progressivamente più affidabile tanto più grande è il data set dell’azienda.
Per i CIO che intendono ridurre al minimo il rischio di attacchi ransomware, è però necessario adottare, in aggiunta a queste strategie, una linea di backup immutabile. Un backup immutabile è una copia di backup che non può essere alterata, cancellata o modificata in alcun modo, nemmeno dagli amministratori di sistema. È, come si dice in gergo, WORM-protected. WORM è un acronimo che sta per “Write Once, Read Many” e significa che, una volta che i dati sono stati salvati, è possibile accedervi un qualsiasi numero di volte ma essi non possono in nessun caso essere sovrascritti.
A oggi, l’immutabilità viene realizzata attraverso due feature del protocollo S3: object lock e versioning. L’object lock è una funzione che permette all’utente di “congelare” un oggetto, ossia un set di dati, per un determinato periodo di tempo. Durante questo periodo, l’oggetto non può essere alterato ed è pertanto immune al processo di encryption tipico dei ransomware.
Il versioning, invece, agisce come una vera e propria time capsule. Esso, infatti, permette di archiviare più versioni dello stesso file e non solo la versione corrente. In questo modo, se anche un ransomware dovesse rendere inaccessibile la versione più recente, sarà sempre possibile accedere a un’altra versione, evitando così di pagare il riscatto.
Misure anti-attacchi alla supply chain
I CIO che intendono proteggersi da attacchi alla supply chain devono adottare policy IAM (Identity and Access Management) per limitare l’accesso ai dati soltanto a coloro che hanno necessità di utilizzarli.
Una volta implementato un sistema di Identity and Access Management, l’organizzazione deve poi gestire e controllare attentamente l’accesso concesso a utenti, fornitori e venditori, in quanto l’accesso non autorizzato è il principale vettore di infezione per le violazioni.
Ciò include l’implementazione di un solido processo di onboarding e offboarding, definendo i diritti e le restrizioni di accesso in base al principio del minimo privilegio. Il monitoraggio regolare e la certificazione degli accessi sono inoltre fondamentali per aiutare a rilevare attività non autorizzate o sospette.
Misure anti-vulnerabilità dei servizi cloud
Quando si parla di vulnerabilità nei servizi cloud, la scelta di una soluzione di storage basata sul modello geo-distribuito è fondamentale per minimizzare l’esposizione al rischio. A differenza del cloud storage tradizionale, un’architettura geo-distribuita non concentra i dati all’interno di un numero limitato di data center. Invece, si serve di crittografia, dell’object storage e di un’architettura distribuita per spalmare il rischio su un amplissimo numero di nodi, così da eliminare ogni single point of failure.
Il modello geo-distribuito sta prendendo piede nell’industria, soprattutto in luce della crescente adozione di soluzioni ibride e multi-cloud. A oggi, i CIO devono destreggiarsi con architetture sempre più complesse, che integrino al loro interno edge, AI e IoT e soddisfino requisiti stringenti in termini di sovranità digitale e resilienza. In questo contesto, le soluzioni geo-distribuite stanno emergendo grazie alla loro capacità di offrire un livello di durabilità del dato superiore agli hyperscaler e al contempo garantire con estrema precisione la data localisation e, di conseguenza, la compliance con le normative.
Cubbit: una soluzione di nuova generazione che arriva da Bologna
Fondato a Bologna nel 2016, Cubbit è il primo cloud geo-distribuito d’Europa: una soluzione di nuova generazione con oltre 250 aziende clienti in tutto il continente, inclusi Leonardo, Amadori, Bonfiglioli e la multinazionale di cybersecurity francese Exclusive Networks.
Diversamente dal cloud storage tradizionale, Cubbit non concentra i dati dei propri utenti in un unico luogo, bensì li cifra, frammenta e replica su una rete geo-distribuita che unisce edge e data center tradizionali. Il prodotto di questa architettura è un cloud storage iper-resiliente, sovrano, multi-tenant e 100% S3 compatible — senza egress fee, spese per la cancellazione dei file o costi extra per la ridondanza.
Per prevenire il rischio di attacchi ransomware e attacchi alla supply chain, la piattaforma offre object lock, versioning e IAM policy, garantendo il più alto livello di durabilità dei dati disponibile sul mercato — fino a 15 9. I dati sono distribuiti sull’intera rete di Cubbit, per cui nell’improbabile caso in cui uno o più sedi non siano disponibili, è comunque possibile accedere a essi ed eseguirne il backup. Inoltre, l’architettura geo-distribuita della piattaforma garantisce l’assenza di single point of failure, riducendo al minimo la possibilità di attacchi ransomware, data breach e interruzioni del servizio.
Cubbit si distingue inoltre per la sua attenzione nei confronti della sovranità digitale. Supporta infatti il geofencing, grazie al quale l’utente può geo-delimitare l’area in cui i dati sono custoditi, in piena conformità con le normative specifiche del proprio Paese (es. GDPR). Cubbit è infatti certificato MePa, ISO 9001 e ISO 27001 e dispone della qualifica ACN (Agenzia per la Cyber Sicurezza Nazionale, subentrata all’AgID, Agenzia per l’Italia Digitale).
