Il ransomware rimane il rischio principale per le aziende, anche di piccole dimensioni. Che, a differenza dei grandi gruppi, si devono difendere con risorse limitate e spesso affidandosi, a loro volta, a piccole e medie imprese che ricoprono il ruolo di fornitori di servizi gestiti a livello locale. Ma come possono questi piccoli Davide affrontare i Golia del cybercrime, che dispongono di un arsenale sempre più fornito di attacchi automatizzati e su larga scala? La risposta arriva da Acronis e dal suo Advanced Automation, nato con lo scopo di rendere la protezione avanzata più universalmente disponibile.
Poche novità, eppure cambia tutto
Il dato più rilevante che emerge con forza dal Mid-Year Cyberthreats Report 2023 di Acronis riguarda senza dubbio il ransomware, che rimane la minaccia maggiore, non solo per le grandi imprese, ma anche per le medie. Ai quali si aggiungono il furto di dati, l’uso dell’IA generativa da parte dei malintenzionati e, incredibilmente, un incremento del 464% degli attacchi via mail.
Un progresso, soprattutto nelle metodologie, che spesso anche i grandi gruppi con le proprie risorse interne ed esterne faticano a fronteggiare. Come riescono, quindi, le medie e piccole imprese a destreggiarsi in mezzo a questo fuoco di fila? Lo abbiamo chiesto a Denis Cassinerio, General Manager di Acronis, in occasione del lancio di Acronis Advanced Automation, una piattaforma nata proprio per rispondere a questa esigenza.
Come si diffonde il ransomware nelle diverse tipologie di aziende
Nel ricevere conferma che il ransomware è la minaccia più concreta per le aziende di qualsiasi dimensione, è interessante rilevare come cambino le modalità di attacco da parte dei gruppi criminali e, di conseguenza, come sia possibile identificare modelli difensivi differenti.
“Le PMI sono un target ‘facile’ per i cybercriminali, ma non è questa la differenza più rilevante” sottolinea Cassinerio. “La principale, infatti, è nel modello di monetizzazione. Prima di tutto, quando un gruppo riesce ad attaccare una grande enterprise, ne fa un caso studio, un modello di pubblicità”. Per usare un termine dello slang più giovane, qualcosa da flexare. “Nelle grandi aziende il pagamento non avviene quasi mai, mentre le PMI sono un percorso più lucrativo” conclude Cassinerio, che ricorda anche come nelle grandi aziende si faccia più leva sulla doppia e tripla estorsione, piuttosto che sul pagamento del riscatto in sé.
In generale, anche se bisognerebbe sempre distinguere fra vettore dell’attacco e tipologia di riscatto, gli attacchi APT (Advanced Persistent Threat) hanno spesso un target più importante. “Tuttavia, gli automatismi di attacco sempre più diffusi abbassano il livello degli APT in modo considerevole”, sottolinea Cassinerio.
Come le diverse realtà rispondono agli attacchi
Cassinerio sottolinea anche come i vettori di attacco spesso siano simili a prescindere dalle dimensioni: SQL injection, PowerShell, spearphishing, phishing in maniera persistente sono fra quelli più diffusi. “Nelle nostre telemetrie, il 73% dei vettori è costituito da diverse forme di Phishing” spiega. “Gli attacchi, per andare a buon fine, devono sempre arrivare a iniettare qualcosa, per poi avvalersi delle vulnerabilità che nascono nell’interazione fra i diversi componenti hardware, software e gli utenti”.
Gli utenti sono, ancora oggi, le vittime designate. Cassinerio evidenzia, per esempio, come sia possibile usare strumenti avanzati come l’AI e una forma maligna di RPA (Robotic Process Automation) per intercettare il traffico e inviare una mail trappola contestuale, che faccia leva sull’impreparazione dell’utente.
Per riuscire ad applicare una cybersecurity efficace è indispensabile identificare tre elementi: i vettori, le vittime e le vulnerabilità tecniche, con tempestività per identificare le nuove minacce. “Sfortunatamente, spesso le PMI sono meno tempestive nel rispondere, con aggiornamenti o contromisure” sottolinea ancora Cassinerio. Questo contribuisce a renderle bersagli più facili, anche in uno scenario in cui il profilo degli attacchi sembra abbassarsi, almeno dal punto di vista della varietà.
Come cambia lo scenario del ransomware e dei difensori
Si rileva infatti una riduzione delle varianti di ransomware e del numero di attacchi a buon fine. Questo, tuttavia, come ricorda Cassinerio, non significa che l’attacco non si sia concretizzato: gli attaccanti potrebbero essere nel sistema senza avere interesse a crittografare i dati, come abbiamo accennato poco sopra, a favore di una sottrazione.
“Per questa ragione, è indispensabile non usare solo elementi di protezione, ma anche di rilevamento. Per questa ragione, all’interno della nostra soluzione Acronis Advanced Automation abbiamo inserito anche sistemi di EDR” racconta, ricordando anche come i dati abbiano un valore anche quando non vengono messi sotto riscatto. Possono, per esempio, essere usati per attività di spearphishing, rivenduti sul dark Web, e così via.
Il Phishing è ancora protagonista
In questo quadro, viene spontaneo chiedersi se il fatto che il phishing sia ancora così pervasivo possa essere anche un problema di cultura della sicurezza, e se riguardi solo il nostro paese. Secondo il manager di Acronis in realtà il problema della carenza di cultura della sicurezza è piuttosto diffuso globalmente.
“Per questo motivo – sottolinea – la cultura è uno dei principi fondamentali di Acronis e cerchiamo di lavorarci in ogni modo possibile. Le differenze possono riguardare aspetti giuridici e di contesto”. Il fattore differenziante in realtà sono gli investimenti, che in un modo diverso afferiscono alla cultura, ma aziendale. Per esempio, nel mercato britannico, l’accesso ai servizi di sicurezza e Cloud è estremamente più maturo, anche in termini di preferenze di spesa. In Italia gli investimenti stanno migliorando, ma siamo ancora 3 o 4 volte inferiori. “Si tratta di un aspetto culturale, la percezione del valore del dato è inferiore in Italia rispetto ad altri paesi” conclude Cassinerio.
La sicurezza a vantaggio delle PMI
In un contesto generale in cui anche le grandi aziende decentralizzano una parte sempre più consistente delle operazioni IT, questa risulta senza dubbio la scelta più naturale, soprattutto per le piccole aziende in cui la qualificazione di figure specializzate risulta complessa. E che, nella maggior parte dei casi, si rivolgono a fornitori di servizi indicativamente del loro stesso ordine di grandezza, a cui va il compito di governare tutte le complessità che raccontiamo ogni giorno su queste pagine.
“La missione che ci siamo posti e che si concretizza con Acronis Advanced Automation è proprio quella di semplificare la sicurezza e fornire una piattaforma di riferimento per i numerosissimi Service Provider che operano in Italia a livello locale – specifica Cassinerio – aiutandoli, anche a livello di business model, a diventare erogatori di servizi”.
I punti di forza del loro approccio, ricorda Cassinerio, hanno proprio a che veder con la dualità di offrire da un lato un approccio tecnologico alla cybersecurity, dall’altro un supporto ai partner nella gestione del cambiamento.
“Dal punto di vista tecnologico il nostro obiettivo è quello di semplificare i controlli, soprattutto di routine, offrire uno strumento che possa essere offerto come servizio, anche differenziandolo e soprattutto di avere costi ridotti e prevedibili” spiega. “Dal punto di vista gestionale, aiutiamo l’operatore nel cambiamento del proprio modello e dei propri processi, fornendo un’unica piattaforma per la resilienza aziendale e aiutando le piccole e medie realtà a contenere i costi operativi. In un contesto in cui la crisi degli esperti di sicurezza è nota e globale, bisogna trovare nuove soluzioni. Per esempio, come fa Acronis, a supportare le realtà che vogliono erogare servizi di sicurezza in modo efficace anche con una limitata expertise”.