Il 2022 ha chiuso i battenti ed è tempo di bilanci, buoni propositi ma soprattutto di previsioni. Quali sono gli scenari attesi in materia di sicurezza informatica?
Secondo il report “Future/Tense: Trend Micro Security Predictions for 2023”, presentato in conferenza stampa, il prossimo anno sarà caratterizzato dagli attacchi diretti verso le soluzioni cloud, la supply chain, le auto connesse e i lavoratori da remoto.
Ed Cabrera, Chief Cybersecurity Officer di Trend Micro, e Salvatore Marcis, Technical Director della filiale italiana, raccontano i pronostici della multinazionale con i dovuti preamboli.
Come da dichiarazioni, l’instabilità geopolitica e la crescente complessità degli ambienti IT sono le variabili di rischio che più influenzeranno il panorama della cybersecurity nei mesi futuri. Sarà quindi un periodo difficile, dove le tecnologie di intelligenza artificiale e machine learning giocheranno un ruolo sempre più decisivo nella sfida tra vittime e attaccanti.
I cybercriminali cercheranno di massimizzare la portata delle intrusioni sfruttando diversi vettori, in particolare le reti VPN e i router degli uffici casalinghi per guadagnare facile accesso ai sistemi aziendali. Saranno prese di mira anche le infrastrutture dei Managed Services Provider, da cui propagare il malware verso l’ampio volume dei clienti, minimizzando gli sforzi e moltiplicando la resa. Le minacce insomma partono dalla catena di fornitura per andare a colpire un ampio numero di bersagli.
Cybersecurity, 8 previsioni per il 2023
Se queste sono le tendenze di massima, cosa dovremo aspettarci concretamente per l’anno che verrà? Marcis passa in rassegna le otto previsioni degli esperti Trend Micro, con il commento di Stefano Vercesi, Chief Information Security Officer di Pirelli, ed Ezio Ricca, Associate Partner di Spike Reply.
Il ransomware volta pagina
La prima novità riguarda il ransomware. Molti attaccanti rinunceranno alla componente di cifratura crittografica dei files, utilizzata per bloccare l’operatività dell’azienda colpita, per concentrarsi sull’esfiltrazione e monetizzazione dei dati. Come spiega Marcis, l’obiettivo è «cercare di rimanere persistenti all’interno dei sistemi della vittima nel tentativo di rubare e rivendere informazioni preziose», come i numeri delle carte di credito. Le aziende infatti si stanno attrezzando per rispondere agli attacchi ransomware di tipo tradizionale, quindi i criminali informatici devono cercare nuove tecniche di attacco e modelli di business.
Si prevede anche un aumento dei casi di ricatto nei confronti della vittima stessa: meglio estorcere denaro direttamente all’azienda colpita facendo a meno del payload rappresentato dal ransomware, piuttosto che rischiare il clamore mediatico e l’intervento delle forze dell’ordine.
Il Social Engineering potenziato dall’AI
«Le tecniche di social engineering – prosegue Marcis introducendo la seconda prediction – rimarranno tra i vettori più utilizzati dai criminali informatici, che sfruttano soprattutto il canale LinkedIn. Le aziende stanno facendo campagne di awareness, ma non sempre basta».
Gli attacchi di ingegneria sociale saranno sempre più sofisticati, potendo sfruttare l’intelligenza artificiale, il machine learning e il deepfake (una tecnica basata sull’apprendimento automatico che permette di generare video, immagini e audio falsi attraverso la sovrapposizione di elementi originali e posticci).
Parallelamente, le truffe BEC (Business Email Compromise) continueranno a essere frequenti. In questo caso, gli attaccanti violano l’accesso a un account di posta aziendale e da qui mandano richieste di pagamento alle vittime (ad esempio, fatture o nuovi contratti). Fidandosi dell’indirizzo di provenienza, i malcapitati cedono all’inganno e acconsentono all’invio di denaro.
L’hybrid work al centro del mirino
Lavorare da remoto ormai è una consuetudine da cui non si retrocede. Tuttavia, la nuova normalità dell’hybrid work apre ulteriori spiragli per i cybercriminali, che sfruttano i dispositivi dell’home office e le reti VPN (spesso senza patch) per guadagnare accesso ai sistemi informativi aziendali.
«Il lavoro ibrido – sottolinea Marcis – trasforma ed estende il perimetro dell’azienda. Ecco perché diventa importante il ricorso all’approccio Zero Trust: l’identità degli utenti deve essere continuamente verificata durante l’attività lavorativa, considerando gli orari di accesso, i canali utilizzati e così via. La regola è verificare sempre, non fidarsi mai».
La vera sfida è il cloud
La massima sfida per i Ciso nel 2023 rimane comunque la capacità di uniformare la sicurezza attraverso i nuovi ecosistemi cloud, sempre più eterogenei, distribuiti e multivendor. Con l’emergenza pandemica, le aziende si sono dovute attrezzare molto rapidamente per garantire la continuità operativa, comprando servizi cloud senza un piano strutturato. Oggi pagano lo scotto della mancata uniformità di implementazione e di una configurazione errata delle tecnologie.
Un tema particolarmente caldo è rappresentato dalle connected cars e dalle relative cloud API (Application Programming Interface). Le eSIM (embedded SIM) dei moderni veicoli permettono di trasmettere dati telematici, creare hotspot Wi-Fi e comunicare con i server nel cloud (ad esempio, per utilizzare le applicazioni che permettono di monitorare le condizioni stradali o aprire una macchina da remoto). Il rischio è che gli attaccanti informatici sfruttino le falle di sicurezza delle cloud API per attività criminali.
Blockchain nell’occhio del ciclone
Marcis prosegue con l’elenco delle predictions. Secondo quanto dichiarato, sta calando l’interesse dei criminali informatici nei confronti di NFT (Non-fungible token) e metaverso, mentre la blockchain sarà un bersaglio privilegiato anche per gli anni a venire.
La blockchain, infatti, permette la registrazione sicura e decentralizzata delle transazioni in criptovaluta. Qui si catalizzerà l’attenzione degli attaccanti, interessati a colpire le piattaforme per l’exchange della moneta digitale, quindi i siti di banche e broker specializzati.
Attenzione ai software open source
Nel 2023 gli attaccanti affineranno l’ingegno per scovare il più alto numero di vulnerabilità, trovando un facile appiglio grazie alle tecnologie open-source.
«Per velocizzare il rilascio delle applicazioni su piattaforme cloud – puntualizza Marcis – le aziende utilizzano componenti open-source pronti all’uso, ma le librerie devono essere sempre aggiornate, altrimenti la sicurezza viene inficiata».
Distrazione, assenza di controlli e mancata sostituzione di tecnologie obsolete rappresentano una vulnerabilità appetibile. Ciò vale anche, ad esempio, per le aziende che trascurano l’aggiornamento dei protocolli e degli apparati di rete.
Vercesi e Ricca aggiungono alcune note al tema del software aperto e dello sviluppo applicativo. «Il problema delle librerie open-source – sottolinea il Cio di Pirelli – è urgente, ma le aziende oggi non lo stanno affrontando adeguatamente».
«La pipeline di sviluppo – sostiene il Partner di Spike Reply – è sempre più veloce, distribuita e complessa. Ecco perché bisogna puntare alla security by design, implementando un processo che permette di controllare in modo continuativo come sta evolvendo l’applicazione. Un approccio Agile, proprio perché basato su piccoli rilasci, permette di verificare meglio la sicurezza del software, attuando i controlli su porzioni ridotte di codice».
La convergenza IT/OT è terreno di battaglia
L’attenzione dei cybercriminali crescerà anche verso i sistemi OT (Operational Technologies) un vettore di attacco finora sottoutilizzato. Come evidenzia Marcis, ci sono nuove vulnerabilità scoperte sui vecchi sistemi operativi utilizzati nel mondo industriale e gli hacker non si faranno sfuggire l’occasione. «Bisogna – sottolinea il Director – costruire un sistema di difesa integrato per i mondi IT e OT. Tuttavia, la vera sfida è reperire i professionisti: mancano gli esperti in materia di sicurezza OT e quando si trovano, il livello di competenza non è elevato».
«La mancanza di competenze – aggiunge Vercesi – è un problema che affligge l’Italia. Le facoltà che propongono corsi di sicurezza OT sono poche e i percorsi formativi non sono correlati alle necessità delle aziende».
«Lo skill shortage – concorda Ricca – è una questione italiana, ma non solo. Non possiamo aspettare che le università formino gli esperti di sicurezza OT, dobbiamo attingere anche da altri bacini».
Un’ulteriore criticità per le aziende in materia di sicurezza IT/OT sarà tenere il passo con la forte crescita di regolamentazioni, governative e settoriali, che tendono a intensificare i controlli e impongono opportuni aggiornamenti.
Verso le piattaforme di sicurezza olistiche
L’ultima prediction decreta il declino delle tecnologie di sicurezza verticali a favore delle più efficaci piattaforme olistiche, che riuniscono una serie di funzionalità integrate. «Tutto deve convergere all’interno di una soluzione unica – sostiene Marcis – che possa essere resa operativa facilmente e sia in grado di comunicare con tutti i sistemi aziendali. Solo così è possibile mitigare i rischi, consci del fatto che presto o tardi si subirà inevitabilmente un attacco».
Focus su intelligenza artificiale, awareness e supply chain
I pronostici di Trend Micro sono serviti per qualche spunto di riflessione. «Un incidente di cybersecurity – dichiara Vercesi – è un fatto certo: il numero e le tipologie delle minacce sono in crescita. Vediamo un aumento importante di attacchi targettizzati in tutto il settore industriale, volti a essere così veloci nell’esecuzione che gli strumenti di difesa non sono stati ancora aggiornati».
Le tecnologie per contrastare la criminalità informatica ci sono, ma spesso il problema è la loro corretta configurazione e soprattutto la consapevolezza delle persone.
«Gli utenti dicono di riconoscere l’importanza della sicurezza – racconta Vercesi -, ma di fatto i comportamenti dicono l’opposto. Tuttavia, il problema dell’awareness è generalizzato, a più livelli, e coinvolge anche il management aziendale». Bisogna quindi capire che l’esfiltrazione dei dati è una questione strategica perché mina la reputazione e la competitività dell’azienda.
«Il fattore umano – dice Ricca – è un tema trasversale a tutti i settori. Le persone e i processi rappresentano infatti il cardine della sicurezza. Spesso si implementano soluzioni e procedure, ma senza una formazione adeguata e le simulazioni di attacco tutti gli sforzi vengono vanificati. Oggi però molte aziende si stanno impegnando nel portare avanti programmi di awareness per i dipendenti».
Tuttavia, le iniziative per aumentare la consapevolezza e prevenire gli incidenti dovrebbero essere estese all’intera supply chain, verso i fornitori che potrebbero diventare un vettore di attacco per accedere ai sistemi IT aziendali. Molti degli incidenti, infatti, sono responsabilità di terze parti. Diventa quindi cruciale verificare la capacità di difesa dei partner attraverso un processo strutturato di Supply Chain Security, che si estenda ben oltre i fornitori di primo livello.
Come sottolinea Cabrera, l’interdipendenza tra le aziende crea una forte aumento del rischio e la comunicazione delle minacce all’interno delle organizzazioni e verso i partner diventa un’arma di difesa imprescindibile. La sicurezza è un problema globale e sistemico, che va affrontato insieme, attraverso la collaborazione dei governi, dei fornitori di tecnologia e delle aziende utenti.
Sicurezza, quale sarà l’impegno delle aziende?
In chiusura di conferenza, è il momento di tirare le fila del discorso. Come sarà gestita la sicurezza da parte delle aziende?
«L’attenzione delle imprese verso la cybersecurity crescerà – afferma Marcis -. Le Pubbliche Amministrazioni potranno contare sui finanziamenti del Piano Nazionale di Ripresa e Resilienza, ma il settore privato non avrà budget supplementari. Ci aspettiamo quindi clienti più attenti, ma gli investimenti in sicurezza difficilmente aumenteranno».
Secondo Vercesi, l’Agenzia per l’Italia digitale sta svolgendo un ruolo determinante come push per avvicinare la PA ai temi della cybersecurity, ma anche come punto di coordinamento e raccordo per le imprese private. Per le aziende del nostro Paese, un’ulteriore spinta ad alzare la guardia deriverà dalla guerra ibrida in Ucraina (combattuta sul campo, ma anche cibernetica) e dall’introduzione progressiva della direttiva europea NIS 2.
«Le normative italiane ed europee in materia di cybersecurity – asserisce Ricca – hanno consentito alle organizzazioni di acquisire una maturità maggiore sul tema, come ad esempio in ambito Finance. Anche il settore Energy ha comunque avuto ricadute positive dalle regolamentazioni».
Insomma, se i cybercriminali sono sempre più agguerriti e le tecniche di attacco più sofisticate, le aziende, i fornitori e i governi si stanno attrezzando per la sfida, maturando una consapevolezza maggiore. Tuttavia, non sarà una battaglia facile.