Da poco varcata la soglia del 2024, si ha giusto il tempo per ripassare le tendenze che lo caratterizzeranno, per poi mettersi subito al lavoro. Lo scorso anno è stato caratterizzato da continue ondate di attacchi ransomware, molti poi anche evoluti in tentativi di doppia e tripla estorsione. C’è stata anche l’intelligenza artificiale che, assieme al machine learning, si è resa protagonista indiscussa grazie all’entrata in scena di una tecnologia game changer come l’AI generativa. È avvenuto in tutti i campi, quindi anche nella sicurezza dove gli aggressori hanno imparato subito a utilizzarla per scopi malevoli.
Il 2024 sarà diverso, forse in continuità, forse meno: ci sorprenderà? Come? Alcuni esperti hanno deciso di condividere pubblicamente nove previsioni e trend di cybersecurity. Meglio tenerne conto, anche se non dovessero realizzarsi.
Aumento delle vulnerabilità zero-day negli attacchi di estorsione
“Potrebbero aumentare i casi in cui i criminali sfruttano le vulnerabilità zero-day per sferrare attacchi contro le organizzazioni” dichiara Dick O’Brien, analista di Symantec, parte di Broadcom, fornitore di tecnologia nel mercato B2B. Come dimostra il caso MoveIt Transfer, i gruppi di malware possono utilizzare una singola vulnerabilità per colpire più organizzazioni che usano lo strumento o la stessa tecnologia. “È piuttosto efficace: si colpiscono più vittime con un singolo attacco o campagna” spiega O’Brien. “Il danno è fatto prima che la consapevolezza delle TTP [tattiche, tecniche e procedure] diventi di dominio comune”.
Trovare vulnerabilità zero-day resta un’impresa non facile. O’Brien sostiene che i malintenzionati abbiano bisogno di molti fondi o di competenze specialistiche per portare a termine tale tipo di attacchi. Questo chiaramente ne limita la diffusione. I gruppi di malware potrebbero scegliere di guardare e osservare il successo di altri, prima di condurre le proprie campagne.
L’intelligenza artificiale generativa impatta sulla sicurezza delle e-mail
L’avvento dell’AI generativa ha dominato il settore tecnologico nel 2023, quindi è impossibile non inserirla in un elenco di trend, analizzando il suo possibile impatto sulle organizzazioni, dal punto di vista delle minacce. Gli aggressori hanno già iniziato a usarla per migliorare le e-mail di phishing e ridurre la probabilità di errori ortografici e grammaticali. Nel 2024 la integreranno ulteriormente nelle loro campagne di social engineering, utilizzando modelli linguistici di grandi dimensioni (LLM) per impersonare ruoli di alto livello e dirigenti con elevata visibilità.
“Le persone sono molto attive su LinkedIn o Twitter, pubblicano in continuazione informazioni e post. È facile prendere tutti questi dati e sfruttarli con uno strumento come ChatGPT per scrivere qualcosa con lo stile di una specifica persona” dichiara Oliver Tavakoli, CTO di Vectra AI, provider di cybersecurity. “L’aggressore può inviare a un dipendente un’e-mail in cui afferma di essere l’amministratore delegato, il direttore finanziario o un ruolo simile. Un’e-mail che sembra provenire dal proprio capo diventa molto più ingannevole di una generica che chiede carte regalo Amazon”.
Per difendersi da questo attacco di social engineering, Tavakoli raccomanda alle organizzazioni di formare e sensibilizzare i dipendenti, determinare regolarmente la propria posizione di sicurezza complessiva e assicurarsi che le misure a valle siano adeguate a gestire la vittima di un attacco di phishing. “È meglio non affidarsi solo a un particolare meccanismo di difesa” precisa.
L’adozione diffusa di passwordless
Dopo tanti anni di annunci, il 2024 potrebbe essere l’anno in cui davvero si assisterà alla scomparsa delle password. “Ci sarà il passaggio definitivo al paradigma passwordless e la biometria diventerà la modalità vincente” dichiara Blair Cohen, fondatore e presidente di AuthenticID, un fornitore di servizi di gestione dell’identità e dell’accesso (IAM). “Finalmente sta per accadere”.
La biometria ha senso come opzione di autenticazione comune, dato che da anni si utilizzano le impronte digitali e la scansione del volto sui dispositivi B2C. Inoltre, può resistere agli attacchi e alle frodi meglio dei codici di accesso unico via SMS o e-mail o di altri metodi.
Quale sia lo standard industriale vincente, tuttavia, è oggetto di dibattito. FIDO2 è un’opzione, ma non quella vincente, secondo Cohen. “Penso sia ottimo per l’uso quotidiano nel B2C, ma non credo che FIDO2 sarà la scelta ottimale per imprese e banche di grandi dimensioni. Ci sono troppe vulnerabilità” sostiene, ricordando, in particolare, la vulnerabilità alle frodi.
Jack Poller, analista dell’Enterprise Strategy Group (ESG) di TechTarget, non è d’accordo. Secondo Poller, FIDO2 vincerà nel mercato consumer perché molte organizzazioni aziendali, come Google, Amazon e Apple, lo supportano attualmente e perché è resistente al phishing.
CSO, CISO e CEO collaborano più strettamente tra loro
La continua incertezza economica ha portato a una riduzione dei budget. Nel 2024, i CEO lavoreranno probabilmente a più stretto contatto con i CSO e i CISO, per decidere dove spendere al meglio il budget in termini di sicurezza, spiegano Chuck Randolph, CSO, e Marisa Randazzo, direttore esecutivo della gestione delle minacce, presso il fornitore di sicurezza Ontic. Ciò significa che i CSO e i CISO identificheranno dove esiste il rischio, valutando come mantenere al sicuro i dati e i dipendenti, sia in ufficio che da remoto.
“Se sono un C-suite, penso alla prioritizzazione del rischio, all’ottimizzazione del budget e agli investimenti proattivi nella sicurezza, sia fisica che digitale” spiega Randolph. Le organizzazioni dovrebbero condurre una valutazione dei rischi e assicurarsi che gli stakeholder abbiano voce in capitolo nel budget per la sicurezza” consiglia Randolph.
Randolph e Randazzo affermano anche che potremmo assistere al convergere della sicurezza informatica con la sicurezza fisica, come l’identificazione e il monitoraggio di potenziali minacce interne e di dipendenti insoddisfatti. I CISO possono offrire un contributo alla sicurezza informatica, hanno aggiunto, mentre i CSO alla prevenzione di problemi sul posto di lavoro.
La verifica dell’identità è destinata ad avere un’adozione più ampia
Nel 2024 un crescente numero di organizzazioni adotterà la verifica dell’identità per garantire che i dipendenti, i partner e i clienti siano chi dicono di essere durante l’onboarding dell’account. Ciò avverrà con il supporto dell’intelligenza artificiale, che sarà protagonista dei più consistenti miglioramenti.
“Se non ti ho mai incontrato prima, anche se appari su Zoom, come faccio a sapere che sei davvero tu e non un criminale con accesso al tuo computer?” afferma Poller di ESG. “Da un punto di vista aziendale, come faccio ad autenticarvi correttamente rispetto a un documento governativo?”.
Le organizzazioni utilizzeranno sempre di più la verifica dell’identità per l’inserimento e la sicurezza delle richieste di accesso o ripristino degli account. Con la tecnologia si possono anche confrontare fotografie e informazioni dei dipendenti con i documenti governativi, oltre a garantire che qualcuno non stia usando un’immagine o un video generato dall’AI.
Maggiore adozione di strumenti e tecnologie di sicurezza proattivi
Quest’anno le organizzazioni dovrebbero investire maggiormente in strumenti e tecnologie di sicurezza proattivi, per individuare meglio le vulnerabilità e le lacune nella sicurezza, secondo Maxine Holt, senior director of research and content della società di analisi Omdia. “Con la sicurezza proattiva – aggiunge – le organizzazioni possono capire dove spendere al meglio il budget per i loro casi d’uso specifici”.
Nello scegliere tra le tecnologie di sicurezza proattive quale possa essere più utile, Holt suggerisce di considerare i seguenti aspetti:
- Gestione delle vulnerabilità basata sul rischio.
- Gestione della superficie di attacco, compresi l’ASM delle risorse informatiche e l’ASM della superficie esterna.
- Strumenti di postura della sicurezza per applicazioni, cloud e dati.
- Gestione dei percorsi di attacco e convalida dei controlli di sicurezza, compresi test di penetrazione, red teaming e simulazione di attacchi e violazioni.
Più regolamenti per i dispositivi connessi
L’adozione dell’IoT continua a essere forte, così come la mancanza di misure di sicurezza adeguate sui dispositivi incorporati. Nel 2024 potremmo assistere a un maggiore controllo normativo, soprattutto in seguito all’aumento delle minacce legate all’intelligenza artificiale e alla ricerca di ulteriori vettori di attacco.
“Le prospettive normative per i dispositivi connessi continueranno a evolversi man mano che i governi e gli enti regolatori svilupperanno quadri più completi per affrontare l’aumento dell’uso e dello sviluppo dei dispositivi connessi e la maggiore sofisticazione degli aggressori” dichiara Veronica Lim, leader della sicurezza dei prodotti negli Stati Uniti presso la società di consulenza Deloitte. “Vedremo le organizzazioni aderire più strettamente agli standard di cybersecurity-by-design“.
Resta da vedere come gestiranno l’aumento delle normative. Lim spiega che le aziende hanno già difficoltà a gestire le patch, il che apre opportunità di sfruttamento da parte degli aggressori. “I dispositivi connessi sono un bersaglio frequente perché spesso contengono software obsoleto e vulnerabile”.
Continuano le lotte per la sicurezza di terze parti
La violazione di una terza parte, come un fornitore o un partner, può portare gli aggressori a risultati più redditizi. Le terze parti hanno strategie e infrastrutture di sicurezza proprie, che potrebbero non essere all’altezza di quelle dei loro clienti, aprendo ulteriori vettori per gli aggressori.
“I malintenzionati sono diventati molto bravi a identificare quelle terze parti che li aiutano a superare l’apparato di sicurezza di organizzazioni più grandi e strutturate, come le banche” dichiara Alex Cox, direttore del settore threat intel di LastPass, un fornitore di password manager. “Una grande banca spende molto per la sicurezza, ma i fornitori che usa non sempre lo fanno. Se si ottiene l’accesso a quel provider, si ottiene l’accesso a tante altre aziende”.
Non c’è una soluzione semplice per aumentare la sicurezza di terzi. Secondo Cox, anche se è difficile imporre un certo livello di sicurezza alle terze parti, le organizzazioni dovrebbero prendere in considerazione la creazione di una lista di controllo che i provider devono seguire. In alternativa si potrebbe richiedere una valutazione della sicurezza delle terze parti, prima di collaborare con un certo fornitore.
I fornitori potrebbero influenzare le polizze di assicurazione informatica
Le organizzazioni stipulano polizze di assicurazione informatica per alleviare le conseguenze degli attacchi ransomware. Allo stesso tempo, le compagnie di assicurazione informatica stanno modificando le procedure di sottoscrizione. Alcuni fornitori potrebbero essere identificati come “red flag” e compromettere la capacità di un’organizzazione di ottenere una polizza nel 2024. Per esempio, se un’organizzazione utilizza un fornitore che il vettore assicurativo ritiene rischioso, come Progress Software, che ha fornito l’applicazione MoveIt Transfer, potrebbe vedersi aumentare i premi o negare la copertura.
Jess Burn, analista della società di consulenza Forrester, afferma che “ci sarà un maggiore controllo quando si parla di sicurezza e di fornitori di tecnologia. La sicurezza dei prodotti diventerà un aspetto in cui le compagnie assicurative saranno maggiormente coinvolte. Chiederanno chi fornisce il prodotto e non solo se lo si ha”.
Le organizzazioni potrebbero dover dedicare del tempo alla verifica dei loro partner attuali e potenziali, se i fornitori di assicurazioni informatiche vogliono avere più voce in capitolo sulla sicurezza dei loro clienti.
Alcuni professionisti dell’infosec pensano già che i fornitori di assicurazioni informatiche abbiano troppa influenza quando si tratta di decisioni di risposta agli incidenti. Forrester ha previsto che questa tendenza continuerà nel prossimo anno.