Il Rapporto Clusit, Associazione Italiana per la Sicurezza Informatica, che ogni anno fotografa la situazione della sicurezza informatica e delle telecomunicazioni a livello internazionale, ma con una focalizzazione particolare sulla realtà nazionale, ha compiuto quindici anni. L’anteprima del Rapporto Clusit 2020 offerta alla stampa ha rivelato riconferme e novità tanto nei contenuti quanto nei trend rilevati e analizzati.
“Anche quest’anno – ha spiegato Alessio Pennasilico, CTS Clusit – abbiamo riproposto un focus sulle minacce che arrivano via email, approfondendo ulteriormente l’argomento, e dedicato nuovamente un capitolo dedicato agli attacchi al mondo finance. Abbiamo ancora rivolto particolare attenzione al tema della sicurezza delle app mobile, perché si è riscontrato che ancora non è sufficiente quello che viene effettuato in questo campo. Anche se già da qualche anno ne parlavamo, abbiamo deciso di aumentare il focus sulla cyber security delle strutture sanitarie, perché sono sempre in testa nelle classifiche delle vittime di attacchi. Per questa edizione – ha continuato Pennasilico – abbiamo previsto anche di approfondire il tema dei deep fake, rappresentati soprattutto da video in cui alcuni elementi distinguibili dallo spettatore sono stati sostituiti rispetto a quelli originali. Infine, abbiamo voluto dedicare un capitolo speciale ai professionisti della sicurezza IT e uno all’Industrial IT. Gli oggetti che oggi non sono ancora connessi, lo saranno presto, con una crescita esponenziale. e non solo nei settori manifatturieri”.
Disclosure o riservatezza? L’impatto sulle analisi
È toccato ad Andrea Zapparoli Manzoni, membro del consiglio direttivo del Clusit, iniziare la panoramica dei cyber attacchi registrati. “In Italia, nel 2019, abbiamo potuto analizzare 1.670 attacchi gravi andati a buon fine, contro 1.552 nel 2018 (+7%) e 1.127 nel 2017. Dal 2014 al 2019 la crescita è stata del 91,2%” (figura 1).
Per sottolineare la gravità e l’imprevedibilità della situazione, Manzoni ha utilizzato una metafora: “È come se ci trovassimo ai confini di quei territori su cui, sulle mappe antiche, campeggiava la scritta Hic Sunt Leones”. A complicare un’analisi fedele del panorama degli attacchi sono normative che non impongono la disclosure pubblica degli incidenti o, addirittura, ne consigliano la riservatezza: “Negli Stati Uniti – ha sottolineato Zapparoli Manzoni – la disclosure ha funzionato: questo spiega perché il 46% delle vittime di attacchi su scala mondiale sembra trovarsi in America” (figura 2).
Un altro trend importante della “insicurezza ICT” in Italia, visibile nei grafici del Rapporto, è che per la prima volta, nel 2019, non si è assistito a una flessione degli attacchi nei mesi estivi: “Un segno che i malintenzionati ormai fanno i ‘turni’ anche in quel periodo”. Per quanto riguarda la tipologia e la distribuzione degli attaccanti (figura 3), il cybercrime si è attestato all’83%, con 1.383 attacchi gravi, in crescita del 162% rispetto al 2014. La percentuale di attacchi dell’hactivism è invece scesa ancora (è stata del 3%), mentre sembrano essere rimaste stabili le categorie espionage/sabotage (12%). In leggera discesa anche l’information warfare (2%)”.
Il Rapporto Clusit 2020 focalizza l’attenzione su piattaforme malware e al DDoS
La palma d’oro delle tipologie di attacco a livello mondiale, secondo il Rapporto Clusit 2020, spetta al malware (con il 44%), seguito dalle minacce “unknown” (19%) e dal phishing/social engineering (17%). Gli altri threat – a partire dalle vulnerabilità (8%) – seguono alla distanza. Si assiste, insomma, a una sorta di polarizzazione, che dovrebbe guidare anche le scelte di cyber security.
“In Italia – ha precisato Marco Raimondi, responsabile del marketing dei prodotti e servizi di security di Fastweb, il cui SOC (Security Operation Center) costituisce una delle fonti principali per il Rapporto – abbiamo censito 165 famiglie di malware. Si tratta di una diminuzione del 23% rispetto all’anno precedente, ma bisogna tener conto che il 28% dei malware è oggi costituito da piattaforme per la distribuzione di più malware”.
Al top dei malware spiccano Avalanche Andromeda (28% degli attacchi), Zeroaccess (23%), Qsnatch (15%) e Ramnit (10%). Più distanziati gli altri, a partire da Wannacry (5%). Ma non è da sottovalutare che il 19% degli incidenti è stato causato dalla categoria generica “altri”, con lo 0,3% rappresentato dai sempre temibili zero days.
“Attraverso i malware – ha ricordato Raimondi – gli attaccanti possono creare centri di comando e controllo (C&C). Questi sono sistemi compromessi utilizzati per l’invio dei comandi alle macchine infette da malware (bot) utilizzate per la costruzione delle botnet. Fra i tipi di comandi spiccano gli attacchi DDoS (Distributed Denial of Service). “Nel 2019 – ha raccontato Raimondi – le anomalie riconducibili a DDoS sono state circa 2.500, con un incremento della banda mensile utilizzata del 30% rispetto al 2018. In un anno l’impatto degli attacchi è aumentato del 12%, da 125 a 140 Gbps. Fortunatamente, nel 95% dei casi la durata media delle aggressioni è scesa sotto le tre ore”.
Un’altra novità rilevata da Fastweb è stata il cambiamento dei settori più attaccati. “Al primo posto – ha dichiarato Raimondi è – è risultata una new entry, il gaming (25% degli incidenti), seguito da Finance/Insurance (17%), servizi (14%), media (13%) e service provider (11%). La pubblica amministrazione è scesa dal 30% nel 2018 al 7%, segno dell’adozione di efficaci contromisure. Fra i paesi e le regioni con centri C&C che hanno messo nel mirino nel 2019 al primo posto si sono segnalati gli Stati Uniti (83%), seguiti dall’Europa (13%), mentre Asia e Oceania sono scese rispettivamente al 4 e allo 0,1%”.