Attacco ransomware a San Carlo, Darktrace: c'è una vera e propria epidemia in corso

Negli ultimi due anni il mondo è stato sconvolto dal punto di vista economico, politico e tecnologico. L’evoluzione delle minacce informatiche ha accelerato la sua corsa rispetto a un ritmo già vertiginoso e gli Stati nazionali si sono ritrovati a fronteggiare guerre informatiche che hanno colpito anche i cittadini, spesso arrivando dritti ai loro portafogli.

In un simile contesto, è inevitabile che si siano diffusi alcuni falsi miti sulla cybersecurity che purtroppo hanno portato i team di cybersecurity, anche quelli meglio strutturati, a concentrarsi su azioni e strategie sbagliate. Ne ho evidenziati sette che vanno confutati.

1: Solo pochi account sui social media sono falsi

Molte aziende sono consapevoli di avere sui propri siti account gestiti da bot automatici, ma la realtà è che purtroppo i social media spesso non sanno – e non vogliono sapere – quanti bot hanno realmente.

Alcuni anni fa abbiamo realizzato una proof of concept con un sito di social network che ha evidenziato che ben il 98% dei loro accessi erano bot automatizzati. L’azienda era molto orgogliosa della sua rapida crescita ed entusiasta del futuro, ma in realtà prese coscienza di avere solo un decimo degli iscritti che era convinta di possedere.

L’importanza di avere a disposizione dati corretti si è manifestata pubblicamente con l’acquisizione di Twitter. Il valore dell’azienda si basa infatti in gran parte sul numero degli utenti, e la sfida lanciata da Elon Musk per dimostrare che i bot di spam e gli account falsi sono meno del 5% è una giusta aspettativa per qualsiasi investitore, inserzionista, potenziale partner commerciale e persino per gli utenti stessi.

Credo che il numero attuale di bot di Twitter sia più vicino al 50%, forse anche oltre, e per questo le aziende dovrebbero essere tenute da una parte a dimostrare che gli utenti siano effettivamente umani e dall’altra a gestire e mitigare efficacemente il traffico generato da bot.

In altre parole, il successo dei bot malevoli indica un fallimento della sicurezza, perché la prevenzione dei bot è fondamentale per garantire l’integrità delle informazioni scambiate su questi siti, ma anche per disporre di dati accurati che consentano alle aziende di prendere decisioni di business importanti e nel rispetto di tutti i soggetti che fanno affari con loro.

2: Prevenire i bot? Facile, basta affidarsi al fai-da-te!

Per anni abbiamo visto ottime aziende dotate di grandi budget e personale tecnico competente combattere i bot in maniera autonoma; è dunque naturale, analizzando il traffico in queste organizzazioni, aspettarsi di individuare traffico automatizzato generato solamente da bot sofisticati che si sono evoluti per superare le loro difese: purtroppo non è così.

Le aziende hanno combattuto i bot bloccando IP, region e sistemi autonomi, ma è proprio qui che si genera l’evoluzione del traffico bot più dannoso: oggi gli attacchi provengono da centinaia di migliaia o addirittura milioni di indirizzi IP. Le difese a livello di rete, quindi, possono arrivare solo fino a un certo punto.

Il mio mantra è che i segnali client-side sono fondamentali. È necessario disporre di una biometria comportamentale e interrogare browser e dispositivi. Tutti questi segnali, considerati nel complesso, consentono di identificare non solo i bot, ma anche i criminali informatici.

Le aziende credono di poter affrontare la situazione assumendo più dipendenti, ma per un problema così esteso e importante, dotarsi di un numero sempre maggiore di risorse umane non basta più. L’unico modo per combattere l’automazione è con l’automazione stessa.

3: Bisogna concentrarsi sempre sulle minacce nuove 

Una delle preoccupazioni principali è che i cybercriminali si evolvano costantemente e siano in grado di anticipare le nostre difese. Per molti versi, tuttavia, gli attacchi avvengono sempre allo stesso modo, se non con lievi modifiche lungo il percorso.

La maggior parte dei bot che vediamo in azione oggi mostra lo stesso livello di sofisticazione di cinque anni fa, semplicemente ha un’origine diversa. Il credential stuffing, ad esempio, funziona ancora nonostante l’autenticazione a due fattori e i CAPTCHA. Finché il vettore originale di attacco continuerà ad avere successo, l’aggressore non si ingegnerà per crearne di nuovi: tutto ciò che deve fare è trovare un modo per eludere le nuove difese.

Questo non significa che le aziende non debbano considerare le minacce emergenti e prepararsi ad affrontarle, ma devono anche essere in grado di continuare a mitigare quelle già note.

4: La gestione di più cloud è una sfida difficilissima che richiede l’impiego di talenti praticamente introvabili

Il multi-cloud è la realtà in cui molte aziende, se non la maggior parte, vivono oggi. Che sia a causa di un’acquisizione, di un’integrazione con un partner o semplicemente per dotarsi di funzionalità nuove e migliori, il multi-cloud è qui per restare.

Tuttavia, quando chiedo alle aziende se sono presenti su più cloud, spesso mi sento rispondere: “Sì, purtroppo“. La realtà è che le aziende che operano su più cloud a volte lo fanno con riluttanza e non riescono a cogliere l’opportunità di ottenere il meglio da ciascun ambiente.

A ben vedere, oggi non c’è più ragione per la quale la gestione e la protezione del patrimonio IT su più cloud debbano essere considerate difficili. I vendor cloud hanno ormai pienamente sposato l’interoperabilità tra le loro strategie e molte soluzioni sono progettate per eliminare proprio l’onere dell’integrazione, astrarre le funzionalità tra i vari cloud e fornirle attraverso un’interfaccia semplice e unificata.

5: Basta proteggere l’architettura e i dispositivi aziendali

I team di sicurezza si concentrano sull’infrastruttura aziendale, sui server, sui computer e sui desktop, ovvero su tutto ciò che si trova all’interno dell’organizzazione; purtroppo non prestano la stessa attenzione alla rete domestica dei dipendenti.

Un cybercriminale potrebbe voler colpire l’amministratore delegato per accedere a informazioni riservate su fusioni e acquisizioni o strategie, ma per arrivarci è molto più semplice prendere di mira un impiegato addetto alla contabilità o un amministratore IT. In un momento in cui il lavoro da casa è più diffuso che mai, le reti domestiche sono il perfetto punto di accesso per i malintenzionati.

6: Puoi sempre fidarti dei tuoi dipendenti

Le minacce interne hanno l’enorme vantaggio di basarsi sull’assunto che la natura umana tenda a presumere la bontà dell’altro. La realtà è che, statisticamente, non si possono assumere 50 o 100 dipendenti senza l’eventualità concreta di introdurre uno o due possibili soggetti a rischio.

I dipendenti scontenti non si limitano a parlare male dell’azienda ma possono decidere di trasferire file sensibili sulla propria chiavetta USB e andarsene, e, nei casi più estremi, possono persino introdurre software dannosi nei sistemi.

Da tempo ho una teoria che vede proprio gli insider all’origine di molti attacchi ransomware. In effetti, un amministratore IT può facilmente creare un account sul dark web, consentirgli di accedere al sistema per installare il malware e chiedere un riscatto. Voglio sottolineare di non aver avuto evidenza di una situazione simile, ma a livello teorico è possibile che prima o poi questo accada.

7: Le minacce informatiche più gravi prendono di mira le infrastrutture

Quando un anno fa l’attacco alla Colonial Pipeline ha causato disservizi e disagi alle stazioni di servizio della costa orientale degli Stati Uniti, la notizia ha avuto un forte eco internazionale.

Eppure, si parla poco o nulla dei milioni di americani che ogni anno subiscono frodi online, molti dei quali anziani e che vivono di risparmi e pensione. Si tratta di una vera e propria emergenza sociale che può avere effetti devastanti sulle persone e sulle loro famiglie, conseguenze molto più gravi di quelle di una semplice fila per rifornirsi alla pompa di benzina.

Ho trascorso diversi anni nell’FBI e nella CIA indagando sulla criminalità informatica, spesso con risultati frustranti, e questo tema mi appassiona da sempre. Certo, gli attacchi alle infrastrutture sono importanti e più che mai reali, ma quando si ascoltano le storie di queste vittime è chiaro che le frodi informatiche ai danni delle persone comuni dovrebbero meritare più attenzione di quanta ne ricevono oggi.