Dalle scelte di cybersicurezza che le aziende e i governi faranno nei prossimi anni dipende il loro futuro e quello dei cittadini. Per dirla con le parole di Andrea Zapparoli Manzoni, membro del comitato direttivo del Clusit, (Associazione Italiana per la Sicurezza Informatica, i cui soci rappresentano oltre 500 imprese e organizzazioni), “Saranno le scelte dei (pochi) prossimi anni in ambito di sicurezza cibernetica a determinare le probabilità di sopravvivenza della nostra attuale società digitale”. Troppo apocalittica un’affermazione del genere? “Sottolineo la parola ‘attuale’”, precisa Manzoni, in collegamento da Dubai durante la presentazione dell’anteprima del “Rapporto Clusit 2019”, un’analisi dei più gravi attacchi informatici (noti e denunciati) dell’anno precedente. In sostanza, la società digitale dovrà cambiare, più e meglio di quanto non stia facendo ora, per adeguarsi al continuo boom di attività malevole. “È come dire che le aziende prima avevano la cerbottana e ora hanno a fionda, ma gli altri hanno il fucile”, ironizza Zapparoli.

 

Gli investimenti in sicurezza informatica crescono ma evidentemente non abbastanza, alla luce di un incremento numerico di attacchi gravi (Clusit considera solo quelli a “impatto significativo”, dalla media alla massima gravità per la vittima) del 37,7% tra 2017 e 2018, anno in cui ne sono stati osservati 1.552, con una media di 129 al mese. L’incremento non è episodico ma sostanziale: in ciascun mese del 2018 il numero medio degli attacchi gravi è stato superiore all’analogo periodo del 2017. Quindi, azzarda Zapparoli, “è probabile che nel 2019 arriveremo ad avere una media di 150 attacchi al mese”.

 

 

 

 

I volumi non sono però l’unico indicatore significativo, e infatti da quest’edizione del rapporto il Clusit ha scelto di misurare anche la severity, cioè l’indice di pericolosità degli attacchi. Scartando a priori per metodologia quelli di poco conto, gli episodi analizzati si dividono tra severità “media”, “alta” e “critica”, mostrando un diverso bilanciamento a seconda della tipologia. “Il cybercrime è un problema molto grave in termini assoluti, ma non il più grave”, sottolinea l’espero. “Gli attacchi critici realizzati dal cybercrime sono pochi, quelli di pericolosità alta anche, mentre la maggior parte rientra nel grado più basso della nostra classificazione. Se invece guardiamo alla categoria del cyberspionaggio, tra l'altro in forte crescita, per l'80% si tratta di attacchi classificati come critici. Nell'hacktivism, invece, dominano quelli di alta pericolosità”.

 

I “cacciatori” del cybercrimine
Ma chi sono i “cattivi”, chi le vittime e quali gli strumenti di attacco? Il report dà interessanti risposte anche a queste domande. Il cybercrimine nel 2018 ha prodotto il numero di attacchi più elevato degli ultimi otto anni, cresciute rispettivamente del 43,8% in soli dodici mesi. Forte ascesa (+57,4% anno su anno) anche per la categoria che include cyberspionaggio e cybersabotaggio, finalità spesso sovrapposte, mentre è in calo il fenomeno dell'hacktivism, passato dal rappresentare nel 2014 oltre un quarto degli episodi complessivi a solo il 4% nel 2018. Sostanzialmente stabile e piccola la quota del cyber warfare, scesa in cinque anni dal 5%al 4%.

 

Le prede
In percentuale è cresciuta soprattutto, di quasi il 37% fra 2017 e 2018, la categoria dei “target multipli”, mentre in numeri assoluti c'è stata un'impennata negli attacchi rivolti al settore sanitario e governativo. Quest’ultimo è anche, insieme alle infrastrutture critiche, l’ambito più bersagliato da attacchi di elevata gravità. Su base geografica la maggior concentrazione di vittime continuano a essere le Americhe (43% del totale ne 2017, 45% nel 2018), ma questo è in parte conseguenza del fatto che l’obbligo di denuncia tempestiva delle violazioni sia in vigore da un decennio e non, come nel caso del Gdpr, da pochi mesi. Il nuovo regolamento europeo sulla protezione dei dati impone il dovere di disclosure ai soggetti diretti interessati da un data breach entro 72 ore dalla scoperta, ma a detta del Clusit è ancora troppo presto per notare gli effetti di questa regola sul numero delle denunce.

 

 

 

Gli strumenti di caccia

A volume, il malware domina la scena: rappresenta ormai il 38% dei vettori di attacco osservati nel complesso, considerando (come fa Clusit) solo gli episodi di maggiore gravità. Seguono, nell'ordine, gli attacchi di tipologia sconosciuta (26%), le vulnerabilità (11%), la somma di phishing e social engineering (10%), le minacce multiple e le Apt (minacce avanzate e persistenti, 6%), il cracking degli account e altre tipologie. Tra i soli malware, la sottotipologia più popolare è quella ormai nota dei ransomware, che l'anno scorso hanno rappresentato il 23% degli attacchi basati su software malevolo, mentre sono in crescita i programmi di cryptomining (passati dal 7% al 14% del totale), che generano moneta digitale sfruttando le risorse di calcolo del dispositivo ospite. Il forte aumento del ricorso a tecniche sconosciute (+47%) dimostra quanto i cybercriminali siano attivi nella ricerca di nuovi modi per offendere.

 

Malware e DDoS sempreverdi

Uno sguardo privilegiato sull’Italia ce lo offre Fastweb, i cui sistemi di monitoraggio nel 2018 hanno registrato 40 milioni di eventi di sicurezza accaduti nel nostro Paese. Aumenta la diversificazione: in Italia l’anno scorso si è osservata una crescita del 10% del numero di famiglie di malware circolanti, 212. “Nel 2018 ancora una volta l'email è stato il primo vettore d'attacco, un mezzo per propagare phishing e spear phishing”, illustra Marco Raimondi, marketing product manager security dell’azienda. La posta elettronica è spesso anche lo strumento degli attacchi Apt, mirati su specifici target e capaci di confezionare inganni di phishing particolarmente sofisticati. Ma l’anno scorso Fastweb ha anche rilevato un incremento del 32% nel numero delle anomalie riconducibili ad attacchi DDoS, cioè Distributed-denial-of-Service, quelli mirati a mandare in tilt un servizio occupando l’intera banda disponibile.

 

Sul DDoS si esprime anche Akamai, uno specialista in materia, da anni collaboratore del Clusit nella realizzazione del report. “Nonostante i nostri metodi di analisi degli attacchi siano diversi da quelli di Clusit e Fastweb, i trend che osserviamo sono i medesimi”, sottolinea Rodolfo D'Agostino, senior partner enablement manager per la regione Emea. Circa 16.000 gli episodi DDoS osservati da Akamai l'anno scorso, in crescita numerica del 16% sul 2917. L’incremento di dimensioni, cioè di banda occupata, è invece del 9% ogni tre mesi e del 200% ogni due anni. Tra le botnet, si è ancora visto in circolazione Mirai, già protagonista del 2016 e 2107, ma a dominare è stato un altro attacco. Nel marzo 2018 Mamcached ha generato, da solo, un traffico di 1,3 Tbps (terabit per secondo), volume in grado di mettere offline per tutta la durata dell'attacco un intero Paese. Si chiedeva alle vittime di pagare un riscatto in criptovaluta (monero) in cambio del'interruzione dell'assalto.