23/12/2021 di Redazione

Attacchi di supply chain, ransomware e difesa proattiva nel 2022

Nelle previsioni di Darktrace per l’anno nuovo, emergeranno nuove capacità ancor più sofisticate sia nello scenario del cybercrimine e sia in quello della cybersicurezza.

immagine.jpg

Quali saranno le tendenze del cybercrimine e della cybersicurezza nel 2022? In molti, tra vendor e analisti, hanno già provato a rispondere, e un tema costante è quello dei ransomware: il fenomeno continuerà a crescere e a destare preoccupazioni sempre maggiori, come prefigurato tra gli altri da Sophos e da Kaspersky. Altro tema ricorrente è quello degli attacchi di supply chain (ne ha parlato, per esempio, Acronis), cioè quelli che intercettano un fornitore, finale o intermedio, di tecnologie per colpire l’utente finale.

Alcune riflessioni su ransomware e attacchi di supply chain tornano anche nelle scommesse per il 2022 di Darktrace, che però vi aggiunge anche interessanti osservazioni sull’uso dell’intelligenza artificiale nella lotta alle minacce (questa è, d’altra parte, la specialità dell’azienda) e fa notare come nei prossimi mesi emergeranno nuove capacità ancor più sofisticate sia nello scenario del cybercrimine sia in quello della cybersicurezza. Vediamo allora, per bocca di cinque suoi esperti, quali sono le previsioni di Darktrace per l’anno nuovo.

L’intelligenza artificiale spiegabile

Max Heinemeyer, Director of Threat Hunting: “Per quasi un decennio i professionisti della sicurezza hanno applicato l'intelligenza artificiale nella difesa contro gli attacchi informatici, dal rilevamento delle minacce alle micro decisioni autonome per rispondere agli attacchi alla velocità di macchina. In futuro, tuttavia, i progressi nell’ambito della sicurezza informatica potrebbero non essere legati solo a questi algoritmi matematici avanzati. Nel 2022, infatti, l’innovazione sarà generata attraverso la eXplainable AI, l’Intelligenza Artificiale spiegabile (XAI), ovvero dotata della capacità di spiegare la logica delle decisioni, caratterizzare i punti di forza e debolezza del processo decisionale e fornire indicazioni sul loro comportamento futuro.

I processi e i criteri che permettono agli utenti di comprendere e affidarsi ai risultati degli output generati dai metodi di apprendimento automatico saranno sempre più centrali per i Security Operations Center di tutto il mondo. Infatti, l’attenzione sarà rivolta maggiormente alle tempistiche di comprensione piuttosto che semplicemente su quelle necessarie ad avviare uno stato di allerta, il che farà progredire anche le modalità di valutazione dell'efficacia dei team di sicurezza. La maggiore attenzione alla XAI porterà infatti a una maggiore consapevolezza in netto contrasto con il concetto di "black box", poiché gli esperti di sicurezza saranno pronti a capire e valutare potenziali pregiudizi e ripercussioni di quanto previsto dall'AI.

Un esempio è l’utilizzo dell'elaborazione del linguaggio naturale (NLP) per spiegare le ipotesi dietro un attacco informatico, le indagine eseguite dall'IA, i risultati raggiunti, le azioni raccomandate da intraprendere e anche come evitare che l'attacco si ripeta”.

Ransomware: sempre di più e sempre più evoluti

Marcus Fowler, Director of Strategic Threat: “Parallelamente alla pandemia globale, abbiamo assistito a una crescente diffusione di ransomware. I nostri ricercatori hanno scoperto che negli Stati Uniti il numero di attacchi alle organizzazioni è triplicato nel 2021 rispetto al 2020, e in UK è raddoppiato. Questa emergenza ransomware ha fatto sì che trenta nazioni si riunissero per discutere un'iniziativa di difesa informatica incentrata sulla regolamentazione delle criptovalute, la resilienza della sicurezza, l’eliminazione degli attacchi e la diplomazia informatica internazionale. Nonostante gli sforzi dal punto di vista politico e le crescenti pressioni dei governi che perseguono penalmente le gang di cybercriminali e costringono i gruppi di ransomware a sciogliersi, questi continueranno a ripresentarsi sotto nuovi nomi e con tecniche e capacità ancora più sofisticate.

Se lasciamo che il ransomware si diffonda, nel prossimo anno gli aggressori probabilmente evolveranno le loro tecniche prendendo di mira i provider di servizi cloud e quelli di backup e archiviazione. Arriverà un momento in cui questo non sarà più visto come un semplice inconveniente informatico. Le organizzazioni che si occupano di infrastrutture critiche, al pari delle altre aziende, continueranno a valutare in quanto tempo possano ripristinare le operazioni in seguito a un attacco e in che misura facciano affidamento sulle assicurazioni per coprire il riscatto e i costosi ripristini dei sistemi.

Se giocare in difesa contro il ransomware non è più sostenibile, qual è la risposta? Alla fine le organizzazioni dovranno dotarsi di sistemi in grado di resistere ai cyber-attacchi. Per questo, avranno bisogno di software di sicurezza che imparino, siano in grado di prendere micro decisioni, e diano risposte per rilevare e fermare gli attacchi prima che avvenga l'esfiltrazione o la crittografia dei dati”.

Attacchi alla catena di approvvigionamento del software 

Justin Fier, Director of Cyber Intelligence and Analytics: “La nostra ricerca ha scoperto che il settore più colpito nel 2021 è stato quello dell’Ict, mentre nel 2020 era stato quello finanziario. Un cambiamento che non sorprende, considerati gli attacchi di alto profilo alla catena di approvvigionamento del software contro SolarWinds nel dicembre 2020, contro Kaseya e GitLab nel corso del 2021, e più recentemente l’emergere della vulnerabilità Log4Shell incorporata in una comune software library o utility, lasciando miliardi di dispositivi esposti.

I cybercriminali considerano le infrastrutture software, le piattaforme e i fornitori come vettori d’ingresso all’interno di governi, aziende e infrastrutture critiche. Incorporeranno software maligni in tutta la supply chain del software, compreso il codice sorgente proprietario, i repository degli sviluppatori, le librerie open-source e altro ancora. Probabilmente vedremo diffondersi un maggior numero di attacchi alla supply chain contro le piattaforme software. Parallelamente, aumenteranno anche gli attacchi scagliati via email per dirottare la catena di comunicazione hackerando direttamente l’account del fornitore e inviando così messaggi di spear phishing da account che sembrano autentici e affidabili, come avvenuto nel takeover illecito che ha colpito l'account dell'Fbi nel novembre 2021.

Se gli aggressori sono in grado di infiltrarsi all'inizio del processo, le organizzazioni saranno costrette a individuarli e fermarli solo dopo che si sono fatti strada. Questo rafforza sia la necessità che la sicurezza venga integrata prima sia l'importanza di contenere rapidamente gli attacchi per prevenire l'interruzione delle operazioni. Poiché si tratta di attacchi multifase, le organizzazioni possono quindi utilizzare l'AI durante ogni fase per contenere e rimediare all'attacco”.

Simulazione proattiva degli attacchi con l’AI

Nicole Eagan, Chief Strategy & AI Officer: “L'intelligenza artificiale ha contribuito a realizzare innovazioni cruciali nell’ambito della sicurezza informatica per il rilevamento, le indagini e la risposta alle minacce. Il 2022 vedrà le innovazioni dell’AI superare la mera difesa delle aree adiacenti, sostenendo la sicurezza proattiva e le simulazioni di attacco. I progressi che consentono all'AI di eseguire la modellazione del percorso di attacco, la simulazione del comportamento dell’avversario e il red teaming continuo consentiranno alle organizzazioni di visualizzare e testare gli scenari più probabili di minaccia e mitigare i rischi informatici con misure e controlli di sicurezza.

Le priorità fondamentali delle organizzazioni di cybersecurity cambieranno concentrandosi maggiormente sulle tecnologie emergenti per identificare le vulnerabilità, promuovere attacchi controllati e testare le proprie difese Questo approccio alla gestione del rischio informatico proattivo e predittivo non ha ancora raggiunto i consigli di amministrazione, ma ha in sé tutto il potenziale per cambiare il modo in cui aziende, enti regolatori, revisori e compagnie assicurativi valuteranno il loro rischio cyber”.

 

 

La great resignation e l’aumento delle minacce interne

Toby Lewis, Global Head of Threat Analysis: “Durante la pandemia, il fenomeno della “Great Resignation”, ovvero il significativo aumento delle dimissioni, con un numero crescente di persone che lasciano il proprio lavoro, rende ancora più realistico lo scenario che vede dipendenti scontenti rubare informazioni o condividerle, anche involontariamente, con il datore di lavoro successivo. Nell’ultimo anno abbiamo anche visto gruppi criminali tentare di reclutare insider per attaccare le aziende, offrendo grandi somme di denaro o una parte del riscatto.

Che sia intenzionale o non, gli insider saranno una preoccupazione crescente per le aziende nel 2022. Mentre aumenta il numero di organizzazioni che si affidano ad applicazioni di comunicazione e collaborazione in cloud, questo tipo di minacce sarà ancora più difficile da rilevare nelle infrastrutture digitali distribuite e, con i dipendenti che lavorano in remoto, riuscire a imporre restituzioni nel’'utilizzo di device e dati sarà ancora più difficile.

Le organizzazioni sceglieranno quindi tecnologie di sicurezza in grado di comprendere il comportamento dei dipendenti che operano in ambienti diversi come cloud, SaaS, endpoint. Tecnologie capaci di intervenire automaticamente quando un dipendente si comporta in modo anomalo, inviando ad esempio email a fonti esterne, accedendo a file inusuali o svolgendo altre attività inconsuete. Queste soluzioni lavoreranno insieme ai nuovi strumenti Zero Trust e si integreranno con le architetture Zero Trust per proteggere le organizzazioni dalle minacce interne”.

 

ARTICOLI CORRELATI