Ransomware e supply chain cybersecurity Crowdstrike

Ci sono alcune tendenze della cybersecurity che, più di altre, dovrebbero catalizzare l’attenzione delle aziende in questo 2022. L’ultima edizione dell’indagine Global Attitude Survey di Crowdstrike pone un particolare accento sui temi degli attacchi alle supply chain e sui ransomware, non solo cresciuto lo scorso anno, ma evoluti in modo preoccupante.

Nel primo caso, si nota come nel 2021 ci sia stato un 32% del campione analizzato (2.200 senior It decision maker e professionisti della sicurezza nel mondo) che ha registrato un reiterato numero di attacchi, mentre nel 2018 la percentuale era la metà dell’attuale. Il 77% ha ammesso di aver subito almeno un attacco lo scorso anno: “Per un malintenzionato è certamente più facile colpire una terza parte, spesso meno strutturata di un’azienda medio-grande”, commenta Luca Nilo Livrieri, senior manager sales engineering Southern Europe di CrowdStrike.. “SI colpiscono diversi bersagli e cresce anche la sfiducia verso certi fornitori, di per sé affidabili, a causa della permanenza in azienda di componenti legacy datate, per esempio nell’area della produzione o delle operations”.

A farne le spese, secondo il vendor, è stata soprattutto Microsoft, a causa delle continue vulnerabilità che emergono nei prodotti, ma anche dell’alto tasso di diffusione. La sensazione è che le soluzioni esistenti basate su firme e tecnologie legacy non siano sufficienti.

Per quanto riguarda i ransomware, il 2021 è stato caratterizzato da un aumento degli attacchi a doppia estorsione, dove un primo riscatto viene chiesto classicamente per riottenere i dati bloccati o sottratti, ma a questo se ne aggiunge un secondo per evitare che gli stessi dati siano pubblicati o rivenduti. Anche qui c’è un 32% del campione che ha ammesso di essere stato colpito più di una volta, contro il 24% che lo aveva dichiarato nel 2020: “Gli attaccanti si stanno concentrando sul furto di identità, perché rende più veloce il successo di un tentativo, utilizzando credenziali già integrate nel pacchetto”, sottolinea Livrieri.

Luca Nilo Livrieri, senior manager sales engineering Southern Europe di Crowdstrike

Insomma, il panorama della cybersecurity è ancora complesso e poco rassicurante. La colpa è di infrastrutture It ancora troppo frammentate, con strumenti di protezione adottati in momenti e con logiche diverse, poco integrati fra loro. Ma c’è anche un problema, sempre aperto, di consapevolezza interna, seppure questa è una componente in miglioramento. Tuttavia, il 39% ritiene che il gap sia alto e manchino soluzioni adeguate e il 33% evidenzia un’insufficienza di competenze anche nel team It.

Si stanno però adottando alcuni strumenti che possono contribuire l’efficacia delle minacce. Uno di questi è la tecnologia Xdr, che si propone di consolidare proprio i vari strumenti eterogenei di protezione presenti nelle aziende. Un altro è la threat intelligence, che analizza e incrocia dati e segnali anche nel dark Web per segnalare ciò che di più pericoloso andrebbe osservato in chiave di prevenzione. La fase pandemica, poi. Ha accentuato l’adozione dell’autenticazione a doppio fattore, utile anche per difendersi dai ransomware un po' più convenzionali.

Un ulteriore elemento di preoccupazione è legato alla proliferazione dei container, soprattutto in contesti infrastrutturali orientati al cloud. Questo fa aumentare la superficie di attacco e fin qui le soluzioni adottate non appaiono sufficientemente efficaci. La strada corretta dovrebbe essere quella degli sviluppi in ottica security-by-design, ma si tratta di un principio ancora poco diffuso.

Cosa ci si deve attendere dal 2022? Crowdstrike suggerisce di concentrarsi meno sulla detection e più sull’incident response: “Non serve rincorrere ogni alert, che potrebbe rivelarsi poco significativo”, indica Livrieri. “Più importante è saper gestire un incidente critico, intervenendo sulla compromissione. Noi puntiamo della regola dell’1-10-60, ovvero un minuto per identificare un problema, dieci per analizzarlo e comprenderlo e sessanta per risolverlo”.

Una tendenza in consolidamento anche in Italia è quella dei managed services, delegati spesso a occuparsi della riduzione dell’enorme rumore di fondo generato dal traffico di minacce spesso vecchie e poco pericolose se correttamente identificate. Molte realtà, ormai, si affidano a specialisti per gestire un Soc o lavorare sulla threat intelligence: “Noi ci differenziamo perché abbiamo una visibilità e una copertura su scala mondiale, ma possiamo offrire anche un servizio chiavi in mano per le realtà meno strutturate. Questa tendenza, in combinazione con l’adozione di soluzioni Xdr, può dare una svolta a numeri per il momento ancora preoccupanti”, conclude Livrieri.