Stress da cybersicurezza, gli attacchi continuano a mutare

Il rischio di burnout è dietro l’angolo. Per chi lavora nella cybersicurezza e nell’IT aziendale, gli ultimi due anni e mezzo sono stati un periodo di intensa attività, di cambiamenti e probabilmente di stress, considerando che con la diffusione dello smart working su scala mondiale sono aumentati i rischi di subire un attacco informatico. Con l’avvio del conflitto bellico in Ucraina e con le tensioni geopolitiche tra blocco filorusso e Paesi amici dell’Ucraina, lo scenario è peggiorato ancora. 

Questo quadro è dipinto perfettamente nel nuovo “Global Incident Response Threat Report”, studio annuale di Vmware che in questa edizione racchiude le esperienze e le opinioni di 125 professionisti della cybersecurity e dell’incident response di aziende di diversi Paesi. Il 65% degli intervistati (nel mese di giugno) ha osservato un incremento di cyberattacchi dopo l'invasione dell'Ucraina da parte della Russia. Ma anche in precedenza la situazione non era rosea.

Il 47% dei responsabili della sicurezza informatica ha detto di aver sofferto di burnout o di forte stress nell’ultimo anno (i dodici mesi precedenti all’intervista), un dato sicuramente elevato ma in leggero calo rispetto al 51% emerso dal report del 2021. Tra chi ha sperimentato stress o burnout, il 69% ha preso in considerazione di lasciare il proprio lavoro, ma è anche vero che due terzi dei datori di lavoro hanno adottato programmi di benessere aziendale per aiutare i dipendenti ad affrontare questi problemi.

Quanto alle tendenze in corso nel panorama degli attacchi informatici, i ransomware si confermano protagonisti. Il 57% dei professionisti di cybersicurezza ha osservato tentativi di attacco ransomware diretti verso la propria azienda nei 12 mesi precedenti all’intervista, il 66% ha riscontrato la presenza di programmi di affiliazione e/o partnership tra gruppi di ransomware. Oggi, come sottolineato da Vmware e da diversi altri vendor, sempre più gli attori cybercriminali si stanno coalizzando, ovvero creano “cartelli” per estorcere denaro alle aziende bersaglio attraverso tecniche di doppia estorsione, aste di dati e ricatti.

Altra tendenza emersa dalle interviste sono gli attacchi rivolti alle Api (Application Programming Interface), che tra 2021 e 2022 hanno rappresentato il 23% degli episodi di attacco complessivi. Eventualità ricorrenti sono l'esposizione dei dati (osservata dal 42% degli intervistati nell'ultimo anno), gli attacchi SQL e API injection (rispettivamente 37% e 34%) e i Distributed Denial-of-Service (DDoS, 33%). Inoltre, sottolinea Vmware, i cosiddetti movimenti laterali sono il nuovo “campo di battaglia”: rilevati nel 25% degli attacchi del periodo coperto dallo studio, si tratta di operazioni che prevedono lo spostamento di una minaccia all’interno di una rete, dal punto di accesso fino al luogo in cui risiedono i dati di valore, come informazioni riservate, segreti industriali o password.

Per sondare le reti i criminali utilizzano vari strumenti, come host di script (nel 49% dei casi, secondo gli intervistati), archiviazione di file (46%), PowerShell (45%), piattaforme di comunicazione aziendale (41%) e .NET (39%). Analizzando i dati di telemetria all'interno di Contexa, un cloud di threat intelligence integrato nei propri prodotti di sicurezza, Vmware ha rilevato che nei soli mesi di aprile e maggio 2022 quasi la metà delle intrusioni conteneva un evento di movimento laterale. 

Un ulteriore fenomeno, più di nicchia ma potenzialmente in crescita nei prossimi anni, è quello dell’uso di contenuti video e audio manipolati con l’intelligenza artificiale. “Per eludere i controlli di sicurezza, oggi i criminali informatici stanno introducendo nei loro metodi di attacco anche i deepfake", ha spiegato Rick McElroy, principal cybersecurity strategist di Vmware. "Secondo il nostro report, due intervistati su tre hanno rilevato l’utilizzo di deepfake dannosi come parte di un attacco, con un aumento del 13% rispetto allo scorso anno e l'e-mail a rappresentare il metodo di trasmissione più comune. Oggi i criminali informatici non si limitano più a utilizzare video e audio manipolati nelle campagne di disinformazione o nelle influence operations. Il loro nuovo obiettivo è sfruttare la tecnologia deepfake per ottenere l'accesso e compromettere le organizzazioni".

Come stanno reagendo, di fronte a tutto questo, i responsabili della cybersicurezza aziendali? Nel campione dello studio di Vmware, l’87% ha detto di essere in grado di interrompere le attività dei criminali informatici molto spesso (37%) o a volte (50%), e di farlo utilizzando anche nuove tecniche. Tre quarti degli intervistati hanno affermato di utilizzare le patch virtuali come meccanismo di emergenza. 

La prima e più importante strategia di difesa, tuttavia, è quella di ottenere una buona od ottima visibilità sulla superficie d’attacco, così da accorgersi preventivamente delle vulnerabilità e, in caso di assalti, minimizzare i tempi di reazione. “Per difendersi dalla progressiva estensione della superficie di attacco, i team di sicurezza hanno bisogno di un livello adeguato di visibilità su carichi di lavoro, dispositivi, utenti e reti per rilevare, proteggere e rispondere alle minacce informatiche", ha dichiarato Chad Skipper, global security technologist di Vmware. "Se i team di sicurezza prendono decisioni basate su dati incompleti e imprecisi, viene inibita loro anche la capacità di implementare una strategia di sicurezza granulare e i loro sforzi per rilevare e bloccare gli attacchi laterali sono ostacolati da un contesto limitato dei loro sistemi".