CrowdStrike: come cambia lo scenario cyber crime

Il cyber crime è diventato un ecosistema complesso ed articolato che ha nel mirino qualsiasi tipo di impresa, senza porsi limiti per dimensione o mercato

Tecnologie/Scenari
Attenzione alla vecchia distinzione tra gli attacchi di alto livello, portati dai cosiddetti state actor, e gli attacchi "normali", per i quali scende in campo il crimine informatico. Questa distinzione ovviamente resta vera ma, all'atto pratico, per le aziende conta poco sapere chi sta cercando di violare le loro infrastrutture. Prima di tutto bisogna difendersi, dopo ci sarà tempo e modo per cercare di capire chi ha attaccato. O meglio, cercare di individuare chi ha fatto cosa in un ecosistema del cyber crime che si sta facendo sempre più articolato e connesso.

Questa è una delle conclusioni più interessanti che emergono dal Global Threat Report 2021 di CrowdStrike. Una analisi che parte dai dati raccolti direttamente dalle piattaforme dell'azienda di cyber security, in particolare dei dati di telemetria, e che si combina con i risultati delle attività di threat hunting e threat intelligence dei suoi team di esperti e della sua parte servizi.

Tutte queste informazioni contribuiscono a delineare anche per la cyber security uno scenario che abbiamo visto per tutto il mondo digitale: se il 2020 è stato indubbiamente un anno anomalo, non ha introdotto rivoluzioni ma ha accelerato molto evoluzioni che erano già in corso. Analizzarlo, quindi, aiuta a trarre indicazioni per come evolverà in futuro il panorama non tanto delle singole minacce quanto delle dinamiche di tutto il cyber crime.

Il cyber crime trasversale

Il primo elemento da considerare è, come accennato, la progressiva sovrapposizione tra i due grandi protagonisti tradizionali degli attacchi in rete: gli attaccanti nation-state, che abbiamo sempre associato agli attacchi contro le grandi realtà governative o le infrastrutture critiche nazionali, e l'ecrime in senso stretto, ossia i singoli e i gruppi che si considerano mossi da interesse prevalentemente economico. "Le varie possibili tecniche di attacco sono state sempre più sdoganate e oggi vengono usate da gruppi di diverso tipo", spiega Stefano Lamonato, Solution Architecture Manager, Europe Channel & MSSP, di CrowdStrike in Italia: "quindi non possiamo più immaginare una ideale linea di confine tra l'attaccante avanzato, nation-state, e l'ecrime, come operatore meno sofisticato".
lamonato stefano   413x531pxStefano Lamonato, Solution Architecture Manager, Europe Channel & MSSP, di CrowdStrike in ItaliaIn parte questo è dovuto ad una progressiva e già nota "commoditizzazione" dei possibili vettori di attacco, che passano nel tempo dalle mani dei cyber criminali più capaci a quelle dei meno sofisticati. In parte è anche causato dalla necessità, per alcuni state actor, di monetizzare parte delle loro attività. Perché lo spionaggio "puro" ha un valore politico ma non rende a breve termine quanto un banale attacco ransomware.

Il risultato pratico di questa evoluzione è che "non ci troviamo più in un mondo in cui determinate aziende si devono preoccupare solo di determinati attaccanti", sottolinea Lamonato. Tutti possono essere bersaglio di chiunque. Anche le imprese generaliste possono essere colpite da uno state actor e non solo come vittime collaterali di un attacco verso bersagli più strategici. E l'ecrime che punta a monetizzare gli attacchi può avere abbastanza risorse da mirare ai bersagli più importanti. Tanto che la crescita del "big game hunting" - la caccia grossa - è uno dei fenomeni simbolo del 2020.

La specializzazione paga

Se tutti possono avere interesse a fare tutto, la tendenza alla specializzazione delle componenti del cyber crime può sembrare un controsenso. In realtà non è così: il cyber crime è sempre più un ecosistema in cui saper fare bene il proprio "lavoro" è un vantaggio. "Che ci sia un ecosistema criminale cyber - commenta Lamonato - non è di per sé un fatto nuovo. Lo è, ed è anche più interessante, che i gruppi che ne fanno parte siano sempre più specializzati. Quello che è già accaduto da tempo nel crimine organizzato 'reale', accade ora anche per la criminalità digitale".

Non è, ovviamente, una constatazione che metta più tranquilli i potenziali bersagli. Una volta gli onori della cronaca erano solo per i grandi gruppi criminali auto-consistenti, capaci cioè di sviluppare un malware, analizzare le infrastrutture IT delle vittime, penetrarle, veicolare attacchi, rubare informazioni. Gruppi cioè dotati di skill e risorse finanziarie, molto spesso state actor. Poi questa catena "autarchica" ha cominciato a spezzarsi.
crowdstrike ecosysC'è chi ha abbandonato la parte di sviluppo dei malware per concentrarsi solo sulle tecniche di diffusione, chi si è dedicato a violare le reti per rivendere ad altri l'accesso alle reti colpite, chi ha sviluppato la propria capacità di "pulire" i riscatti in criptovaluta, e via specializzando. "Siamo arrivati ad un ecosistema che si evolve costantemente, basandosi proprio sul concetto della specializzazione e del miglioramento di specifici skill o servizi. E che proprio in questo modo trova sempre forme per autoalimentarsi", spiega Lamonato.

Anche perché la specializzazione permette di rispondere alle azioni che i potenziali bersagli mettono in atto per proteggersi. Ad esempio, oggi una azienda attenta non pagherebbe un riscatto per riavere i dati criptati da un ransomware, banalmente perché ha messo in atto procedure di backup che permettono di ripristinare i dati "rapiti" a costo zero. Ecco quindi entrare in azione da un lato un nuovo modus operandi, in cui i dati sono esfiltrati dagli attaccanti prima di criptarli, e dall'altro gli specialisti dei data leakage, che mettono a disposizione siti e forum dove pubblicare parte dei dati stessi. E le aziende così pagano ancora, non più per riavere i loro dati ma per evitare che siano resi pubblici.

Focus sui supply chain attack

Il 2020 ci ha anche lasciato in eredità il tema del supply chain attack, per via dell'impatto esteso e ancora non completamente stimato del caso SolarWinds. Ancora una volta, il tema di fondo non è nuovo: i supply chain attack sono noti da tempo, e in più accezioni del termine. Sia in senso stretto, come violazioni del processo che genera un prodotto, in modo da usare il prodotto stesso come veicolo per attacchi cyber. Sia in senso lato, come violazione delle infrastrutture IT di un attore di una supply chain per arrivare a penetrare il capofila della catena stessa. Ad esempio, entrare nell'IT di un fornitore per arrivare ai sistemi del suo committente.

Paradossalmente, proprio la grande rilevanza del caso SolarWinds rischia di far passare in secondo piano i suoi possibili insegnamenti perché il caso appare anomalo, un'eccezione ad una regola meno preoccupante. "È stata - spiega Lamonato - la tempesta perfetta: si è compromessa una software house che aveva il suo prodotto installato in tantissime aziende ed a livello di gestione IT, quindi con alti privilegi. E l'attaccante era sicuramente un attaccante evoluto con notevoli risorse. Ha creato qualcosa di molto mirato, ha potuto decidere dove completare la compromissione delle reti e dove lasciare dormiente la parte di primo accesso, conosceva bene il funzionamento di una serie di sistemi legati al cloud, ne ha facilmente bypassato le tecniche di protezione".
cyber securityPremesso tutto questo, il caso SolarWinds dovrebbe comunque costituire un avvertimento per tutti. "Sui supply chain attack si fa ancora molta confusione e c'è poca focalizzazione sulle attività da svolgere", spiega Stefano Lamonato. Il messaggio in generale è che "Le aziende devono cominciare a guardare in modo diverso i loro fornitori, perché dare loro fiducia in senso informatico significa aprire loro parte della propria IT, mettere in comunicazione domini diversi. Il che crea ovviamente punti di contatto tra la potenziale vittima di un attacco e quella che ne diventa la vittima indiretta", sottolinea Lamonato.

La risposta non può essere non aprire mai la propria IT, ma farlo con policy ben precise e improntate al modello zero trust. "L'obiettivo - evidenzia Lamonato - è definire politiche di cyber security che richiedano ai fornitori un assessment della loro sicurezza IT, per non finire col 'portarsi in casa' inconsapevolmente le vulnerabilità del fornitore. Inoltre, sempre nella logica zero trust, è necessario implementare una attività costante e continua di analisi e validazione delle azioni fatte dai sistemi IT, anche in automatico".

In un'ottica più ampia, per CrowdStrike vale sempre il principio che non ci si può difendere in modo efficace da ciò che non si vede. La (relativa) novità dell'odierna cyber security sta nella criticità sempre maggiore del fattore tempo. "Oggi ci sono gli strumenti - spiega Lamonato - per reagire agli attacchi degli attori ecrime come a quelli anche più complessi degli state actor. La differenza però la fa il nostro tempo di reazione: è su questo aspetto che bisogna investire, perché ridurlo al minimo è l'arma più importante per difendere le infrastrutture IT". E statistiche alla mano c'è sempre meno margine in questo senso: dalla breccia iniziale al completamento di un attacco un cyber criminale "classico" impiega circa quattro ore, uno state actor anche meno di venti minuti.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori