Dicembre è tradizionalmente il momento delle previsioni su quanto accadrà nell’anno che sta per iniziare. È un passaggio importante per definire i budget e assegnare le giuste priorità per i 12 mesi successivi. Uno dei settori più caldi del 2023 sarà inevitabilmente quello della cybersecurity, che è trasversale a qualsiasi attività, settore merceologico e aspetto della vita privata di tutti i cittadini. Per questo Security Open Lab ha interpellato gli esperti di sicurezza informatica dei maggiori vendor e ha chiesto loro di analizzare i trend del 2022, realizzare previsioni realistiche sul 2023 e infine di dispensare consigli alle aziende per non farsi travolgere dagli eventi.

Lo scenario

Il prossimo anno porterà in dote gli strascichi dell’emergenza pandemica e le conseguenze della complessa situazione geopolitica legata al conflitto ucraino. Il sipario di alza sulla crisi finanziaria ed energetica in Europa e su una profonda trasformazione sociale, a cui ha fortemente contribuito la rivoluzione delle modalità lavorative. La dipendenza del mondo reale da quello digitale si è accentuata, portando con sé sia notevoli vantaggi, sia effetti collaterali insidiosi, primo fra tutti l’ampliamento della superficie d’attacco e una complessità degli ambienti IT senza precedenti.

Il dato ha assunto in breve tempo un valore inestimabile, che ha alimentato il crescente numero di attacchi cyber orchestrati da criminali informatici sempre più abili nello sfruttare qualsiasi varco nelle maglie della security. Gli attaccanti agiscono sia per profitto sia per ideologia politica, con tecniche e tattiche in continua evoluzione, frutto dell’industrializzazione del cybercrime e della sua commistione con gli APT.

È evidente che il 2023 non sarà un anno tranquillo sotto l’aspetto cyber. Qualsiasi sia il frangente che si va ad analizzare, si trovano chiare indicazioni sul peggioramento del quadro generale e una macro-tendenza a un incremento generalizzato di attacchi contro i dati, che avranno impatti fisici oltre che virtuali su persone, aziende e istituzioni.

Ransomware, zero day e ampliamento della superficie d’attacco

Nel 2023 saranno riproposti con insistenza i leitmotiv del biennio precedente: phishing, ransomware, attacchi zero-day. Il successo delle campagne di phishing continuerà a promuoverle come strumento principe per la diffusione di malware e ransomware. Il fattore umano resterà determinante per il successo dei piani criminali, ma costruire la consapevolezza di cybersecurity in tutte le persone richiede tempo, investimenti e costanza. Fino a quando le corrette posture di cyber igiene non saranno diffuse in maniera capillare sia al lavoro sia nella vita privata, le infrastrutture aziendali saranno a rischio.

Il ransomware continuerà a essere un problema perché è remunerativo per i criminali informatici, e perché le sue formulazioni as-a-service hanno reso gli attacchi accessibili anche a chi non ha competenze tecniche. Inoltre, la sua efficacia lo ha reso un’arma appetibile anche da parte dei gruppi APT. La commistione fra cybercrime e APT emerge poi in maniera preponderante nello sviluppo sempre più veloce di attacchi zero-day, una volta prerogativa esclusiva degli APT più danarosi.

Cyber warfare

Clusit ha certificato il ritorno di spionaggio e sabotaggio, due attività cyber legate al conflitto armato in Ucraina e configurabili come armi della guerra digitale. Ad essere attaccate non sono solo le realtà governative, ma anche le aziende e le infrastrutture ritenute importanti, come trasporti, energetiche e simili. Le armi impiegate negli attacchi di questo tipo sono le stesse delle attività di cybercrime, ma spesso il fine è il danneggiamento o la distruzione dei sistemi, oltre alla destabilizzazione dell’opinione pubblica nei confronti della classe politica.

In questo contesto non sono da sottovalutare i risvolti legati alle supply chain: se il target degli attaccanti è troppo ben protetto per ottenere un incidente di successo, è probabile che vengano sfruttate le debolezze cyber di un piccolo fornitore per raggiungere il vero obiettivo. La tecnica è la stessa impiegata per i supply chain attack a sfondo finanziario, ma i danni potrebbero essere più materiali che economici e impattare direttamente sulla vita delle persone.

Nuovi tipi di attacchi

Il cybercrime è in continua evoluzione, sarebbe un errore dare per scontato che nel 2023 si vedranno solo azioni simili a quelle a cui abbiamo assistito quest’anno. Bisognerà stare in guardia da nuove sfide come quelle della crittografia post-quantistica, attacchi brute-force contro OAuth, furti di token e attacchi SSO. Per non parlare dell’uso sempre più strumentale di deepfake e dell’abuso di tool di collaborazione aziendale come Slack, Teams, OneDrive e Google Drive, perché sono una fonte ricca di dati sensibili.

Si rinnovano inoltre le previsioni di attacchi contro satelliti e operatori satellitari e l’attività di manipolazione dell’opinione pubblica tramite l’abuso di social network e altri canali diffusi. La fantasia e la flessibilità degli attaccanti potrebbe andare oltre e coinvolgere il metaverso e le intelligenze artificiali, come alcuni esperti hanno messo in preventivo.

Interventi governativi cercansi

Come ha sottolineato poco tempo fa il Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale Roberto Baldoni, la cyber security non si delega: ciascuno è responsabile della propria cyber security. In altre parole, non ci si può aspettare che qualcuno chiuda inesistenti confini cibernetici per tenere le minacce lontane dalle attività nazionali, siano esse pubbliche o private. Tuttavia, i Governi devono fare qualcosa.

Sul fronte ransomware l’Italia è parte della Counter-Ransomware Initiative insieme ad altri 29 paesi che partecipano alla stesura di regole comuni per il contenimento del fenomeno. È probabile che ci saranno ulteriori iniziative, fra cui la più scontata è la creazione, entro il 2025, di una legislazione ad hoc che regolamenti i pagamenti dei riscatti. Di recente l’Europa ha aggiornato la direttiva NIS con quella NIS2 e l’Italia ha istituito il perimetro di sicurezza nazionale cibernetica. Sono segnali importanti della consapevolezza del rischio informatico sempre più forte da parte dei governanti. La tutela delle infrastrutture strategiche nazionali diventerà una priorità, e la transizione digitale dovrà essere supportata dal PNRR, con l’auspicio che tutte le realtà produttive possano allinearsi su standard di sicurezza adeguati.

Affinché questo accada sarà poi necessario adottare in qualche misura un obbligo di sicurezza e privacy by design, allargato non solo alle aziende produttive, ma anche a tutti i beni di consumo che memorizzano ed elaborano dati, dalle automobili alle videocamere di sorveglianza.

Soluzioni e rimedi per non farsi sopraffare

Con la dissoluzione dei perimetri aziendali, l’approccio alla protezione deve riguardare gli utenti, che diventano di fatto la prima linea di difesa. Quasi tutti gli esperti concordano: oltre alla formazione occorre un approccio di gestione delle identità di tipo Zero Trust (fiducia zero), basato sulla premessa che nulla, interno o esterno all’azienda, debba essere ritenuto automaticamente sicuro. Lo stesso approccio prevede inoltre l’applicazione del principio del privilegio minimo per gli utenti e una micro-segmentazione della rete, che sono utili per prevenire movimenti laterali e danni ingenti in caso di un attacco andato a buon fine.

Quanto detto non inficia l’utilità di soluzioni di threat detection e prevention di ultima generazione, che sono indispensabili e per diversi motivi dovranno essere incentrate su alcuni princìpi cardine. Primo è l’impiego dell’intelligenza artificiale e del machine learning, che possono rilevare variazioni di comportamento all’interno dell’infrastruttura da parte di dati, utenti e sistemi. In secondo luogo, queste soluzioni possono dare priorità agli allarmi di sicurezza che richiedono attenzione e azioni immediate, senza sovraccaricare di lavoro gli analisti.

Il secondo principio è il consolidamento dei fornitori, al fine di ridurre quanto più possibile le piattaforme di monitoraggio: troppi dati erogati da console differenti creano confusione e penalizzano la visibilità, favorendo i criminali informatici. Il concetto di semplificazione che viene diffuso da diversi mesi dovrà diventare la regola. In ottica di attacchi alla supply chain, le imprese dovranno anche concentrarsi sulla scelta di partner e fornitori, per appiattire il divario esistente nelle conoscenze e nelle competenze in materia di cybersecurity.

Inoltre, è sempre bene non perdere di vista il nodo centrale della questione: nella maggioranza dei casi i cyber criminali sono a caccia di dati, quindi la gestione del dato (conservazione, trasmissione, backup) deve diventare un’attività ad alta priorità.

L’ultima precisazione è d’obbligo: non è possibile bloccare tutti gli attacchi. Anche le infrastrutture meglio protette subiranno incidenti il cui impatto sarà direttamente proporzionale alla mancanza di organizzazione. Solo in presenza di un piano di Incident Response e Disaster Recovery progettato da personale competente in base al rischio cyber, periodicamente testato e aggiornato, l’impatto di un attacco potrà essere contenuto e avere conseguenze minime o nulle.