Stiamo assistendo a un consistente aumento degli attacchi sia per numero sia per sofisticazione. Servono consapevolezza, awareness e soluzioni avanzate di protezione cyber per abbassare la soglia di rischio e gestire le minacce in maniera efficace. Ne abbiamo parlato con Massimiliano Galvagna, Country Manager Italia di Vectra AI, che ha tratteggiato un quadro chiaro della situazione odierna: oltre a quanto detto sopra, i cyber criminali hanno affinato la fase di preparazione degli attacchi cyber, che è ormai attentamente pianificata in ogni dettaglio per non lasciare nulla al caso.

Con l’industrializzazione del cybercrime e il modello di business as-a-service, oggi le differenti fasi della catena di attacco vengono affidate a una serie di figure specializzate del cybercrime. Dallo sviluppatore di malware e di exploit all’Initial Access Broker, passando per l’addetto al riciclaggio delle criptovalute e lo specialista di infrastrutture, oggi gli incidenti cyber sono frutto di una cooperazione di alto profilo e di un lavoro sartoriale in cui l’attacco è cucito sulla vittima prescelta, in modo da garantire il raggiungimento degli obiettivi – che nel caso del cybercrime sono finanziari.

Il problema è che l'evoluzione e la rapidità con cui gli attaccanti portano avanti queste azioni è impressionante rispetto alla velocità a cui spesso si muovono i difensori, come dimostra per esempio il fatto che l’Italia è uno dei primi 5 Paesi più attaccati al mondo dal ransomware. Sebbene proprio il ransomware continui a rappresentare un tipo di attacco estremamente remunerativo per gli attaccanti, non bisogna fare l’errore di pensare che gli obiettivi siano solo le realtà con elevata capacità di spesa. Stringendo il campo all’Italia, Galvagna sottolinea infatti che i criminali informatici hanno abbassato il target, colpendo sempre di più la piccola e media impresa, a cui viene chiesto un riscatto proporzionato alla disponibilità economica.

Massimiliano Galvagna, Country Manager Italia di Vectra AI

Parallelamente si è abbassato anche il tempo necessario per portare avanti un incidente, che è sceso addirittura a meno di un'ora e 30 minuti. Significa che se la risposta all’attacco non è immediata ed efficace, la situazione può diventare facilmente critica. Oltre tutto, i dati Vectra indicano che stanno diminuendo gli attacchi basati su malware e sono invece in crescita quelli che non fanno uso di malware, e che mettono quindi in forte crisi le tecnologie basate sul riconoscimento del malware.

Il focus sull’Italia

Galvagna reputa che l’esperienza vissuta a partire dalla pandemia abbia aumentato la consapevolezza del rischio cyber nel nostro Paese. Oggi si denotano maggiore attenzione, maggiori investimenti e un lavoro notevole da parte dell'Agenzia per la Cybersicurezza Nazionale. Il problema è che gli attaccanti non si fermano e, man mano che migliorano le difese, le minacce diventano più sofisticate.

La poco gratificante posizione dell’Italia nella classifica dei Paesi più attaccati quindi di chi è figlia? Galvagna punta il dito sulla mancanza endemica di formazione allargata a tutti gli utenti, oltre che sul mancato coinvolgimento di tutta l’azienda nel problema della difesa cyber aziendale. I recenti avvenimenti hanno finalmente dato una spinta nella giusta direzione e oggi l’impegno in tal senso è decisamente migliorato, ma stiamo pagando le mancanze del passato.

Anche perché – sottolinea Galvagna - stiamo tutti prendendo coscienza del fatto che la security non è solo un problema delle aziende. È anche un problema personale, perché non dimentichiamo che un attacco cyber può colpire anche il singolo utente sottraendo le sue credenziali, accedendo al suo conto corrente, rubando i dati della sua carta di credito e via discorrendo. Sono tecniche che comunque soddisfano la sete di denaro dei cyber criminali.

L’altro aspetto su cui lavorare è la resilienza. Galvagna prende atto che in Italia, anche grazie al lavoro di ACN, si inizia a parlare e si dà sempre più importanza al supporto delle imprese italiane per aumentare la loro resilienza. In occasione dell’evento romano CyberSec2023 a cui ha partecipato Vectra si è discusso della creazione di fondi per aumentare la resilienza delle piccole aziende italiane, che rappresentano circa il 90% del nostro tessuto industriale. Una ulteriore spinta, suggerisce Galvagna, potrebbe arrivare da una maggiore attività di sensibilizzazione e da una spinta agli investimenti, magari tramite detassazione.

Dal problema alla soluzione

Sopra abbiamo accennato alla crisi delle vecchie tecnologie di difesa basate sul riconoscimento del malware. Galvagna non la presenta come una grossa perdita, perché anche quando erano funzionali al loro scopo, queste soluzioni obsolete comportavano comunque un problema di “rincorsa perpetua”: la loro utilità era legata alla velocità con cui le soluzioni di difesa venivano aggiornate per riconoscere i nuovi malware dopo che si erano presentati. Fino a quando i malware erano pochi e gli oggetti connessi a Internet erano in numero gestibile, questa tecnica di difesa era accettabile, ora non lo è più.

Oggi gli attaccanti cercano le credenziali valide degli utenti, che spesso sono decentralizzate all'esterno dell'azienda e archiviate in cloud, dove per un attaccante è più facile rubarle orchestrando - per esempio - un attacco a Office 365. È tramite queste credenziali valide che i cyber criminali si autenticano in rete e procedono con l'attacco. Il grosso problema di oggi è quindi che l'infrastruttura cloud è particolarmente esposta, diventando un bersaglio facile e sempre più soggetto ad attacchi. Inoltre, il ransomware resta sulla cresta dell’onda e, per via della situazione geopolitica, crescono gli attacchi sponsorizzati dagli stati nazionali che hanno come obiettivo le infrastrutture critiche.

La soluzione di Vectra è efficace nel contrasto di queste minacce e delle altre attualmente in circolazione in quanto, come sottolinea Galvagna, “nello sviluppo dei suoi prodotti, Vectra ha pensato sin da subito ad algoritmi concepiti per rilevare la tecnica di attacco e non il tool utilizzato. Questo permette di applicare in maniera semplice ed efficace la nostra protezione anche alle infrastrutture cloud in modalità IaaS, PaaS e SaaS. La piattaforma Attack Signal Intelligence offre due coperture in ambito cloud: la prima in ambito rete, analizzando il traffico generato dai workload in cloud tramite gli algoritmi di Intelligenza Artificiale. La seconda, invece, consiste nel monitoraggio e nell’analisi del comportamento degli utenti per evidenziare uso e abuso delle credenziali: la piattaforma cattura i log direttamente in ambito SaaS e individua velocemente se sono state compromesse delle credenziali. In caso affermativo, le disattiva immediatamente per bloccare l’attività dell’attaccante”.

In riferimento agli attacchi portati avanti dagli APT, Galvagna spiega che la soluzione Vectra è in grado di analizzare tutto quello che accade lato computer on-premise e in cloud, e relativo agli utenti di qualsiasi provenienza (VPN, cloud, etc.), e di rilevare Tecniche, Tattiche e Procedure (TTP) di questa categoria di attaccanti. Questo perché gli algoritmi sono progettati per riconoscere i tool di attacco noti, quelli sconosciuti contraddistinti da comportamenti noti e i tool propri dei sistemi operativi di cui gli attori APT spesso abusano.

La soluzione Vectra è attiva anche nella protezione degli ambienti OT, o per meglio dire nella protezione di “tutti i dispositivi connessi alla rete”, come puntualizza Galvagna, che prosegue: “gli algoritmi sono stati pensati per rilevare ogni tecnica di attacco a una qualsiasi macchina che ha un indirizzo IP, quindi che naviga in Internet”. Il vendor sta portando avanti molti progetti in Italia, soprattutto negli ultimi mesi, per mettere in sicurezza infrastrutture industriali, macchine OT, SCADA e di altro tipo, tramite il layer di Vectra. Galvagna tiene a precisare che in questo ambito Vectra non svolge una analisi dei protocolli industriali: si focalizza sull’analisi dello strato IT dei dispositivi OT. In sostanza, protegge il sistema operativo delle applicazioni industriali che utilizzano protocolli industriali, e la tecnica è efficace perché “tipicamente gli attaccanti non attaccano il protocollo industriale o l'applicazione industriale, quanto piuttosto il sistema operativo, perché è l’elemento più noto, più vulnerabile, più standard”.

Non meno importante, la soluzione Vectra protegge anche tutto ciò che è IoT: i dispositivi che generano traffico di rete e sono installati all'interno dell'infrastruttura possono veicolare un attacco, quindi vengono protetti con le stesse modalità descritte sopra.