Ransomware e phishing sono due delle maggiori minacce alla sicurezza delle aziende pubbliche e private di tutte le dimensioni. Zscaler ha pubblicato due report al riguardo, di cui abbiamo parlato approfonditamente con Marco Catino, Principal Sales Engineer di Zscaler in Italia. Gli elementi emersi confermano la necessità di formazione, Intelligenza Artificiale e analisi comportamentale per contrastare il fenomeno del phishing. Inoltre, la visibilità su tutta l’infrastruttura grazie a una piattaforma di security unificata e lo Zero Trust possono essere strumenti preziosi per interrompere la Kill Chain il prima possibile.

Fra i dati più rilevanti del report di ThreatLabz sul phishing ci sono il fatto che la maggior parte degli attacchi moderni si basa su credenziali d’accesso rubate, la crescente minaccia degli attacchi Adversary-in-the-Middle (AitM), l'aumento dell'uso dell'InterPlanetary File System (IPFS), nonché l’utilizzo di kit di phishing provenienti dal dark web. Quali sono a vostro avviso gli sviluppi futuri di una modalità di attacco sempre più efficace?

È difficile prevedere come gli attaccanti si muoveranno in termini di incremento della propria efficacia; l'imprevedibilità è storicamente una delle caratteristiche che ha definito gli attacchi di successo. Pensare "out of the box" è più semplice per chi attacca, e tipicamente chi si difende è sempre stato limitato a mettere in piedi muri a protezione da più vettori possibili, tramite strumenti verticali pensati per tutelarsi da specifiche tipologie di attacco. La limitazione di questo approccio è legata proprio alle architetture a silos, in cui ogni soluzione ci aiuta ad evitare un certo tipo di attacco; così facendo però rimangono parecchie intercapedini tra i singoli silo, che un criminale può sfruttare per arrivare all'obiettivo.

Marco Catino, Principal Sales Engineer di Zscaler in Italia

Un esempio lampante è proprio quello dell'InterPlanetary File System, che nasce come strumento di democratizzazione dell'informazione e contro la censura, ma diventa presto un buon modo per aggirare la maggior parte dei filtri basati su reputation sfruttando la fiducia delle Content Delivery Network che veicolano IPFS. La stessa cosa possiamo dirla riguardo l'intelligenza artificiale: strumenti come ChatGPT permettono di elaborare e sintetizzare grandi quantità di dati, ma permettono anche di scrivere mail di phishing difficilmente identificabili da un essere umano.

Per concludere, credo che in futuro gli attacchi saranno sempre più sofisticati, sfrutteranno ogni innovazione, inclusa l’intelligenza artificiale, IFPS o qualsiasi altra tecnologia che consenta di aggirare gli strumenti messi in piedi per difendersi. Il vantaggio dell'attaccante è che ha ben chiaro quali sono tali tecnologie a difesa, e può studiare come sfruttare le "intercapedini" di cui parlavo prima.

Quali sono le soluzioni e le best practice che Zscaler consiglia per contrastare attivamente il phishing?

Il phishing è solo uno, forse il più comune e noto ma comunque solo un esempio, dei possibili metodi di attacco. Ci sono molti modi per difendersi dal phishing, come avere utenti istruiti, attenti e consapevoli, o utilizzare strumenti più o meno avanzati in grado di identificare una email o una pagina di phishing, o ancora avvalersi di database sempre aggiornati di IoC per questo tipo di attacco. Ma rimarrà impossibile, o almeno altamente improbabile, riuscire a identificare e neutralizzare ogni singolo tentativo di phishing.

Se l'attaccante ha il vantaggio di conoscere gli strumenti di difesa, il difensore ha il vantaggio di poter bloccare anche solamente una delle varie fasi necessarie ad un attacco di successo. Lockheed Martin ha definito questo concetto poco più di 10 anni fa, mutuando dal mondo militare, e ha portato un po’ di ottimismo mostrando che basta impedire a un cybercriminale di portare a termine uno dei sette step della Kill Chain per neutralizzare un attacco. Il phishing appartiene alla fase di delivery, quella in cui viene veicolato il malware, ma anche se questa ha successo non vuol dire aver perso.

Anche in questo periodo, sia che si lavori in vacanza o in ufficio, per impedire che un utente si ritrovi con il proprio device aziendale infettato, contrastare attivamente il phishing è importante, ma ancora più importante è essere in grado di osservare il comportamento di quell'utente e del suo device in modo più ampio e identificare al più presto le anomalie che qualunque tentativo di intrusione porterà. Più ampia è la nostra visibilità, più probabile sarà prevenire l'attacco. Per questo la platformization degli strumenti di security, cioè la uniformazione attraverso piattaforme disegnate in modo olistico, è secondo me uno dei principali passi da intraprendere nel breve. Zero Trust rientra in questo concetto, e si riferisce a un approccio che con poche soluzioni è in grado di coordinare la governance delle identità, la sicurezza della navigazione verso Internet, il brokering dell'accesso alle applicazioni private e la protezione dei dati aziendali. Riducendo o eliminando le pericolose intercapedini. La stessa Intelligenza Artificiale che rende difficile identificare mail di phishing, potrà poi aiutarci a sfruttare la mole di dati raccolta per rompere la Kill Chain il prima possibile.

Sul fronte ransomware, rifacendomi al vostro report, è possibile avere un focus sull’Italia o in alternativa almeno sull’Europa, relativo a gruppi, TTP, obiettivi e suggerimenti ai difensori?

Non abbiamo dati specifici sull'Italia, ma sappiamo che si comporta come i propri vicini di casa Spagna e Francia. Abbiamo visto molte vittime nel mondo della pubblica amministrazione, che detiene molti dati sensibili e privilegiati, e soffre della fama di non essere particolarmente agile nella modernizzazione della propria cybersecurity. A difesa della Pubblica Amministrazione italiana però, posso dire che sto osservando un'attenzione particolare ad evolvere l'approccio alla difesa dei propri dati. Zscaler sta dando una mano, aiutando a fornire gli strumenti necessari ad implementare un'architettura Zero Trust in grado di ridurre la superficie di attacco, aumentare la protezione contro le compromissioni e migliorando la User Experience di tutti gli utenti.