Il cybercrime è ormai un argomento di grande attenzione non solo per le aziende, ma anche per le pubbliche amministrazioni e per i Governi, che si trovano ad affrontare ondate di attacchi senza precedenti. Restringendo il campo all’Italia, la situazione è ottimamente riassunta dal Clusit, che negli ultimi 5 anni Clusit ha registrato un incremento degli incidenti del 60%, di cui il 21% solo nel 2022. E in questo panorama il cybercrime padroneggia con il 93% del totale di attacchi rilevati (+ 150% rispetto al 2021).

Per analizzare la situazione Security Open Lab ha chiamato a raccolta alcuni dei maggiori vendor e system integrator di security in Italia: Acronis, Check Point Software Technologies, Kaspersky, Proofpoint, SentinelOne, WatchGuard, Westcon e WithSecure. Tutti concordano sull’origine dell’impennata di attività criminali: la democratizzazione del cybercrimine che ha permesso di industrializzare gli attacchi cyber rendendoli altamente profittevoli e parimenti facili da orchestrare, anche per chi non ha le basi tecniche per farlo.

Il ransomware è il tipo di attacco che meglio riassume questi concetti: affiliati che fanno uso di piattaforme e kit di strumenti messi a punto da altri, che incassano riscatti da milioni di dollari per ridare accesso ai dati crittografati o in cambio della promessa di non diffusione degli stessi. Il ransomware però non è l’unico elemento in gioco: oggi i dati hanno un valore altissimo e alimentano varie attività, dal furto di proprietà intellettuali allo spionaggio, che sono attività principalmente legate agli APT, ossia agli attori sponsorizzati da stati nazionali.

L’industrializzazione poi porta con sé altri fattori importanti da considerare, uno su tutti la stratificazione degli attacchi e la specializzazione delle figure criminali che vi prendono parte, direttamente o indirettamente. All’inizio della catena di attacco lavorano quasi sempre gli Initial Access Broker, che sono i criminali specializzati nel furto di credenziali: usano quasi sempre il social engineering per impossessarsi con l’inganno di username e password validi, che poi vengono usati dagli attaccanti effettivi per un primo ingresso in rete, a cui seguono i movimenti laterali per l’esplorazione della infrastruttura, varie tecniche di escalation dei privilegi e l’individuazione dei cosiddetti “gioielli della corona”, che sono poi le informazioni con un valore tale da giustificarne il furto, l’esfiltrazione e/o la richiesta di ricatto.

Legati ai conflitti bellici non sono poi da dimenticare tutte le attività di matrice politica, che investono tradizionalmente APT e hacktivisti, ma che con il conflitto ucraino hanno spesso chiamato in causa anche il cybercrime. È poi importante ricordare che la portata di tutte le attività criminali si è ampliata a dismisura quando il perimetro delle aziende si è dissolto e ha accelerato il journey to cloud – complici la pandemia e il lavoro ibrido.

Semplificazione, visibilità, formazione

Chiarita la situazione, il problema è che cosa fare e come farlo, ossia con quali strumenti. Anche qui ci sono delle linee comuni su cui tutti gli esperti concordano, che potremmo riassumere con tre pilastri: semplificazione, visibilità, formazione. Semplificare significa rendere meno complessa la difesa informatica, mettendo a disposizione degli analisti strumenti intuitivi che siano di supporto al lavoro e non di complicazione. Nella concezione moderna, lo si ottiene con l’impiego dell’AI generativa, del machine learning, nella behavioral analyticts e delle numerose tecniche che sottostanno alla realizzazione di console che rispondono al linguaggio naturale e che forniscono informazioni contestualizzate sul rilevamento di anomalie riconducibili a TTP noti o sospetti. Questo permette intrinsecamente di aumentare l’efficacia dei difensori, accorciare i tempi di detection, di agevolare una risposta efficace, il tutto senza sottoporre gli analisti a stress insostenibili.

La visibilità è oggi un componente chiave e si raggiunge mediante il consolidamento di pochi prodotti altamente selezionati e l’uso di una console unica di controllo di tutta l’attività di cybersecurity, a prescindere dal fatto che gli asset si trovino on-premises o in cloud, e che il monitoraggio riguardi l’utente, l’endpoint, le periferiche IoT, le app o altro. La concretizzazione di questo concetto spesso passa per soluzioni XDR (Extended Detection and Response) che hanno una differente interpretazione da vendor a vendor, ma sono accomunate da un punto di osservazione unico della situazione, e da un unico motore di analisi in cui convergono tutti i dati.

La formazione è probabilmente, dei tre, il concetto più complesso. Fin qui si è parlato di tecnologie e di soluzioni, che sono una parte importante della cyber difesa, ma non sono sufficienti da sole. L’elemento umano è fondamentale per chiudere il cerchio della difesa. Fondamentale in partenza, per bloccare gli attacchi sul nascere neutralizzando il social engineering. Fondamentale nel comprendere l’importanza della security a sostegno e tutela del business, con investimenti adeguati. Fondamentale nell’abilità di detection e response.

Spesso si sente dire che il problema è fra la sedia e la tastiera, gli anglosassoni lo chiamano “human factor”. In effetti i criminali informatici hanno dimostrato di investire molte delle proprie risorse nelle tecniche atte a colpire l’anello debole della catena, ossia l’uomo. La soluzione esiste, e anche se non è infallibile potrebbe abbassare l’incidenza degli attacchi riusciti di diversi punti percentuali - che equivalgono a un risparmio di milioni di dollari di danni. È la formazione, che spesso latita o viene fatta in maniera scorretta e inefficace. Affinché funzioni, la formazione dev’essere continua, sia con lezioni teoriche sia con esercitazioni pratiche che facciano comprendere i trucchi degli attaccanti, gli obiettivi, le conseguenze. E dev’essere rivolta a tutto il personale finanche ai dirigenti, che sono i più ritrosi verso questo genere di attività, ma anche i più soggetti ad attacchi.

Dirigenti che sono chiamati a decidere i finanziamenti da stanziare per la security, quindi devono essere messi nelle condizioni di comprendere perché un progetto di business debba essere pensato già dall’inizio con la security inside, perché la sicurezza informatica non è una spesa ma un investimento sul futuro dell’azienda e sul successo delle sue attività. E che dovrebbero sempre avere presente lo scenario dei rischi a cui il proprio business è soggetto, per poter abbassare questo rischio.

Altro capitolo legato alla formazione è quello dell’abilità di detection e response. In Italia come nel resto del mondo è difficile, spesso impossibile, trovare esperti qualificati in numero tale da soddisfare la domanda. Le figure davvero preparate sono poche e sono molto costose, e ormai è chiaro che occorre una copertura H24/365 per fronteggiare gli attacchi, spesso scatenati fuori dall’orario lavorativo. Poche aziende di grandi dimensioni possono permettersi un SOC interno, per gli altri la soluzione sono gli MSSP. Per questo leggerete nei contributi singoli che molti vendor hanno messo l’accento sul canale, sui partner e sulle certificazioni.