Fine anno è da sempre il momento di tirare bilanci sui 12 mesi passati e contestualmente di cercare di capire, almeno per sommi capi, che cosa accadrà nei 12 mesi successivi. Le previsioni si fanno in tutti i settori e a maggior ragione in ambito cyber, dove non si può improvvisare una difesa quando si verifica un attacco, ma è imperativo prevenire, facendo tesoro delle esperienze passate e sfruttando le tecnologie di cui si dispone. Per le previsioni di cybersecurity 2024 abbiamo raccolto le opinioni di 25 aziende di cybersecurity fra vendor e distributori. Tutti concordano sul fatto che gli attacchi cyber sono destinati ad aumentare sia per numero che per intensità, il che rende sempre più necessaria una protezione cyber adeguata. La carne al fuoco è tanta, ma complessivamente gli esperti hanno fatto emergere alcuni macro temi ricorrenti su cui vale la pena fissare l’attenzione.

Intelligenza artificiale e Machine Learning

La grande protagonista del 2024 sarà l’AI nelle sue varie forme, seguendo il trend di forte hype che ha preso il via nel 2023. Fra le poche certezze che questo comparto riserva c’è sicuramente l’ampio sfruttamento delle AI sia da parte dei difensori che degli attaccanti. In un circolo vizioso che è solo all’inizio, le aziende e gli Stati dovranno obbligatoriamente usare le intelligenze artificiali per fronteggiare gli attacchi scatenati con la medesima tecnologia, che altrimenti non sarebbero arginabili. Fin qui lo scenario è piuttosto scontato e il dibattito verte attorno al facile mezzo che l’AI offre agli attaccanti per migliorare molte fasi dei propri attacchi e all’automazione delle difese.

Questa, tuttavia, è solo la punta di un iceberg, in uno scenario che è destinato a complicarsi fortemente nel momento in cui le organizzazioni sfrutteranno massivamente i Large Language Model per migliorare la propria efficienza operativa, dando loro in pasto i propri dati. Considerato che il dato è l’obiettivo primario degli attaccanti, più di uno specialista ha previsto un contesto in cui gli attaccanti inizieranno a prendere di mira non le aziende, ma direttamente i modelli di LLM per impossessarsi dei dati su cui basano il proprio funzionamento. Un attacco che potrebbe anche non passare per i canali tradizionali, ma che potrebbe sfruttare una AI per decifrare un codice che permetta poi la manipolazione di un LLM.

Il rovescio della medaglia è ovviamente l’impiego massivo delle AI per individuare comportamenti anomali di utenti, sistemi e dati e porvi rimedio in maniera altamente automatizzata, ottimizzando i costi e l’impiego delle risorse umane, sempre carenti. In altre parole, grazie all’AI i team incaricati della sicurezza potranno dimostrarsi più efficienti.

Cloud

Il lavoro ibrido ormai consolidato e i vantaggi offerti dalla digitalizzazione spingeranno ad ampliare senza sosta il passaggio al cloud. Una evoluzione che non passa inosservata agli attaccanti, attirati dalla sempre più ingente quantità di dati che circola sul cloud. Questo movente, insieme ai numerosi facilitatori di attacco come gli errori di configurazione e la scarsa visibilità negli ambienti misti cloud e on-premise, sfocerà in attacchi sempre più mirati e impattanti per le vittime.

Per evitare che l’interferenza degli attaccanti comprometta i progetti e non vanifichi gli investimenti è necessario adottare quell’approccio secure-by-design di cui si parla da anni e che di fatto pochissimi hanno realmente concretizzato.

Attacchi alle identità

Nel 2023 abbiamo assistito a una impennata degli attacchi contro le identità, che di fatto sono diventate il nuovo perimetro. La digitalizzazione ha infatti spostato l’attenzione dalle aziende agli individui, che sono molto più difficili da difendere. Al riguardo il dibattito verte su tre fronti principalmente: se abbia ancora senso usare le password, se/quando adottare una filosofia Zero Trust e la necessità di formazione. Qui non c’è una linea comune perché ciascun vendor di cybersecurity dispone a portafoglio di una propria opzione che tende a spingere facendola prevalere sul resto.

Attingendo dalle notizie circolate nel corso del 2023 si possono fissare alcuni punti fermi. Il primo è che l’autenticazione a più fattori è la tecnologia che va per la maggiore perché si adatta a diversi metodi di autenticazione. Ma più volte gli attaccanti sono riusciti a trovare il modo per aggirare l’MFA, usando tattiche di social engineering creative o stratagemmi tecnici vari. Il problema con l’approccio basato su password resta la fallibilità dell’utente. A questo proposito quasi tutti inneggiano alla formazione continua come soluzione. Colpisce la voce fuori dal coro di Chester Wisniewski di Sophos, secondo cui “i sistemi devono essere in grado di proteggere l'utente medio senza che questo debba essere formato apposta o debba prestare particolare attenzione. In caso contrario avremo fallito”.

Resta quindi sul piatto l’opzione Zero Trust, che si sta dimostrando a tutti gli effetti la strada migliore da percorrere, se non fosse che non è un’opzione improvvisabile o allestibile senza un supporto qualificato. Ma qui si finisce per inciampare nell’eterno problema della security vista come un costo e non come un investimento, e nella necessità di una sicurezza preventiva e non reattiva.

Evoluzioni del cybercrime

Su come evolveranno gli attacchi si potrebbero scrivere milioni di pagine. Mettiamo da parte le considerazioni più scontate sul successo sempreverde del ransomware e dei malware in generale e concentriamoci sulle indicazioni più originali che gli esperti hanno sfoderato. Prima di tutto vale la pena fare una nota sui sistemi non Windows: nel 2023 si è assistito a una impennata di attacchi contro Linux, le macchine virtuali e altri sistemi non prodotti da Microsoft. Nel 2024 questo trend andrà ad accentuarsi.

Un altro trend che proseguirà sarà quello degli attacchi contro i sistemi mobile, OT, IoT e Industrial IoT, oltre che Medical IoT e wearable. In pratica tutti i dispositivi connessi saranno oggetto di attacchi sia contro le aziende sia contro i privati cittadini, perché sono notoriamente meno presidiati, meno protetti e meno aggiornati, quindi più facili da attaccare con successo. Una loro violazione, peraltro, può costituire anche una scorciatoia per l’accesso alla infrastruttura aziendale.

È poi d’obbligo un complimento ai difensori: il loro lavoro sta funzionando e spesso gli attacchi vengono intercettati e bloccati. Questa è una buona notizia, se non fosse che i criminali informatici s’ingegnano per aggirare le protezioni ideando nuove tattiche e tecniche difficili da intercettare. Vedremo quindi un accentuarsi di tecniche non convenzionali come deepfake sempre più sofisticati, smishing credibili, steganografia, immagini con watermark malevoli. Non meno importante è la crescente popolarità degli attacchi living off the land, condotti sfruttando strumenti legittimi in uso nei sistemi, così da far passare l’attacco sotto ai radar. Bloccarli sarà sempre più difficile e proprio in questo frangente l’impiego di AI e monitoraggio comportamentale sarò strategico al fine di ottenere una difesa efficace.

Infine, è d’obbligo una nota sulla instabilità geopolitica, che sta portando a una crescita degli attacchi sponsorizzati dagli Stati Nazionali condotti da hacktivisti che parteggiano per una delle parti belligeranti. Comporta un incremento degli attacchi dimostrativi come i DDoS, ma anche di attacchi distruttivi contro infrastrutture critiche e pubbliche amministrazioni. È quindi necessaria una orchestrazione centralizzata della difesa che coinvolga tutte le infrastrutture di importanza strategica, dalle utility alla sanità, passando per trasporti, municipalità e istruzione.

Approccio alla security

Chiudiamo questa breve rassegna di previsioni con alcune note doverose che includono o sono conseguenti di alcuni dei punti indicati sopra. Prima di tutto, il dibattito sull’AI ha portato la Commissione Europea ad approvare , insieme a Consiglio e Parlamento europeo, l’AI Act, ossia la normativa che mira a garantire un ideale bilanciamento tra innovazione e protezione in ambito AI. Negli USA l’amministrazione Biden ha emanato un ordine esecutivo sempre volto allo sviluppo sicuro e controllato delle AI. Le aziende dovranno recepire, implementare e rispettare, nei tempi previsti per legge, quanto previsto dalle nuove normative, pena sanzioni.

È evidente che benefici e rischi delle AI devono essere compresi a fondo dai consigli di amministrazione, cosa che oggi non accade. Secondo diversi esperti questa necessità porterà molte aziende a introdurre nel proprio board una figura di responsabile della AI, che dovrà mediare fra l’innovazione e i rischi.

Il capitolo della compliance alle normative investe molti altri settori oltre alle AI. Ricordiamo, a titolo di esempio, che ci sono linee guida precise da seguire circa l’obbligo di denuncia degli avvenuti attacchi cyber, la conservazione e la gestione dei dati sensibili, e molto altro. Oggi un CISO deve occuparsi non solo di difendere l’azienda da attacchi cyber sempre più numerosi e dannosi, ma è anche sottoposto a una pressione crescente sul fronte normativo che dovrà essere in grado di gestire.