lunedì 26 luglio 2021

Malware e tecniche di attacco:come cambiano gli strumenti dei cyber criminali contro le aziende

A giudicare dall'andamento di questi anni, l'intero paradigma "di attacco" contro le aziende pare essersi evoluto (e ancora si sta evolvendo) verso una riduzione delle tipologie di attacco e maggiori investimenti nella ricerca e produzione di tool di accesso e attacco: insomma meno tipologie di attacco con cui confrontarsi, ma portate con strumenti molto insidiosi che richiedono investimenti e rodaggio. Di conseguenza, è ancora più importante per i cyber attaccanti, garantire che tali strumenti siano effettivamente capitalizzabili e quanto più possibile monetizzabili: colpire meno obiettivi, ma più grossi sembra il nuovo orizzonte.

Ecco che virus e worm, pur sempre presenti, perdono di importanza (molti report parlano di una riduzione intorno al 50%, rispetto allo scorso anno di questi classici strumenti di attacco) rispetto alle tecniche di ingegneria sociale e ai malware di nuova generazione. In questo momento a farla da padrone sono proprio gli attacchi di ingegneria sociale e malware di vario tipo (downloader e infostealer principalmente), che ormai spesso si combinano con attacchi ransomware (questi ultimi segnano un +62% rispetto allo scorso anno).

Oltre a ciò, l'emergere di nuovi settori e nuove tecnologie richiede la scelta di strumenti di attacco mirati: il Cyber Threat Report 2021 di Sonicwall, ad esempio, rivela una vera e propria impennata di attacchi contro l'Internet of Things, che si attestano a 56,9 milioni con una crescita del 66% rispetto allo scorso anno.

La novità degli ultimi due anni, non perchè questa tipologia non fosse già diffusa quanto per il peso politico ed economico che hanno avuto i recenti attacchi, è quella degli attacchi cosiddetti Supply chain. Questa tipologia di attacchi consiste nel colpire una o più aziende contemporaneamente individuando e colpendo l'anello debole della catena della sicurezza: gli eventi che hanno riguardato SolarWinds e Kaseya sono solo la punta dell'iceberg di un rischio sempre più diffuso e insidioso, e che tavolta si mischia anche col social engineering (tecniche di ingegneria sociale sono ormai usate nel 96% degli attacchi).

L'attacco contro Kaseya ad esempio, portato dal famoso gruppo ransomware REvil è originato da una vulnerabilità 0-day, quindi sconosciuta fino al momento dell'attacco, che ha permesso al gruppo di attaccanti di accedere ad alcuni server del vendor Kaseya, specializzato in soluzioni per i Managed Service Provider (MSP). Il gruppo REvil ha potuto così sfruttare l'agent di Kaseya dedicato agli MSP per installare sui sistemi di centinaia di clienti il proprio ransomware in alcuni casi usando perfino un certificato autentico. Con un solo attacco quindi hanno potuto distribuire il ransomware su un numero considerevole di sistremi.

Non possiamo poi, in questa panoramica, omettere il problema del cosidetto criptojacking, ovvero quei malware che, installati su singole macchine, server o intere infrastrutture sfruttano ed esauriscono le risorse delle infrastrutture stesse per minare criptovalute. Si parla di oltre 81.98 milioni di attacchi di questo tipo avvenuti nell'ultimo anno, con una crescita di circa il 28%.

Prevenire, curare, mitigare!
Come difendersi da tutto ciò e mettere al sicuro infrastrutture e dati (perchè si, i dati sono il bottino al quale puntano gli attaccanti) è difficile da dirsi, nei termini in cui le misure di prevenzione, risposta e resilienza sono da declinarsi secondo i vari contesti. Sicuramente un primo punto imprtrante è individuare quali sono gli elementi che accomunano questi attacchi: tutti necessitano di accesso a infrastrutture, cloud e reti wireless, tutti generano traffico di rete. L'antivirus sul singolo dispositivo resta fondamentale, ma aumentano di importanza le cosiddette difese perimetrali, sopratutto i firewall: meglio se parliamo di firewall che integrano e consentono il totale controllo automatizzato del traffico di rete.

Se poi mantenere aggiornati i sistemi operativi è sempre stato necessario, oggi è divenuto fondamentale non limitarsi al patching di vulnerabilità conosciute al momento in cui il provider o produttore le rende disponibili, ma occorre setacciare l'infrastruttura aziendale al fine di mitigare il più possibile eventuali rischi correlati alle vulnerabilità 0-day, che sempre più spesso sono sfruttate negli attacchi.

Per approfondire > L'agenzia di Sicurezza Nazionale U.S.A e Microsoft propongono l'approccio Zero Trust per la cybersecurity

Seqrite al fianco delle aziende!
Una tendenza chiave, che racchiude e spiega il modo in cui la cybersecurity sta cambiando, è la crescente consapevolezza da parte delle aziende della necessità di non limitarsi all'approccio della pura prevenzione di un cyberattacco, ma di implementare anche strumenti e metodi di individuazione e risposta agli attacchi. Un cambio di mentalità che dimostra come sia stato compreso il fatto che gli attacchi informatici possono verificarsi anche nel caso in cui si siano adottate le migliori precauzioni possibili: da qui discende una maggiore attenzione allo sviluppo e all'implementazione di meccanismi e soluzioni che siano in grado di rilevare una minaccia e organizzare la risposta.

In un contesto come questo, è fondamentale sottolineare l'importanza di una sicurezza stratificata, ovvero a più livelli. In generale con sicurezza stratificata (layered security) si intende l'uso di più componenti, sistemi e misure di protezione che contemporaneamente proteggono l'infrastruttura aziendale dai cyber attacchi. Con un approccio a livelli, una azienda viene suddivisa in più sistemi (o livelli) con approcci di cybersicurezza differenziati secondo valutazione dei rischi. Ne consegue un approccio alla sicurezza informatica molto più dettagliato e adattato alle reali esigenze e rischi, molto più vantaggioso di un approccio standard che molto spesso presenta lacune nell'apparato di cyersecurity. I nostri Partner di Seqrite garantiscono soluzioni di nuova generazione, supportate dall'Intelligenza Artificiale, per implementare la layered security in aziende di ogni dimensione.

Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!




Nessun commento:

Posta un commento