Cybersecurity: approfondimenti e previsioni per un 2023 ricco di sfide

Negli ultimi 12 mesi si sono verificati alcuni esempi importanti di cyberattacchi e violazioni di dati: Toyota ha subito una violazione dei dati in quanto una terza parte è riuscita ad accedere a un server aziendale utilizzando le credenziali ottenute dal codice sorgente pubblicato da una terza parte su GitHub. Cisco ha inoltre confermato un attacco informatico dopo che le credenziali di un dipendente sono state compromesse e l'attaccante è stato osservato mentre utilizzava account macchina per l'autenticazione privilegiata e il movimento laterale nell'ambiente. Queste violazioni, facilitate da strategie laterali, attacchi di phishing di massa e ransomware sofisticati, hanno minato in modo significativo la sicurezza delle reti. Mentre riflettiamo sull'anno appena trascorso, è importante riconoscere i numerosi successi dei team di sicurezza, ma anche imparare dalle violazioni di alto profilo, ha dichiarato Chad Skipper, global security technologist di VMware. Prevede che il prossimo anno vedrà queste cinque sfide chiave per i team di cybersecurity aziendali:

1. istinto innovativo per affrontare le tattiche di evasione

L'innovazione nella risposta alle minacce è stata l'area di crescita principale del settore nel 2022. Il Global Incident Response Threat Report (GIRTR) di VMware ha rilevato che i professionisti della sicurezza informatica utilizzano attivamente nuove tecniche, come il virtual patching, per rispondere agli incidenti e combattere le attività dei criminali informatici. Sebbene gli odierni attori delle minacce dispongano di un impressionante portafoglio di tattiche di evasione, la ricerca ha rilevato che la maggior parte dei criminali informatici rimane inosservata nell'ambiente di destinazione solo per ore (43 %) o minuti (26 %). Dato che il tempo di risposta alle minacce è fondamentale per la difesa delle reti, è molto importante per la protezione dei sistemi affrontare gli astuti attori delle minacce. L'utilizzo di tattiche innovative per aggiornare le tecniche di risposta è la prima linea di attacco per fermare gli intenti malevoli prima che si intensifichino, e su cui concentrarsi nel 2023.

2. il nuovo campo di battaglia

Non si può fermare ciò che non si vede, e il movimento laterale all'interno di un ambiente è un'area di attacco sempre più ampia per i team di sicurezza, essendo alla base di un quarto di tutti gli attacchi riportati nel GIRTR di VMware. Queste tecniche di infiltrazione sono state spesso trascurate e sottovalutate dalle organizzazioni quest'anno. Solo nei mesi di aprile e maggio di quest'anno, quasi la metà degli attacchi conteneva un evento di movimento laterale, la maggior parte dei quali prevedeva l'uso di strumenti di accesso remoto (RAT) o l'utilizzo di servizi esistenti come Remote Desktop Protocol (RDP) o PsExec. È probabile che nel 2023 i criminali informatici continueranno a utilizzare il Remote Desktop Protocol per mascherarsi da amministratori di sistema. In vista del nuovo anno, i CISO devono dare priorità all'integrazione di EDR e NDR per proteggere i data center, i punti di accesso e le infrastrutture critiche che gli hacker possono infettare una volta infiltratisi nelle barriere esterne.

3. API non supervisionate

Il prossimo anno continuerà a vedere lo sviluppo delle tattiche di accesso di prima parte utilizzate dai criminali informatici per prendere piede nelle organizzazioni. Uno degli obiettivi principali di questo tipo di accesso è condurre attacchi API aggressivi alle infrastrutture moderne e sfruttare le vulnerabilità del carico di lavoro all'interno di un ambiente. La maggior parte del traffico di queste moderne applicazioni è spesso costituito da traffico API non monitorato. Ciò incoraggia il movimento laterale, poiché i criminali informatici, una volta penetrati nell'ambiente, continuano a utilizzare tecniche di evasione per eludere il rilevamento di VDI, macchine virtuali e applicazioni tradizionali. Queste tecniche di accesso iniziale diventano sempre più attraenti per gli attori malintenzionati che sono consapevoli dei limiti di sorveglianza delle imprese e cercheranno le vulnerabilità.

4. falsi profondi

Quest'anno si è registrato un forte aumento degli attacchi deepfake. I deepfakes si sono diffusi dall'industria dell'intrattenimento alle aziende e alle imprese. Infatti, due terzi (66 %) delle aziende hanno dichiarato di aver subito un attacco deepfake negli ultimi 12 mesi. A causa di questa tecnologia, i team di sicurezza si trovano a dover gestire informazioni false e frodi di identità volte a compromettere l'integrità e la reputazione di un'azienda. Gli attacchi deepfake identificati in e-mail, messaggi mobili, registrazioni vocali e social media sono abbastanza flessibili da diventare l'arma preferita dei truffatori.

Nel corso del prossimo anno, il numero di deepfakes continuerà ad aumentare. Le aziende devono adottare misure proattive per ridurre il rischio di cadere vittime di truffe deepfake, investendo in software di rilevamento e nella formazione del personale per essere in grado di individuare i deepfake.

5. il grande pulsante rosso (digitale)

Per le infrastrutture critiche si prospetta un anno di vulnerabilità, poiché gli strumenti della criminalità informatica si evolveranno senza dubbio dietro le frontiere. La maggioranza (65 %) degli intervistati nel GIRTR di VMware ha dichiarato che l'aumento dei cyberattacchi è legato all'invasione dell'Ucraina da parte della Russia. L'offensiva digitale della Russia ha inaugurato una nuova era di guerra volta a minare i servizi industriali chiave e a paralizzare le infrastrutture come le reti elettriche. La prontezza dell'Ucraina nel rispondere alle minacce è fondamentale per la sua difesa e le tattiche informatiche diventeranno senza dubbio una parte centrale dei moderni conflitti militari. La guerra cibernetica dimostra quindi che la vigilanza è l'elemento fondamentale di una strategia di sicurezza informatica efficace.

Campo di addestramento alla sicurezza per il 2023

Chad Skipper conclude: "Anche se stiamo entrando in un nuovo anno, l'obiettivo principale dei criminali informatici rimane lo stesso: ottenere la chiave dell'azienda, rubare le credenziali, muoversi lateralmente, acquisire i dati e poi monetizzarli. Per migliorare l'efficacia della difesa in futuro, i team di sicurezza devono concentrarsi in modo olistico sui carichi di lavoro, esaminare il traffico in-band, integrare l'NDR con l'EDR (Endpoint Detection and Response), adottare i principi di zero-trust e condurre una caccia continua alle minacce. Solo con questa guida completa le organizzazioni possono mettere i loro team di sicurezza in condizione di affrontare le sfide che li attendono".

Fonte: VMware