MILANO – Quello che si sta concludendo è stato un altro anno estremamente impegnativo per i CISO, con attacchi informatici che hanno colpito organizzazioni di tutto il mondo. Ransomware, attori nazionali e vulnerabilità della supply chain sono solo alcune minacce di un panorama che si fa sempre più ricco.
Alcuni aspetti si sono rilevati particolarmente degni di nota:
In vista del 2023, CISO e consigli di amministrazione devono prepararsi a far fronte a esigenze ancora più impegnative, soprattutto in vista dell’acuirsi di tensioni globali, della crescente volatilità dell’economia mondiale e delle continue sfide per la forza lavoro. Il team ResidentCISO di Proofpoint, Lucia Milică, guarda al nuovo anno e offre alcune riflessioni su come affrontare ciò che ci aspetta.
Il nostro ecosistema digitale, sempre più complesso e interconnesso, esaspera le preoccupazioni esistenti e solleva nuovi timori sul rischio sistemico, in cui le debolezze di un singolo componente minacciano la forza dell’insieme. Il recente report di Proofpoint Cybersecurity: The 2022 Board Perspective ha rivelato che il 75% dei consigli di amministrazione ritiene di comprendere chiaramente il rischio sistemico all’interno delle proprie organizzazioni. Tuttavia, le fluttuanti turbolenze globali rendono molto difficile comprendere la portata delle minacce e di conseguenza, questo rischio richiederà un’attenzione costante.
Lo stress causato dalla recessione economica – perdita di posti di lavoro, aumento dei tassi d’interesse, riduzione del tenore di vita e inflazione – ha un impatto finanziario ed emotivo per i lavoratori e le loro famiglie. I dipendenti diventano distratti e infelici sul lavoro, rendendo molto più facile per i cybercriminali, che prosperano su queste preoccupazioni, sfruttare le debolezze umane ampliando il loro gioco. I conflitti fisici, come la guerra tra la Russia e l’Ucraina, esacerbano la turbolenza globale generale, innescando nuovi attacchi informatici, incrementandoil rischio sistemico per le organizzazioni.
Negli ultimi anni abbiamo visto i kit di strumenti di hacking per l’esecuzione di ransomware trasformarsi in una merce di scambio nell’underground criminale. Il ransomware-as-a-service è diventato una redditizia economia del dark web, portando alla proliferazione di attacchi ransomware, attuabili ora, senza alcuna sofisticazione tecnica, aprendo la porta del crimine informatico a chiunque abbia un browser Tor e un po’ di tempo a disposizione.
Con il continuo boom del commercio sul dark web, ci aspettiamo una nuova ondata di attacchi, e anche un maggior numero di strumenti per attacchi di smishing e l’acquisizione di dispositivi mobili, che complicheranno la nostra capacità di fermare questi attori, anche se meno esperti dal punto di vista tecnico.
Il ransomware è diventato endemico e non c’è organizzazione che sia immune da questa minaccia. Secondo il report State of the Phish 2022 di Proofpoint, il 68% delle organizzazioni a livello globale ha subito almeno un’infezione da ransomware. L’aspetto più preoccupante, tuttavia, è l’evoluzione, negli ultimi tre anni, dalla crittografia dei dati agli schemi di doppia estorsione, che prevedono sia la loro crittografia che esfiltrazione.
Nel 2019 solo un gruppo criminale aveva utilizzato la tattica della doppia estorsione. Nel primo trimestre del 2021, il 77% degli attacchi minacciava di far trapelare i dati. L’ultima tendenza è la tripla estorsione, con gli aggressori che cercano di ottenere pagamenti non solo dall’organizzazione bersaglio, ma anche da qualsiasi entità che possa essere colpita dalla fuga di dati. Questa mossa indica che i cybercriminali stanno diventando più audaci e le loro strategie di monetizzazione più aggressive. Una svolta completa rispetto ai semplici attacchi di crittografia potrebbe essere inevitabile.
Gli attori di minacce continuano a innovare, imparando a conoscere meglio i comportamenti umani e trovando modi nuovi e più semplici per ottenere le credenziali. Il settore della sicurezza informatica ha risposto spingendo per l’MFA, che è diventata una pratica di sicurezza standard. Inizia così una nuova sfida: un numero sempre maggiore di organizzazioni aggiunge l’MFA come livello di sicurezza, corrispondente a una quantità di cyber-attaccanti che si orienta per sfruttare le debolezze del sistema e la stanchezza degli utenti. Abbiamo osservato la prova di questa evoluzione in recenti fatti di cronaca e la consideriamo l’inizio di una nuova tendenza.
La minaccia in sé non è nuova – i nostri ricercatori hanno verificato le vulnerabilità che aggirano l’MFA due anni fa – ma stiamo osservando più strumenti per eseguire questi attacchi, come i kit di phishing per rubare i token. Ciò che rende questa minaccia più impegnativa è che sfrutta non solo la tecnologia ma anche le debolezze umane. Gli aggressori spesso si basano sull’affaticamento da notifica, bombardando un dipendente con richieste di approvazione finché non cede.
SolarWinds e Log4j possono aver rappresentato dei campanelli d’allarme, ma siamo ancora lontani dall’avere strumenti adeguati per proteggere da queste vulnerabilità della catena di fornitura digitale. Un’indagine del World Economic Forum ha rilevato che quasi il 40% delle organizzazioni ha subito effetti negativi da incidenti di cybersecurity all’interno della propria supply chain e quasi tutte hanno espresso preoccupazioni sulla resilienza delle piccole e medie imprese all’interno del proprio ecosistema.
Prevediamo che queste apprensioni aumenteranno nel 2023, in quanto la fiducia in partner e fornitori diventerà uno dei principali canali di attacco. Le API sono particolarmente preoccupanti perché gli attori delle minacce sono consapevoli dell’elevata dipendenza da esse. A peggiorare le cose c’è il fatto che molte aziende semplicemente non hanno pratiche solide per integrare e gestire in modo sicuro le API, rendendo il lavoro molto più facile. Prevediamo una maggiore tensione nei rapporti della catena di fornitura, poiché le organizzazioni cercano di intensificare i processi di due diligence dei loro fornitori per comprendere meglio i rischi, mentre questi ultimisi affannano a gestire l’eccessiva attenzione ai loro processi.
La tecnologia dei deepfake sta diventando sempre più accessibile alle masse. Grazie ai generatori di intelligenza artificiale addestrati su enormi database di immagini, chiunque può generare deepfake con poche conoscenze tecniche. Sebbene l’output del modello all’avanguardia non sia privo di difetti, la tecnologia è in costante miglioramento e i criminali informatici inizieranno a utilizzarla per creare narrazioni irresistibili.
I deepfake hanno tradizionalmente coinvolto schemi di frode e compromissione delle e-mail aziendali, ma ci aspettiamo che l’uso si diffonda ben oltre. Immaginiamo il caos che si scatenerebbe sul mercato finanziario quando un CEO o un CFO di un’importante azienda, frutto di un deepfake, facesse una dichiarazione audace che farebbe crollare o salire le azioni. Oppure a come i malfattori potrebbero sfruttare la combinazione di autenticazione biometrica e deepfakeper frodi di identità o acquisizione di account. Questi sono solo alcuni esempi, e sappiamo tutti che i criminali informatici possono essere molto creativi.
I requisiti di rendicontazione proposti dalla Securities and Exchange Commission per una maggiore trasparenza costringeranno le aziende a migliorare la supervisione e aumentare le competenze in materia di cybersecurity all’interno del consiglio di amministrazione. Le impreseavranno nuovi requisiti e aspettative per i loro CISO, cambiando il loro ruolo tradizionale.
Tuttavia, la recente sentenza sulla violazione di dati di Uber in un tribunale federale degli Stati Uniti crea un pericoloso precedente che incoraggia i consigli di amministrazione a trasferire la responsabilità direttamente ai CISO. Il nostro settore sta già lottando per reclutare professionisti della cybersecurity, e quindi questa sentenza potrebbe avere un effetto raggelante su qualsiasi tentativo di fare progressi nella battaglia per i talenti.
Con solo la metà dei CISO che dichiara di essere in sintonia con i propri consigli di amministrazione, le crescenti aspettative e lo stress di una potenziale responsabilità personale per un attacco non faranno altro che aumentare la tensione nel rapporto tra consiglio di amministrazione e CISO, con enormi implicazioni per la sicurezza informatica di un’organizzazione.
Le previsioni del nostro team sono concordi: le aziende devono tornare alle basi per garantire la protezione di persone e dati. Qualunque siano le debolezze sfruttate dagli attori delle minacce nel 2023, le persone rimarranno la loro superficie di attacco preferita e le informazioni l’obiettivo principale, a sottolineare l’importanza dell’igiene informatica e di un approccio olistico alle strategie di difesa.
Guardando al di là delle singole organizzazioni, vediamo una crescente necessità per il settore pubblico e privato di unirsi per aumentare la resilienza complessiva. Con l’emergere della cybersecurity come problema nazionale negli ultimi anni, il mercato e le agenzie governativedevono collaborare per affrontare urgentemente questi problemi.
