F5 Networks racconta la nuova fase della guerra informatica

F5 Networks racconta la nuova fase della guerra informatica

Paolo Arcagni, System Engineer Manager di F5 Networks parla degli attacchi promossi dagli Stati nazionali. Come cambia lo scenario delle minacce informatiche.

È evidente che oggi ci troviamo di fronte a una nuova fase della guerra informatica, che vede gli hacker operare su mandato di uno Stato nazionale, non solamente con l’obiettivo di distruggere o danneggiare delle infrastrutture critiche, ma anche per spiare e sottrarre segreti commerciali.

Assistiamo, infatti, a un netto aumento degli attacchi promossi da Stati nazionali, come evidenziato anche nell’ultimo Data Breach Investigations Report di Verizon, che mostra come nel corso dell’ultimo anno questi attacchi siano passati dal rappresentare il 12% di tutte le violazioni analizzate in passato al raggiungere il 23%.

Inoltre, oggi il 25% dei data breach registrati implica un’attività di cyber spionaggio, con una crescita del 13% rispetto all’anno precedente.
La linea del fronte nella nuova cyber guerra è quindi chiaramente delineata in tutto il mondo e le organizzazioni devono attrezzarsi di conseguenza.

F5 Networks racconta la nuova fase della guerra informatica

Qual è l’obiettivo?

I dati raccolti dalla 'Swedish Security and Defence Industry Association” (SOFF) confermano quanto attestato da Verizon: il 25% delle violazioni implica lo spionaggio. La ricerca di SOFF aggiunge però anche un’interessante ripartizione per settore: il 94% di tutti gli attacchi attualmente rivolti contro l'industria manifatturiera cela come obiettivo lo spionaggio industriale, di solito con l'intento di rubare segreti commerciali o sabotare gli impianti.

In questo contesto, alcuni casi che si sono verificati recentemente sono davvero significativi. Ad esempio, quello che ha coinvolto la società software norvegese Visma che ha rivelato di essere stata presa di mira da hacker che operavano per il Ministero di pubblica sicurezza della Repubblica Popolare Cinese nel tentativo di sottrarre segreti commerciali, o il caso di Boeing, che ha rivelato come, tra il 2009 e il 2014, gli hacker cinesi siano riusciti a ottenere l'accesso alla rete per rubare 65 gigabyte di dati su velivoli militari.

La natura e lo stile di questi attacchi non sorprendono, perché il manufacturing - insieme alla pubblica amministrazione e al settore education – ha da sempre il potere di aggregare un grande volume di dati che riguardano obiettivi interessanti ed estremamente sensibili.

SOFF ritiene, inoltre, che oggi i ricercatori in ambito security trascorrano il 90% del loro tempo a esaminare attacchi mirati che implicano lo spionaggio mentre dieci anni fa, avrebbero trascorso una quantità di tempo simile dedicandosi alle campagne di cyber crime.
L'impatto finanziario associato alle violazioni dei dati, indipendentemente dallo spionaggio, è comunque diventato troppo significativo per essere ignorato. SOFF aggiunge che varrebbe la pena comprendere come mai il 90% delle ripercussioni causate da un attacco informatico tenda ad essere ancora nascosto (al di là degli evidenti esborsi dovuti alla mitigazione, notifica al cliente ed eventuali azioni legali).

Le tecniche evolvono

Le analisi di Infosec mostrano come nell’ultimo anno il mercato underground degli hacker sul dark web sia cresciuto a dismisura, mettendo in contatto tra loro 300 diverse community di hacker, alcune delle quali raggiungono mezzo milione di utenti registrati, tutti pieni di risorse e prodighi di consigli pericolosi.

Un altro trend preoccupante che riguarda le tecniche utilizzate dagli hacker che agiscono per conto degli Stati nazionali è l’utilizzo sempre più frequente di attacchi zero-day. Un’analisi di Cybersecurity Ventures stima che entro il 2021 si verificherà un attacco zero-day al giorno.
Un attacco zero-day indica il primo caso in cui una vulnerabilità viene sfruttata, quindi, sfortunatamente, a meno che vengano adottate difese adeguate, questo continuo susseguirsi di nuove minacce porterà presto le organizzazioni a dover affrontare uno scenario ingestibile.

Un'ulteriore tecnica sfruttata con sempre maggiore frequenza è il phishing, che vede gli aggressori, attraverso e-mail e comunicazioni fraudolente, ingannare i dipendenti, portandoli a cedere le proprie credenziali e i dettagli di log-in.
Recenti analisi di PhishMe hanno rilevato che le email di phishing sono responsabili del 91% degli attacchi informatici, una tendenza preoccupante, che potrebbe però essere contrastata tramite un’educazione e formazione adeguata sulle minacce.

È ancora possibile prevenire?

Il numero di attacchi sponsorizzati da Stati nazionali è destinato ad aumentare sotto la spinta dei nuovi trend tecnologici, come il 5G o l’IoT. Le superfici di attacco, infatti, sono sempre in espansione e pronte ad essere aggredite e sfruttate dai cybercriminali più attivi.

Sul fronte opposto, emerge fortunatamente tutta una serie di nuove tecnologie per aiutare nella difesa. Ad esempio, le soluzioni di intelligenza artificiale, che possono analizzare tutto il traffico in tempo reale per individuare comportamenti insoliti e anomalie mai riscontrate in precedenza.
Queste tipologie di AI sono state espressamente progettate per comprendere come il traffico dovrebbe funzionare e segnalare autonomamente i problemi man mano che si verificano.

A prescindere da quale sia l’insieme delle tecnologie adottate, sia oggi che nel futuro, per contrastare le nuove minacce è necessario applicare sempre di più una sicurezza a tutti i livelli e su ogni superficie: endpoint, infrastruttura e applicazioni.

Le applicazioni, in particolare, richiedono policy coerenti, intelligenti e adattabili, ovunque esse risiedano (in un ambiente on-premise, nel cloud o nel multi-cloud). Proteggere il perimetro, infatti, non è più sufficiente e le tecniche di autenticazione moderne, come il "principio del privilegio minimo" e l'autenticazione a due fattori, dovrebbero essere ormai adottate di default.

In conclusione, le organizzazioni devono continuare a impegnarsi per rivedere e aggiornare le impostazioni e gli strumenti di sicurezza in modo costante, eseguendo test di penetrazione regolari per monitorare e migliorare il comportamento del personale.
In futuro, dovranno anche adoperarsi per controllare meglio l'attività BYOD che sfugge alle regole, e garantire che tutto il personale sia dotato degli strumenti necessari per svolgere al meglio e in sicurezza il proprio lavoro.
È un mondo pericoloso e sarà difficile riuscire ad essere sempre un passo avanti, ma la prevenzione e la formazione continua ci potranno aiutare.