CrowdStrike ha presentato il Global Threat Report 2024, la ricerca nota in tutto il settore della sicurezza informatica per la sua affidabilità e completezza sul moderno panorama delle minacce informatiche a livello globale. Il Report offre informazioni sui principali eventi e tendenze nella cybersecurity che hanno caratterizzato il 2023 e sugli avversari che hanno dominato la scena durante l’anno appena concluso, tutte indicazioni indispensabili per le aziende che devono far fronte ai sempre più frequenti attacchi informatici, arricchite da alcune anticipazioni sugli eventi che si prevedono nel prossimo futuro. Lorenzo Invernizzi, Sales Engineer di CrowdStrike Italia, ha presentato i dati salienti della ricerca.
Avversari più veloci che puntano al cloud
Dando uno sguardo generale al panorama delle minacce, emerge che lo scorso anno gli avversari sono diventati più veloci nei loro attacchi: il breakout time medio dell’eCrime nel 2023 è stato di 62 minuti mentre il più veloce registrato è stato di 2 minuti e 7 secondi; oltre l’88% del tempo di attacco, inoltre, è stato dedicato all’accesso iniziale. Allo stesso tempo anche l’attività interattiva è aumentata del 60% nel 2023 rispetto al 2022: tre quarti degli attacchi per ottenere l’accesso iniziale erano privi di malware (nel 2022 costituivano il 71%), il che indica come gli avversari siano passati a tecniche più rapide ed efficaci.
Un altro fenomeno interessante sono gli attacchi al cloud: man mano che le organizzazioni spostano le loro operazioni nel cloud, gli avversari rafforzano costantemente le loro competenze per essere più efficaci in questo ambito. Le intrusioni nel cloud infatti sono aumentate del 75% nel 2023 e i casi cloud conscious del 110%.
CrowdStrike ha anche osservato un aumento del 76% nel numero di vittime elencate sui siti dedicati alle fughe di notizie (DLS), che praticano la cosiddetta “caccia grossa” (BGH): ciò dimostra come questa sia ormai la minaccia eCrime più pericolosa per le organizzazioni in tutti i paesi e i settori.
2024: quali minacce all’orizzonte? 2024?
All’interno del Global Threat Report 2024, CrowdStrike ha cercato di individuare da dove potrebbero arrivare le potenziali minacce informatiche durante l’anno in corso e ha evidenziato due potenziali fattori di disturbo: a livello tecnologico sicuramente l’intelligenza artificiale generativa potrebbe essere un potente strumento per gli avversari e, in parallelo, le elezioni governative globali del 2024 rappresentano un ulteriore aspetto di criticità. Le principali aree di opportunità dell’IA generativa nel panorama delle minacce sono due: da un lato, lo sviluppo e l’esecuzione di operazioni di reti informatica Computer Network Operations (CNO) dannose, compreso lo sviluppo di strumenti e risorse quali script o codici, che potrebbero essere dannosi dal punto di vista funzionale se utilizzati correttamente; dall’altro il sostegno all’efficienza e all’efficacia delle campagne di social engineering e di information operations (IO). Quest’anno, inoltre, più del 42% della popolazione mondiale sarà chiamato ad esprimere il proprio voto alle elezioni presidenziali, parlamentari e/o generali. Tra questi, vi sono sette dei 10 paesi più popolosi al mondo. Le elezioni a livello nazionale si svolgeranno anche in paesi e gruppi coinvolti o vicini ai grandi conflitti geopolitici.
Le attività dannose più comuni rivolte alle elezioni politiche hanno storicamente riguardato le IO (operazioni informatiche) e sono state probabilmente sferrate da entità collegate allo stato, contro cittadini di paesi che per i cybercriminali avevano un interesse geopolitico specifico, nonché dall’hacktivismo semplice e di breve durata, inclusi gli attacchi DDoS (Distributed Denial-of-Service) e le deturpazioni di siti Web, contro enti governativi statali e locali.
Come proteggersi
CrowdStrike infine ha voluto suggerire alcune pratiche per aiutare le aziende a proteggere le proprie risorse e a difendersi da una minaccia in continua evoluzione. Innanzitutto, sarà necessario rendere la protezione dell’identità un requisito indispensabile. Gli attacchi basati sull’identità e sul social engineering hanno plasmato il panorama delle minacce nel 2023. Per contrastare queste minacce, è essenziale implementare l’autenticazione a più fattori (MFA) ed estenderla ai sistemi e ai protocolli legacy, nonché formare i team sul social engineering e implementare una tecnologia in grado di rilevare e correlare le minacce tra identità, endpoint e ambienti cloud. In secondo luogo, le aziende dovranno dare priorità alle piattaforme di protezione delle applicazioni cloud native (CNAPP). Le aziende hanno bisogno di una visibilità completa del cloud per riuscire a eliminare configurazioni errate, per questo è consigliabile scegliere una piattaforma CNAPP che includa la protezione pre-runtime, quella runtime e la tecnologia agentless, in grado di aiutare a scoprire e mappare le proprie applicazioni e API eseguite in produzione, mostrando tutte le superfici di attacco, così come le minacce e i rischi critici per l’azienda. Con l’espansione degli ambienti aziendali, le organizzazioni devono comprendere il rapporto che esiste tra identità, cloud, endpoint e telemetria di protezione dei dati con il fine di riuscire a identificare e bloccare gli attacchi attuali, così evoluti. Le aziende moderne hanno inoltre bisogno di una soluzione SIEM moderna che sia più veloce, più facile da implementare e più conveniente rispetto agli strumenti SIEM tradizionali. È necessario analizzare gli approcci che unificano le attività di rilevamento, indagine e risposta alle minacce in un’unica piattaforma IA nativa, basata sul cloud. Infine è importante avviare programmi di sensibilizzazione per combattere le continue minacce di phishing e le tecniche di social engineering correlate. Occorre promuovere un ambiente che esegua regolarmente simulazioni di attacco ed esercitazioni red team/blue team per identificare le lacune ed eliminare i punti deboli nelle proprie strategie nelle risposte di sicurezza informatica.