Il Dark web cybercrime si avvia a diventare la terza industria del mondo, veleggiando verso i dodici trilioni di dollari di fatturato annuale, più o meno quanto il prodotto interno lordo della Cina. La stressante riorganizzazione del lavoro e l’avvento di nuove tecnologie hanno reso più vulnerabili uomini e sistemi, spingendo verso l’alto la diffusione della criminalità online come elemento del new normal. Inoltre, le nuove tecnologie di intelligenza artificiale permettono di far scalare le operazioni, sia positive, sia negative: un classico esempio è rappresentato dalla capacità di tradurre immediatamente e in lingua molto corretta un testo di phishing in modo da scatenare un attacco globale anziché limitarsi a una sola regione.
Sulla situazione attuale ha voluto esprimersi Acronis, azienda di sicurezza ICT che punta all’unificazione della protezione dei dati e della sicurezza informatica per proteggere tutti i dati, le applicazioni e i sistemi. Certamente tra pandemie e tensioni geopolitiche l’approccio al lavoro degli ultimi anni ha reso difficile per chiunque mantenere l’attenzione sia per lo stress, sia per il cambiamento delle condizioni lavorative. Proprio per questo, gli attacchi basati sulle credenziali deboli sono stati in grande aumento.
Secondo Eric O’Neill, ex agente di controspionaggio dell’FBI, i cyberattack continuano a crescere a ritmi forsennati. Si passa dai 4,2 miliardi di dollari di danni dichiarati nel 2020 ad una previsione che nel 2023 dovrebbe sforare i 15 miliardi di dollari solo negli Stati Uniti (dati FBI). E la realtà è molto peggiore di quanto venga dichiarato: una valutazione globale parla di 7 trilioni di dollari oggi, per diventare 12 trilioni nel 2025.
Il ransomware si sta dimostrando sempre più pericoloso. Che il riscatto venga pagato o meno, i costi reali di ripristino sono mediamente di 4,5 milioni di dollari (dati 2022).
Fileless attack, GPU offloading ed altri problemi
Parlando di nuove infezioni, negli ultimi tempi si sta sviluppando molto il fileless attack, che operando direttamente in memoria fa cadere la classica analisi basata sul rilevamento della signature.
La risposta a tutti questi problemi è l’EDR, Endpoint Detection and Response, per di più migliorato in varie fasi grazie all’intelligenza artificiale. “Senza l’EDR avete già perso”, dice O’Neill; “è la base per tutte le tattiche di intelligenza successive”. Solo in questo modo si possono assegnare i diritti di accesso reali e quindi identificare immediatamente in caso di attacco la provenienza delle minacce. Ricordando che il 25% delle persone, indipendentemente dalla specifica formazione, clicca sui link delle mail anche quando non dovrebbe. Il punto di partenza è quindi l’endopint.
“L’EDR è la base anche per lo zero trust”, conclude l’esperto ex FBI.
“Acronis EDR si concentra sull’analisi ottimizzata degli incidenti, consentendo anche al personale non esperto di analizzare rapidamente e facilmente gli incidenti, mappandoli sulle linee-guida MITRE ATT&CK e anche in normale inglese”, spiega Candid Wuest, Vice President of Acronis Research, perché mappare i file consente un ripristino efficiente, senza dover ripristinare carichi di lavoro completi.
“L’EDR è integrato nel nostro approccio a singolo agente, singola console, con l’obiettivo di fornire agli MSPs, i Managed Service Providers, un modo semplice per gestire gli incidenti dei clienti”.
“Tra le nuove tecnologie anti attacco c’è anche il GPU offloading”, ha spiegato Tod Cramer di Intel, “che permette di scandire la memoria in breve tempo”. In questo modo gli attacchi di tipo fileless possono essere trattati fino alla remediation.
“L’EDR è un layer veramente efficace da usare con altre soluzioni su endpoint”, conferma James Erby, Senior Solution Engineer di Acronis; “registrare gli eventi permette di fare una remediation completa”.
Su questi argomenti, Acronis ha annunciato un report specifico per il prossimo mese di giugno. Per avere il dettaglio, non resta che attendere qualche settimana.