SCENARI 2022

Cyberspazio e sicurezza, tra nuove minacce ed errori umani: il quadro

L’anello più debole della catena di sicurezza, cioè l’uomo, si conferma l’elemento critico dei sistemi IT, non solo dal punto di vista degli utenti che cliccano inconsapevolmente alle mail di phishing, ma anche da quello delle componenti IT e nella configurazione delle stesse. Ecco gli scenari delle nuove minacce in tempo di pandemia delineati da ENISA

10 Gen 2022
C
Antonio Candida

Security Architect–Threat Analysis, Defence and Hunting

T
Giuseppe Tulli

Privacy-Data Protection Counselor, Certified DPO

Il rapporto annuale di ENISA si conferma la raccolta informativa di riferimento per la sicurezza informatica e delle infrastrutture in Europa. Con la IX edizione di Threat Landscape (ETL) l’Agenzia fornisce la mappa delle minacce informatiche e un orientamento per la sicurezza e per le strategie a difesa dei cittadini e delle organizzazioni nel cyberspazio.

L’Agenzia Europea per la cybersicurezza si prefigge lo scopo di rafforzare la fiducia nei confronti del mondo digitale, condividendo conoscenze reperibili da fonti aperte ed elaborando il quadro delle criticità scoperte. Attraverso il dettagliato report annuale descrive lo stato di salute delle infrastrutture e delle minacce a cui esse sono sottoposte, fornendo una valida guida per le scelte specialistiche e di governance. Tale rapporto riflette, infatti, un approccio in parte tecnico e in parte strategico, trattando informazioni rilevanti sia per i lettori più tecnici che per quelli non tecnici.

Le minacce alla sicurezza informatica

Il report identifica le 8 principali categorie di minacce alla sicurezza informatica, ciascuna delle quali viene messa in relazione alle tecniche di attacco, agli incidenti rilevanti, alle tendenze nonché alle misure di mitigazione. La lista delle minacce ha la sua appendice nella pubblicazione sugli attacchi alla Supply Chain[1].

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Dal rapporto emerge che la principale minaccia è il ransomware, mentre le attività finalizzate alla monetizzazione da parte dei criminali informatici sono le più ricorrenti.

La criptovaluta rimane il metodo di pagamento più comune per gli attori delle minacce; le attività delle organizzazioni governative a livello nazionale e internazionale sono state intensificate, mentre declina costantemente il malware.

L’esca più diffusa negli attacchi di posta elettronica è il COVID-19.

Si registra una crescita di violazioni dei dati relative al settore sanitario. Campagne DDoS (Distributed Denial of Service) mirate: specie verso l’IoT (Internet of Things) in combinazione con le reti mobili. Un considerevole picco di incidenti non dolosi è stato osservato in relazione alla pandemia di Covid-19, correlati perciò a errori umani e configurazioni errate dei sistemi in uso.

Comparando il quadro recente con il periodo pre-Covid, illustrato nella precedente edizione di ETL, appare evidente che il malware ha iniziato una fase di declino, dopo i picchi raggiunti fino al 2019. Restano invece in voga gli attacchi Web, quindi, che riguardo lo sfruttamento di servizi web non configurati in modo corretto, o affetti da falle di sicurezza.

Il phishing

Il phishing si conferma, invece, come la soluzione più economica e pertanto sfruttata dalla maggior parte degli attori malevoli, in quanto riesce a coprire un numero elevatissimo di potenziali vittime, con conseguenza logica che al crescere dei numeri di esche lanciate cresce il numero di soggetti, aggirando le costosissime misure di sicurezza a protezione dei perimetri delle aziende[2].

Nel 2021 il primato è dunque del ransomware, il quale ha assunto notorietà anche in virtù delle numerosissime vittime colpite e degli impatti sui brand, sui dati e sulle economie. Tra i noti casi che hanno avuto luogo in Italia tra settembre e ottobre ricorderemo l’Ospedale San Giovanni, la SIAE, nonché la storica azienda San Carlo colpita da un attacco Cryptolocker.

Il cryptojacking

Crescono i guadagni finanziari associati ad una nuova tipologia di attacco, il cryptojacking: forma di attacco che consiste nel diffondere codice malevolo che piuttosto che rubare, cifrare, esfiltrare e rendere indisponibile i dati, sfrutta la potenza del sistema vittima per generare cryptomonete, nelle moltissime varianti attualmente esistenti.

Minacce di disinformation/misinformation

Fanno la loro prima apparizione le minacce di disinformation/misinformation – messe in relazione alla maggiore presenza online dovuta alla pandemia di COVID-19, nonché ad un uso eccessivo delle piattaforme di social media e dei media online.

Disinformazione e campagne di disinformazione sono spesso utilizzate quali attacchi ibridi e funzionano nel mondo cibernetico da attività preparatorie alla base di altri attacchi e vengono utilizzate insieme ad altre minacce alla sicurezza informatica.

Il loro obiettivo è quello di alimentare dubbi o creare confusione, per ridurre di conseguenza la percezione di fiducia verso l’intero ecosistema informativo e con maggiori e più gravi implicazioni ed impatti.

Tramite l’uso delle tecnologie digitali e dei social media è garantito, infatti, un accesso aperto alle informazioni e, tuttavia, è proprio con il loro uso che si determina il rischio di recuperare notizie false e informazioni manipolate.

I social media e le modalità con cui gli stessi funzionano consentono, a ben vedere, il proliferare di notizie false (cambiando quindi la percezione della realtà nelle persone) o reali (informazioni su incidenti, errori, perdite, opinioni e reputazione su un’azienda).

Gli stessi social costituiscono un terreno fertile per le minacce verso individui, imprese e persino gli stati, in relazione a notizie false che possono essere percepite come reali, mentre problemi apparentemente minori potrebbero diventare incidenti estremamente più rilevanti per l’opinione pubblica.

Il punto cruciale è la manipolazione tramite le notizie che possono influire sui mercati oppure costituire i vettori di campagne di disinformazione e, dunque, contro le aziende e la reputazione degli individui di cui le stesse fanno parte.

La reputazione del marchio, l’affidabilità del management e di conseguenza la solidità finanziaria dell’azienda sono messe a rischio da manipolazioni condotte attraverso i media, nonché tramite fuorvianti campagne capaci di diffondere informazioni prodotte tramite le nuove tecnologie disponibili.

Disinformazione nell’era della pandemia

Vediamo più nel dettaglio le differenze che riguardano questo genere di minacce. Per disinformazione s’intende l’attacco intenzionale che consiste nella creazione di contenuti o condivisione di informazioni false o fuorvianti. Nell’era della pandemia di COVID-19, hanno preso di mira la fiducia delle persone nei confronti dei vaccini ed hanno avuto un aumento esponenziale.

Ma la misinformazione può essere un attacco non intenzionale, in cui la condivisione delle informazioni avviene inavvertitamente.

Ancora una volta in relazione alla pandemia sono state diffuse campagne d’informazione inaccurate, anche ad opera degli stessi giornalisti che hanno riportato informazioni errate in buona fede o per errore.

La diffusione della “errata informazione” trova il suo terreno fertile presso coloro i quali sono portati a credere alla notizia indipendentemente dalla veridicità delle stesse, presso coloro che sono disposti ad accettare notizie più conformi alla loro visione del mondo o acquisite da una fonte nota ed autorevole.

I social media sono il vettore potente per questo genere di attacchi, in quanto, consentendo l’accesso diretto alle informazioni senza filtri, aumentano il rischio di imbattersi in notizie false e informazioni manipolate; fungono perciò da amplificatori negli attacchi su larga scala favoriti dalle peculiarità degli stessi – tipicamente, le liste di argomenti di tendenza, la condivisione entro gruppi che condividono idee e personali convinzioni.

Vettori di attacco sono le celebrità e gli influencer che promuovono materiale per i sostenitori e diffondono disinformazione all’interno di gruppi di social media.

Ma questi approcci tradizionali vengono eseguiti anche tramite l’impiego di account dannosi: bot, spammer, domini falsi e cyborg. La capacità dei social bot suscita un enorme interesse da parte degli attori malevoli, proprio per la maniera massiccia con cui essi possono agire. Alcuni studi, su Twitter, hanno affermato che i social bot possono rappresentare tra il 5 e il 15% degli utenti e sono responsabili di campagne di disinformazione, attacchi di phishing, elezioni e manipolazione del mercato[3].

Il fenomeno della Disinformation-as-a-Service

Gruppi sponsorizzati dagli stati e criminali informatici, ovvero organizzazioni commerciali non statali e private che beneficiano della crescente disponibilità di Disinformation-as-a-Service hanno mostrato interesse per questi vettori di attacco, tipicamente a favorire cospirazione e manipolazioni di vasto numero di persone.

Tramite catene di messaggi e contenuti di social media, deepfake e phishing tramite voce, testo ed e-mail.

Gli obiettivi sono riconoscibili in funzione dei target e principalmente riguardano: la reputazione, la fiducia e l’affidabilità degli individui o dei marchi, nonché la solidità finanziaria di questi ultimi; la manipolazione e l’inganno nei riguardi dell’opinione pubblica, governi ed istituzioni.

L’argomento centrale è ancora una volta il Covid-19. Come ha individuato l’OMS, le campagne di disinformazione riguardano i vaccini e sono mirate a diffondere incertezze e dubbi sull’efficacia degli stessi. agiscono sulle condizioni psicologiche degli individui, ma anche sull’affidabilità delle aziende e delle istituzioni, ormai prese di mira dalle campagne su argomenti inerenti green pass, vaccinazioni e via dicendo.

La diffusione delle notizie false e delle truffe legate alla Covid-19 sono strettamente connesse al proliferare delle azioni dei criminali informatici basate su temi legati alla pandemia, riduzione della fiducia nella comunità scientifica e nei vaccini, la diffusione di malware tramite annunci e app correlati alla Covid-19 distribuiti attraverso social network (es. TikTok, YouTube, Instagram).

Falsi negozi online riguardanti la Covid-19, nonché truffe rivolte a persone interessate alle informazioni sempre relative alla pandemia sono proliferate, insieme alle numerose app dannose (ca. 600) che proponevano servizi COVID-19 e contenevano trojan/spyware[4].

Il National Cyber Security Centre del Regno Unito, nell’aprile 2020, ha rimosso 2.000 truffe, inclusi 471 negozi online falsi e 200 siti di phishing.

In questo contesto, politici e legislatori stanno facendo pressioni sulle imprese dei social media (ad esempio Google, Facebook, Twitter) per trovare contromisure e limitare la proliferazione di campagne di disinformazione/disinformazione. Sebbene le soluzioni tecniche siano importanti per limitare la diffusione, resta centrale e vettore di mitigazione cruciale, la formazione e la sensibilizzazione per evitare la diffusione di disinformazione anche tramite la simulazione dei feed dei social media con lo scopo d’insegnare agli utenti a distinguere notizie vere e false[5].

È aumentata la superficie d’attacco

Per quanto già detto, la pandemia di COVID-19 ha avuto un impatto sul panorama delle minacce alla sicurezza informatica e, questo sviluppo è stato anche favorito dal modello di ufficio ibrido diffusosi con le nuove modalità di lavoro da remoto.

Questa nuova condizione ha aumentato la superficie di attacco e, conseguentemente, posato le basi per un aumento degli attacchi informatici diretti a organizzazioni e aziende attraverso postazioni e uffici domestici del personale.

La crescita della presenza online degli individui, la transizione tecnologica, l’ammodernamento delle infrastrutture tradizionali verso soluzioni online (vedi quelle su cloud), il progressivo sfruttamento di funzionalità interconnesse (specie AI) hanno condizionato il contesto analizzato.

Nuove e inedite minacce direttamente sono correlate a una modalità d’interazione di uomini e sistemi da remoto – ciò riguarda in primo luogo l’ambito lavorativo e professionale che abbiamo menzionato, ma più in generale quelle soluzioni sempre più diffuse ed ampiamente disponibili ed accessibili, quali il cloud computing.

Le minacce correlate agli errori umani

L’attenzione verso le minacce correlate agli errori umani resta un punto centrale del rapporto. Sono osservati errori concernenti la configurazione di strumenti e di sistemi da parte degli addetti ai lavori a più livelli, dovuti alla forzata migrazione che in epoca pandemica è avvenuta in particolare verso le infrastrutture cloud.

Si tratta in gran parte di errori che possono essere associati con la gestione delle componenti IT, le fasi e processi di aggiornamento dei sistemi, l’aggiunta di funzionalità e la riconfigurazione degli stessi; sono essi errori, criticità e vulnerabilità da tenere in gran considerazione, entro una superficie di attacco sempre più ampia.

Tra questi elementi si consideri come lo sviluppo di nuovo codice sia considerato tra i più critici. L’aggiunta di codice ai sistemi in produzione, anche se effettuato in linea con le best practice dei più noti standard internazionali, rappresenta una nuova entità dell’infrastruttura, pertanto un ulteriore elemento critico.

Allo stesso modo, tutte le nuove funzionalità – il cloud, il multi-factor authentication, la gestione dei nuovi dati (sensibili e non), la gestione da remoto – introducono nuovi potenziali errori di livello applicativo.

Queste indicazioni risultano, alla maggior parte dei lettori, ovvie e già affrontate, eppure restano minacce severe, al pari di un qualsiasi malware. Costituiscono infatti una minaccia che funge da volano per le minacce dirette.

Se la fase di sviluppo porta in produzione del codice non opportunamente controllato come ad esempio la sanitizzazione degli input, la gestione delle vulnerabilità delle versioni del codice usato o errori correlati alla configurazione – cd. misconfiguration (quindi tipologie di minacce indirette e legate all’uomo) si può andare incontro al sorgere di vulnerabilità e minacce di tipo diretto, come un DoS o un attacco ai database con conseguente esfiltrazione dei dati.

Questo trend è evidenziato da ENISA e, a ben vedere, non importa quanto grande, specializzata o innovatrice sia l’organizzazione, ma le Non-Malicious Threats possono presentare un conto salato a chiunque. Microsoft, Pfizer, altri importanti brand dell’automotive, enti pubblici e aziende private nello scorso anno hanno dovuto affrontare la perdita d’informazioni tra le conseguenze di una misconfiguration.

Conclusioni

Appare evidente quindi che l’anello più debole della catena di sicurezza (ndr l’uomo), si conferma l’elemento critico dei sistemi IT, non solo dal punto di vista degli utenti che cliccano inconsapevolmente alle mail di phishing, ma anche da quello delle componenti IT e nella configurazione delle stesse.

Con questo non si vuole distogliere l’attenzione dai già noti sistemi utilizzati per difendere un perimetro aziendale nel modo migliore.

La difesa delle componenti hardware e software è cruciale quanto l’uso e la gestione delle stesse componenti e di ciascuna delle infrastrutture informatiche che competono appunto all’uomo diventano cruciali elementi difendere entro lo scenario complesso che abbiamo appena descritto.

Rispetto ai mutamenti e alle criticità amplificate dalla pandemia di COVID-19, resta imprescindibile, perciò, l’approccio olistico alla sicurezza che non sia, dunque, settorializzato ed ad vantaggio di una singola componente piuttosto che un’altra, ma che piuttosto consideri il rischio dei processi inerenti l’errore umano anche nelle infrastrutture.

 

NOTE

  1. ENISA Threat Landscape for Supply Chain Attacks, Luglio 2021.

  2. ENISA Threat Landscape 2020 — ENISA.

  3. Vedi, il programma europeo Horizon in Concordia Cyber security cOmpeteNCe fOr Research anD InnovAtion.

  4. Avast, 2020: The Year of Fake News, COVID-related Scams and Ransomware. Vedi anche qui. Avast segnala anche l’aumento di deepfake in particolare relativi a domini pornografici (ad esempio gli utenti di TikTok).

  5. Vedi “Go Viral!”500 COVID-19.Italian – Go viral! (goviralgame.com)

INFOGRAFICA
I migliori data analytics tools a confronto: CHI VINCE?
Big Data
Datacenter
@RIPRODUZIONE RISERVATA

Articolo 1 di 4