Nell’ultimo anno il costante battage mediatico sulle azioni di cyberwar sembra aver sortito l’effetto di rendere le aziende più consapevoli dei rischi del cybercrimine. Una ricerca condotta da The Innovation Group e Csa-Cyber Security Angels su un campione di duecento aziende italiane mostra che i rischi geopolitici sono una priorità solo per il 9% dei Chief information security officer (Ciso) o ruoli analoghi. In compenso, la sicurezza dei sistemi industriali Ot (Operational Technology) è una tra le principali preoccupazioni, citata come priorità dal 40% degli intervistati, e si potrebbe cogliere un legame con gli attacchi alle infrastrutture critiche avvenuti negli ultimi anni nel contesto di tensioni geopolitiche. Protagonisti delle cronache sono anche, negli ultimi anni e nel conflitto russo-ucraino, i ransomware: non a caso, per il 43% dei Ciso intervistati sono una delle principali questioni da affrontare. Il problema numero uno si conferma qui, come in altre survey sul tema, la scarsa competenza e consapevolezza del personale aziendale in fatto di cybersicurezza.
Se queste sono le preoccupazioni, che cosa ci raccontano i fatti? La minaccia numericamente più diffusa è il phishing, osservato quasi all’unanimità (96% delle aziende) nel corso del 2022. Il ransomware ha colpito solo il 22% delle aziende del campione e il 35% di quelle di grandi dimensioni, ma preoccupa di più del phishing a causa dei potenziali effetti di un attacco che può compromettere il funzionamento dei servizi, forzare al pagamento di un riscatto e danneggiare la reputazione. Non va però dimenticato che il phishing (cioè l’attività con cui si va “a pesca” di dati) è a volte il primo atto di una catena d’attacco più lunga, che passa dal furto di credenziali per arrivare magari all’installazione di un malware.
Si torna quindi al tema della consapevolezza dei dipendenti, che è giustamente in cima ai pensieri dei Ciso. Una tendenza emersa dall’indagine è la chiara crescita dei casi di business email compromise (Bec), in cui gli autori dell’attacco inviano una o più email fingendo di essere un’autorità, un collega o un altro contatto di cui il destinatario si fida. Rispetto allo scenario del 2021, fotografato da un’analoga survey, gli attacchi Bec in Italia l’anno scorso sono quasi raddoppiati, arrivando a colpire il 45% delle aziende del campione. Lo stesso si può dire dei casi di “truffa del Ceo”, in cui il mittente si spaccia per l’amministratore delegato o un altro dirigente: sono stati osservati nel 40% delle aziende.
I responsabili della sicurezza informatica e gli It manager delle aziende italiane che si occupano di questi temi, sanno che numerose debolezze rendono le aziende vulnerabili agli attacchi informatici. A preoccupare di più sono i dipendenti poco accorti o consapevoli dei rischi e, a seguire, gli applicativi non aggiornati, i rischi di sicurezza legati alle terze parti, le vulnerabilità che dipendono da sistemi operativi fuori supporto. Anche qui, se per il primo punto (i dipendenti) il voto è unanime, per le altre risposte, la consapevolezza del rischio cresce al crescere della dimensione d’impresa. Da un lato, questo si spiega con il fatto che imprese più grandi hanno infrastrutture da gestire più complesse e quindi sfide maggiori sul fronte della cybersecurity. Una seconda possibilità potrebbe però essere che dove il programma di cyber risk management è più ampio e strutturato, anche la visibilità sull’effettivo rischio cyber è superiore e, quindi, la consapevolezza più vicina alla situazione reale.
Image by rawpixel.com
Considerando sia quanto avvenuto nel 2022 sia negli anni precedenti, oggi un 40% di aziende italiane almeno ha sofferto di un attacco ransomware. È una percentuale molto alta, ma si spiega con il fatto che questo tipo di attacchi affliggono le nostre realtà pubbliche e private da almeno un decennio. Inoltre, gli attacchi sono diventati nel tempo sempre più mirati ed efficaci, per cui la probabilità di caderne vittima è sempre più alta. Infine, anche la comunicazione di questi incidenti è diventata nel tempo una prassi sempre più diffusa: molti vengono alla luce addirittura con notizie riportate dai media.
La persistenza del ransomware
La percentuale delle vittime da ransomware cresce del 48% anno su anno: chi ha subito un attacco, ritiene che la probabilità di caderne di nuovo vittima sia elevata. In un solo anno, le aziende che hanno subito attacchi ransomware è passato dal 27% al 40%, con una crescita intorno al + 48%. Nonostante, quindi, il tasso di crescita delle infezioni sia molto elevato, la sensazione che gli intervistati hanno sulla possibilità di rimanere vittima rimane media: solo un 28% dei rispondenti ritiene che sia alta o altissima (una percentuale che era il 29% nel 2021).
Cosa abbastanza sorprendente, è proprio chi ha già subito un attacco a ritenere che la probabilità di re-infettarsi sia alta. Da un lato, è vero che se un attacco va a segno, gli attaccanti sono invogliati a riprovare. Dall’altro lato, sembra che proprio chi ha subito questa minaccia, sia consapevole che il rischio di essere colpiti di nuovo è molto alto.
In caso di ransomware, i dati sono cifrati in un’azienda su due. All’infezione da malware, si possono aggiungere cifratura dei dati (56% dei casi), movimenti laterali ed escalation con ricerca ed utilizzo di credenziali con privilegi superiori (osservato nel 52% dei casi), attacco distruttivo, con possibilità di danneggiamento dei sistemi (34% dei casi). Un numero più basso di aziende ha anche osservato il furto di dati (avvenuta nel 19% dei casi). Questo è dovuto all’evoluzione del ransomware verso attacchi Double Extortion, con cifratura e nel contempo esfiltrazione di dati e la relativa pubblicazione degli stessi (o vendita nel darkweb).
Ulteriori componenti osservate con gli attacchi ransomware sono gli Apt (Advanced persistent threat), attacchi mirati e svolti in più stadi, visti dal 16% degli intervistati. In alcuni casi (il 10%) gli attaccanti hanno anche effettuato attacchi DDoS (il cui obiettivo è rendere server e reti indisponibili tramite saturazione deliberata delle risorse) come diversivo, per «distrarre» la difesa dalle azioni più gravi e distruttive in corso.
La sicurezza degli endpoint in primo piano
Le aziende attribuiscono un ruolo importante a numerosi strumenti e metodi di rilevamento del ransomware: innanzi tutto all’antimalware e alla sicurezza degli endpoint (presente nel 96% dei casi), seguita da email/web gateway (71%) e sistemi di intrusion detection (60%). Edr e Xdr sono al momento utilizzate rispettivamente dal 51% e 45% delle aziende, ma si tratta di ambienti che mostrano grandi tassi di crescita. La Cti (Cyber Threat Intelligence) è invece utilizzata da una minoranza di aziende, così come le soluzioni che tengono monitorato il comportamento della rete (40%) e degli utenti (37%)
La presenza di security analyst è molto bassa (21%), così come anche i servizi MDR (16%). Anche le soluzioni per la gestione della sicurezza delle terze parti vedono un’adozione ferma al 15% ❑ Le Pmi, come prevedibile, sono meno fornite di strumenti di sicurezza, registrando percentuali molto basse per sistemi di intrusion detection (24%), file monitoring (6%), Cyber Threat Intelligence (16%), presenza di security analyst (6%), servizi di Soc esterno (25%).