FireEye: l’Italia nel cyber mirino di Russia, Cina e Iran
Nel panorama della cybersecurity, l’Italia sta diventando una nazione emergente anche dal punto di vista degli attaccanti, non solo come bersaglio. C’è quindi un’attenzione duplice da parte di Stati stranieri che ci osservano da vicino.
Parliamo in ogni caso di organizzazioni criminali, e non di attacchi da parte di strutture para statali. “Tutti i paesi stanno creando una forza militare cyber, quanto meno di difesa. Come FireEye, lavoriamo con i governi anche in Italia, fin dall’inizio della nostra presenza, con servizi di sicurezza gestita”, dice Marco Rivoli, Vice President Southern Region di FireEye.
Con l’aumento dell’attenzione sul tema cybersecurity non è una sorpresa il fatto che FireEye stia crescendo come numero di clienti e fatturato. Può sorprendere invece che l’Italia cresca più di altri paesi europei. “Ci sono da noi realtà piccole ma importanti, una una forte internazionalizzazione, un’immagine pubblica e importanti proprietà intellettuali da difendere”, afferma Rivoli.
Proteggere le PMI attraverso il canale
Con le aziende che non hanno le risorse o le competenze par adottare una piattaforma di threat intelligence, FireEye si appoggia a partner che fanno da MSSP (Managed Security Service Provider) che possono fare economie di scala, rivendendo il servizio a più di un cliente.
Luca Brandi, responsabile di Canale della Region precisa che il 99 percento delle attività di FireEye passano dal canale, strutturato in “un programma di partnership con realtà specializzate nell’ambito della sicurezza che vede 4 Gold partner e 20 Silver, con diversi ambiti di specializzazione”. Quattro dei partner hanno un Security Operations Center che funziona a ciclo continuo 24/7 e supportano realtà importanti nel mercato italiano”.
L’attività di canale con i MSSP ha portato a un incremento del 200% nel mid-market (scuole, studi di notai e avvocati, aziende di logistica…), grazie a offerte basate su un canone mensile.
Tendenze delle minacce cyber nel mondo e in Italia
David Grout, CTO EMEA e Direttore Pre sales Sud EMEA di FireEye ha presentato i dati del Mandiant M-Trends Report 2019, che evidenzia le principali cyber minacce globali. I settori più colpiti rimangono quello finanziario e dei servizi professionali e di business, seguiti da retail e hospitality, high tech, telco, entertainment e media. Nessun settore può ritenersi al sicuro.
Globalmente, la capacità di accorgersi delle intrusioni e rimediarvi sta migliorando: il dwell-time (il tempo in cui un attaccante rimane nella rete della vittima prima di essere scoperto) si sta abbassando globalmente, ma rimane altissimo in Europa.
“Quando ci sono novità a livello geopolitico, sai che ci saranno conseguenze sul campo di battaglia cyber”, afferma Grout. Un esempio è l’iniziativa cinese Belt and Road, che punta a creare partnership per la costruzione di vie di comunicazione in occidente, e che ha portato subbuglio nello spazio cyber. Molta attività è stata rilevata anche durante le proteste dei gilet gialli in Francia.
In Italia ci sono tre organizzazioni controllate da governi esteri particolarmente attive (APT, Advanced Persistent Threat):
APT28 (Russia)
Molto attivo in Italia, cerca di influenzare la politica e l’opinione pubblica soprattutto riguardo all’Europa;
APT20 (Cina)
Un gruppo freelance ma sponsorizzato dal governo cinese, interessato a informazioni riguardo l’iniziativa Belt and Road e che prende di mira particolarmente i provider di telecomunicazioni. Più che a sottrarre progetti, gli attaccanti cinesi sembrano interessati a carpire informazioni di mercato (dove investiranno le aziende, quali sono i prezzi di alcune offerte strategiche) e soprattutto informazioni sui processi di business e le procedure di certificazione. “Non hanno problemi a costruire prodotti, ma devono sapere come devono essere fatti in modo da poter essere certificati e usati all’estero, specifica Grout.
APT33 (Iran)
Apparentemente impegnato in un’opera di profilazione dei cittadini per preparare e gestire attacchi successivi, APT33 punta ad avere informazioni su linee aeree e telcomunicazioni, con una particolare attenzione alla proprietà intellettuale che riguarda aeronautica, industria aerospaziale e difesa.
Complessivamente, l’Italia è considerata a rischio moderato per quanto riguarda lo spionaggio militare, soprattutto se si paragona ai paesi coinvolti in conflitti armati o dispute territoriali. Più rilevanti sono invece gli attacchi con finalità criminali (ransomware, frode, furto di dati).
L’elevata penetrazione dei cellulari rende il malware per mobile un metodo di attacco particolarmente efficiente nel nostro paese. Anche se nel nostro paese sono presenti diversi gruppi di hacktivisti spinti da motivazione politiche, i rischi in questo campo sono considerati moderati, perché spesso gli attacchi hanno solo uno scopo dimostrativo (defacing di siti web), e perché si ritiene che ci sia una forte sovrapposizione tra i membri dei diversi gruppi.