Cybersecurity nel 2023 tra supply chain, deepfake e CISO stressati

IDC Security Forum 2023
Dopo un 2022 decisamente impegnativo per i CISO, Proofpoint guarda alle tendenze della cybersecurity del prossimo anno e offre alcune riflessioni su come affrontare ciò che ci aspetta.
Redazione DigitalWorld Italia

DigitalWorld è il magazine online per chi in azienda crea, gestisce, acquista o utilizza prodotti e servizi informatici e digitali. Con aggiornamenti quotidiani, è il punto di riferimento per notizie,... Leggi tutto

Quello che si sta concludendo è stato un altro anno estremamente impegnativo per la cybersecurity e i CISO, con un’enorme quantità di attacchi informatici che ha colpito organizzazioni di tutto il mondo. Ransomware, attori nazionali e vulnerabilità della supply chain sono solo alcune minacce di un panorama che si fa sempre più ricco. In vista del 2023, CISO e consigli di amministrazione devono prepararsi a far fronte a esigenze ancora più impegnative, soprattutto in vista dell’acuirsi di tensioni globali, della crescente volatilità dell’economia mondiale e delle continue sfide per la forza lavoro. Il team Resident CISO di Proofpoint, Lucia Milică, guarda al nuovo anno e offre alcune riflessioni su come affrontare ciò che ci aspetta.

Le pressioni globali aggraveranno il rischio sistemico

Il nostro ecosistema digitale, sempre più complesso e interconnesso, esaspera le preoccupazioni esistenti e solleva nuovi timori sul rischio sistemico, in cui le debolezze di un singolo componente minacciano la forza dell’insieme. Il recente report di Proofpoint Cybersecurity: The 2022 Board Perspective ha rivelato che il 75% dei consigli di amministrazione ritiene di comprendere chiaramente il rischio sistemico all’interno delle proprie organizzazioni. Tuttavia, le fluttuanti turbolenze globali rendono molto difficile comprendere la portata delle minacce e, di conseguenza, questo rischio richiederà un’attenzione costante.

Lo stress causato dalla recessione economica (perdita di posti di lavoro, aumento dei tassi d’interesse, riduzione del tenore di vita e inflazione) ha inoltre un impatto finanziario ed emotivo per i lavoratori e le loro famiglie. I dipendenti diventano distratti e infelici sul lavoro, rendendo molto più facile per i cybercriminali, che prosperano su queste preoccupazioni, sfruttare le debolezze umane ampliando il loro gioco. I conflitti fisici, come la guerra tra la Russia e l’Ucraina, esacerbano la turbolenza globale generale, innescando nuovi attacchi informatici e incrementando il rischio sistemico per la cybersecurity delle organizzazioni.

Commercializzazione di strumenti di hacking sul dark web

Negli ultimi anni abbiamo visto i kit di strumenti di hacking per l’esecuzione di ransomware trasformarsi in una merce di scambio nell’underground criminale. Il ransomware-as-a-service è diventato una redditizia economia del dark web, portando alla proliferazione di attacchi ransomware, attuabili ora, senza alcuna sofisticazione tecnica, e aprendo la porta del crimine informatico a chiunque abbia un browser Tor e un po’ di tempo a disposizione. Con il continuo boom del commercio sul dark web, ci aspettiamo una nuova ondata di attacchi, un maggior numero di strumenti per attacchi di smishing e l’acquisizione di dispositivi mobili, che complicheranno la nostra capacità di fermare questi attori, anche se meno esperti dal punto di vista tecnico.

Il furto di dati diventerà parte integrante di ogni attacco ransomware di successo

Il ransomware è diventato un nemico endemico per la cybersecurity e non c’è organizzazione che sia immune da questa minaccia. Secondo il report State of the Phish 2022 di Proofpoint, il 68% delle organizzazioni a livello globale ha subito almeno un’infezione da ransomware. L’aspetto più preoccupante, tuttavia, è l’evoluzione, negli ultimi tre anni, dalla crittografia dei dati agli schemi di doppia estorsione, che prevedono sia la loro crittografia che esfiltrazione.

Nel 2019 solo un gruppo criminale aveva utilizzato la tattica della doppia estorsione. Nel primo trimestre del 2021, il 77% degli attacchi minacciava di far trapelare i dati. L’ultima tendenza è la tripla estorsione, con gli aggressori che cercano di ottenere pagamenti non solo dall’organizzazione bersaglio, ma anche da qualsiasi entità che possa essere colpita dalla fuga di dati. Questa mossa indica che i cybercriminali stanno diventando più audaci e le loro strategie di monetizzazione più aggressive. Una svolta completa rispetto ai semplici attacchi di crittografia potrebbe essere inevitabile.

cybersecurity

Gli attacchi che aggirano la MFA cresceranno

Gli attori di minacce continuano a innovare, imparando a conoscere meglio i comportamenti umani e trovando modi nuovi e più semplici per ottenere le credenziali. Il settore della sicurezza informatica ha risposto spingendo per l’MFA, che è diventata una pratica di sicurezza standard. Inizia così una nuova sfida. Un numero sempre maggiore di organizzazioni aggiunge l’MFA come livello di sicurezza, corrispondente a una quantità di cyber-attaccanti che si orienta per sfruttare le debolezze del sistema e la stanchezza degli utenti. Abbiamo osservato la prova di questa evoluzione in recenti fatti di cronaca e la consideriamo l’inizio di una nuova tendenza.

La minaccia in sé non è nuova (i ricercatori di Proofpoint hanno verificato le vulnerabilità che aggirano l’MFA due anni fa), ma stiamo osservando più strumenti per eseguire questi attacchi, come i kit di phishing per rubare i token. Ciò che rende questa minaccia più impegnativa è che sfrutta non solo la tecnologia, ma anche e soprattutto le debolezze umane. Gli aggressori spesso si basano sull’affaticamento da notifica, bombardando un dipendente con richieste di approvazione finché non cede.

La supply chain sarà sempre più presa di mira

SolarWinds e Log4j possono aver rappresentato dei campanelli d’allarme, ma siamo ancora lontani dall’avere strumenti adeguati per proteggere da queste vulnerabilità della catena di fornitura digitale. Un’indagine del World Economic Forum ha rilevato che quasi il 40% delle organizzazioni ha subito effetti negativi da incidenti di cybersecurity all’interno della propria supply chain e quasi tutte hanno espresso preoccupazioni sulla resilienza delle piccole e medie imprese all’interno del proprio ecosistema.
Prevediamo che queste apprensioni aumenteranno nel 2023, in quanto la fiducia in partner e fornitori diventerà uno dei principali canali di attacco.

Le API sono particolarmente preoccupanti, perché gli attori delle minacce sono consapevoli dell’elevata dipendenza da esse. A peggiorare le cose c’è il fatto che molte aziende semplicemente non hanno pratiche solide per integrare e gestire in modo sicuro le API, rendendo il lavoro molto più facile. Prevediamo una maggiore tensione nei rapporti della supply chain, poiché le organizzazioni cercano di intensificare i processi di due diligence dei loro fornitori per comprendere meglio i rischi, mentre questi ultimi si affannano a gestire l’eccessiva attenzione ai loro processi.

Il Deepfake avrà un ruolo più importante nei cyberattacchi

La tecnologia dei deepfake sta diventando sempre più accessibile alle masse. Grazie ai generatori di intelligenza artificiale addestrati su enormi database di immagini, chiunque può generare deepfake con poche conoscenze tecniche. Sebbene l’output del modello all’avanguardia non sia privo di difetti, la tecnologia è in costante miglioramento e i criminali informatici inizieranno a utilizzarla per creare narrazioni irresistibili.

I deepfake hanno tradizionalmente coinvolto schemi di frode e compromissione delle e-mail aziendali, ma ci aspettiamo che l’uso si diffonda ben oltre. Immaginiamo il caos che si scatenerebbe sul mercato finanziario se un CEO o un CFO di un’importante azienda, frutto di un deepfake, facesse una dichiarazione audace che farebbe crollare o salire le azioni. Oppure a come i malfattori potrebbero sfruttare la combinazione di autenticazione biometrica e deepfake per frodi di identità o acquisizione di account. Questi sono solo alcuni esempi e sappiamo tutti che i criminali informatici possono essere molto creativi.

Il controllo normativo aumenterà le aspettative e i requisiti dei consigli di amministrazione

I requisiti di rendicontazione proposti dalla Securities and Exchange Commission per una maggiore trasparenza costringeranno le aziende a migliorare la supervisione e aumentare le competenze in materia di cybersecurity all’interno del consiglio di amministrazione. Le imprese avranno nuovi requisiti e aspettative per i loro CISO, cambiando il loro ruolo tradizionale. Tuttavia, la recente sentenza sulla violazione di dati di Uber in un tribunale federale degli Stati Uniti crea un pericoloso precedente che incoraggia i consigli di amministrazione a trasferire la responsabilità direttamente ai CISO. Il nostro settore sta già lottando per reclutare professionisti della cybersecurity e questa sentenza potrebbe quindi avere un effetto raggelante su qualsiasi tentativo di fare progressi nella battaglia per i talenti.

Con solo la metà dei CISO che dichiara di essere in sintonia con i propri consigli di amministrazione, le crescenti aspettative e lo stress di una potenziale responsabilità personale per un attacco non faranno altro che aumentare la tensione nel rapporto tra consiglio di amministrazione e CISO, con enormi implicazioni per la sicurezza informatica di un’organizzazione.

CISOcybersecurityproofpointsicurezza 2023
// Data pubblicazione: 03.11.2022
Condividi:
 

L’ultima evoluzione del phishing è ancora più difficile da riconoscere

phishing
L’ultima frontiera del phishing è ancora più subdola, con attacchi sempre più difficili da riconoscere e, di conseguenza, rischi maggiori per utenti e aziende. Ecco come difendersi.
Redazione DigitalWorld Italia

DigitalWorld è il magazine online per chi in azienda crea, gestisce, acquista o utilizza prodotti e servizi informatici e digitali. Con aggiornamenti quotidiani, è il punto di riferimento per notizie,... Leggi tutto

Si è abituati a identificare gli attacchi phishing tramite messaggi pieni di errori o siti che appaiono contraffatti anche a prima vista. Purtroppo, la situazione sta cambiando e i cybercriminali hanno un nuovo strumento che rende più subdoli ed efficaci questi attacchi. Lo sviluppatore noto come Mr.d0x ha infatti dimostrato che è possibile simulare una finestra SSO (Single Sign On) all’interno di una pagina di phishing per rassicurare le vittime e convincerle a inserire i propri dati di accesso. In questo tipo di attacco, ribattezzato “browser in the browser”, il phisher crea una pagina falsa che attira l’attenzione delle vittime con i soliti pretesti: offerte vantaggiose, premi, annunci di lavoro, presunti messaggi della Pubblica Amministrazione e così via.

In seguito, per massimizzare le probabilità di ingannare gli utenti, il phisher imposta l’apertura di un popup che assomiglia in tutto e per tutto a una finestra di SSO, un metodo di autenticazione di terze parti ancora molto utilizzato per la sua comodità: basta aver eseguito l’accesso a Google o, ad esempio, al proprio account Apple, per poi accedere ad altri siti e servizi senza dover creare nuovi profili e aspettare un’e-mail di conferma.

Qui entrano in gioco gli strumenti di web design, che tramite i fogli di stile e l’HTML5 consentono a chiunque di ricreare facilmente l’aspetto di una finestra legittima. L’inganno, però, non sarebbe completo senza l’uso “creativo” del codice JavaScript, che consente di programmare l’apertura del popup in base a determinate azioni e su certi dispositivi. Il risultato è che la vittima non capisce di essere di fronte a un popup invece di una finestra SSO legittima e inserisce le credenziali per eseguire l’accesso.

phishing

Tutti questi elementi fanno sì che sia più difficile riconoscere un attacco browser in the browser: il sito ingannevole è ben fatto, la finestra popup è del tutto simile a quelle legittime per l’accesso SSO, i messaggi e i testi sono scritti con cura e non contengono i soliti errori grammaticali grossolani.

Come possono allora gli utenti proteggersi e rilevare questo tipo di attacchi? Innanzitutto, dobbiamo ricordare che vale il principio di base di protezione dal phishing: se una cosa sembra troppo bella per essere vera, probabilmente non lo è. È necessario diffidare e verificare le informazioni che troviamo online prima di inserire dati e credenziali. Se la comunicazione di un sito o di un’e-mail fa leva sull’urgenza, su potenziali conseguenze catastrofiche o, al contrario, sulla promessa di grandi guadagni e premi, quasi sicuramente si tratta di phishing, o quanto meno di pubblicità ingannevole.

Oltre alla solita prudenza, Panda Security suggerisce l’utilizzo di alcuni strumenti che aiutano ogni utente a navigare sicuro e impedire agli attacchi browser in the browser di andare a segno:

  • Usare un password manager – I software non confondono i finti popup con le vere finestre e distinguono i domini attendibili da quelli falsi. Se il password manager non compila automaticamente i campi di un login, bisogna fare molta attenzione perché potrebbe trattarsi di una schermata di phishing
  • Impostare l’autenticazione a 2 fattori per tutti i siti e i servizi – In questo modo, i propri account saranno al sicuro anche in caso di inserimento delle proprie credenziali su un sito di phishing o se si dovesse cadere vittime di un attacco browser nel browser.
  • Installare un ad blocker per bloccare anche annunci, popup e script – Queste piccole estensioni per i browser non sono accettate da molti portali informativi (che vivono grazie alla pubblicità), ma di fatto proteggono dall’apertura di finestre e popup indesiderati o reindirizzamenti ingannevoli.

CybercrimeMalwarePanda SecurityPhishing
// Data pubblicazione: 26.10.2022
Condividi: