In un anno le imprese italiane hanno subìto 57 mila attacchi cyber, +157% su anno. Si tratta di possibili violazioni dei livelli di sicurezza informat
In un anno le imprese italiane hanno subìto 57 mila attacchi cyber, +157% su anno. Si tratta di possibili violazioni dei livelli di sicurezza informatica, tali da configurare una situazione di potenziale rischio; di questi, quasi 16 mila si sono evoluti in incidenti di sicurezza (+225% su anno) tanto gravi da pregiudicare l’utilizzo di asset aziendali, violare disposizioni aziendali o di legge, causare la perdita o la diffusione di dati e altro ancora. È quanto emerso dal report realizzato da Yarix, divisione cyber security di Var Group, che ha monitorato l’esposizione delle aziende italiane agli attacchi di cybercrime del periodo luglio 2020-giugno 2021.
Il report è stato curato dagli analisti del Cognitive Security Operation Center di Yarix, una cyber control room che monitora e gestisce h24 la sicurezza delle reti aziendali e pubbliche attraverso funzionalità evolute basate su intelligenza artificiale. La base dati è stata integrata dalle risultanze delle analisi del team Cyber Threat Intelligence di Yarix, che scandaglia la rete – clear, dark e deep Web – per identificare informazioni utili a prevedere in anticipo potenziali attacchi informatici.
Mirko Gatto, ceo di Yarix, ha così commentato i risultati: “Il panorama del cyber risk in Italia sta diventando sempre più preoccupante: non parliamo più di minacce sporadiche a un gruppo limitato di aziende, percepito dagli hacker come detentore di asset di valore, ma di attacchi sistemici sempre più aggressivi, pronti a colpire qualsiasi settore e qualsiasi azienda con dati da proteggere. Il nostro report evidenzia bene questo orientamento, registrando circa 5 mila eventi in media al mese, cioè 167 al giorno, ovvero 7 all’ora per 24 ore al giorno, 7 giorni su 7”.
Il report ha rilevato, inoltre, 1.130 eventi critici (+280% su anno), offensive estremamente gravi in termini di rischio e impatti sull’infrastruttura digitale dell’organizzazione, tanto da provocare una vera emergenza per l’azienda e da richiedere interventi di emergency response per ripristinare la normalità dei sistemi, implementare le necessarie contromisure di prevenzione e compiere una successiva analisi post-incidente per rilevare l’origine dell’attacco.
Tra i settori più colpiti emergono il manufacturing e il fashion (28% degli attacchi), seguiti da quello relativo a information technology e a banking & finance, rispettivamente al 12% e al 10%. Particolarmente significativo è l’aumento registrato dal settore health, che si attesta al 9%. Uno dei trend in costante aumento è poi il furto di credenziali e informazioni sensibili e confidenziali per la loro conseguente messa in vendita nel Dark Web e nei canali underground specializzati nella compravendita di informazioni. Il team Cyber Threat Intelligence di Yarix, formato da analisti in grado di muoversi nel dark web con profili sotto copertura, ha riportato un totale di 423 eventi significativi riconducibili a queste attività.
Le analisi evidenziano che gli attaccanti agiscono principalmente attraverso due metodologie che si distinguono, oltre che per il costo, anche per le informazioni fornite: si può avere una semplice vendita, e in questo caso l’attività si limita alla sola cessione della credenziale compromessa per l’accesso dell’azienda target, oppure una vendita accompagnata a una già avviata attività di compromissione. In questo secondo caso, l’attaccante fornisce un accesso completo all’azienda vittima, che può potenzialmente procurare uno o più accessi o una backdoor con privilegi amministrativi all’interno dell’infrastruttura.
Nel corso del 2021 una nuova tipologia di compromissione ha preso piede nel panorama dei cyber attacchi: quella della supply chain o catena di approvvigionamento. Gli attacchi diretti verso organizzazioni ben protette spesso comportano un costo e una complessità rilevante per gli attaccanti; può risultare quindi più semplice attaccare la catena di fornitura, che offre un numero maggiore di possibili target e consente di trovare più facilmente un anello debole. In caso di successo, l’impatto può essere significativamente più esteso e non solo rivolto al target principale dell’attacco. Questa tipologia prevede una compromissione in almeno due fasi, una prima di compromissione del “fornitore” e una seconda di compromissione dell’anello successivo della catena di fornitura.
Il rischio per le infrastrutture target è particolarmente elevato perché sfrutta una componente insita nella maggior parte dei rapporti di fornitura, cioè il trust che c’è tra fornitore e utilizzatore del servizio, presente sia sotto forma di rapporto contrattuale, sia di rapporto basato su una fiducia insita nel servizio o nel software stesso, dettata dal brand del fornitore o da rapporti di fiducia personali.
L’attacco alla supply chain può avvenire attraverso la compromissione di un fornitore di servizi informatici, utilizzando gli accessi privilegiati alle infrastrutture dei clienti. Per un attaccante, tali accessi sono il vettore d’attacco perfetto in quanto per loro natura abilitati allo svolgimento di diverse attività all’interno del perimetro aziendale. Sfruttando la catena di fiducia che lega il cliente al fornitore, l’attaccante può così massimizzare il profitto con attacchi mirati verso tutte le aziende che utilizzano lo stesso fornitore. A questo si aggiunge un secondo ricatto, cioè quello dovuto all’esfiltrazione di dati e al danno reputazionale legato alla pubblicazione di dati relativi a contratti, clienti e know-how aziendale.
Inoltre, l’attacco può prevedere la compromissione di un software, solitamente diffuso all’interno delle realtà aziendali e utilizzato come vettore del payload malevolo dell’attaccante. In questo caso il trust è implicito nella presenza del software stesso e non sono rare le situazioni in cui tali software siano esclusi dai controlli di sicurezza attivi, al fine di consentirne il corretto funzionamento.
Fonte: Milanofinanza.it
