Cyberspazio e sicurezza tra nuove minacce ed errori umani: il quadro

Il rapporto annuale di ENISA si conferma la raccolta informativa di riferimento per la sicurezza informatica e delle infrastrutture in Europa. Con la

Il rapporto annuale di ENISA si conferma la raccolta informativa di riferimento per la sicurezza informatica e delle infrastrutture in Europa. Con la IX edizione di Threat Landscape (ETL) l’Agenzia fornisce la mappa delle minacce informatiche e un orientamento per la sicurezza e per le strategie a difesa dei cittadini e delle organizzazioni nel cyberspazio.

L’Agenzia Europea per la cybersicurezza si prefigge lo scopo di rafforzare la fiducia nei confronti del mondo digitale, condividendo conoscenze reperibili da fonti aperte ed elaborando il quadro delle criticità scoperte. Attraverso il dettagliato report annuale descrive lo stato di salute delle infrastrutture e delle minacce a cui esse sono sottoposte, fornendo una valida guida per le scelte specialistiche e di governance. Tale rapporto riflette, infatti, un approccio in parte tecnico e in parte strategico, trattando informazioni rilevanti sia per i lettori più tecnici che per quelli non tecnici.

Il report identifica le 8 principali categorie di minacce alla sicurezza informatica, ciascuna delle quali viene messa in relazione alle tecniche di attacco, agli incidenti rilevanti, alle tendenze nonché alle misure di mitigazione. La lista delle minacce ha la sua appendice nella pubblicazione sugli attacchi alla Supply Chain.

La criptovaluta rimane il metodo di pagamento più comune per gli attori delle minacce; le attività delle organizzazioni governative a livello nazionale e internazionale sono state intensificate, mentre declina costantemente il malware.

L’esca più diffusa negli attacchi di posta elettronica è il COVID-19.

Si registra una crescita di violazioni dei dati relative al settore sanitario. Campagne DDoS (Distributed Denial of Service) mirate: specie verso l’IoT (Internet of Things) in combinazione con le reti mobili. Un considerevole picco di incidenti non dolosi è stato osservato in relazione alla pandemia di Covid-19, correlati perciò a errori umani e configurazioni errate dei sistemi in uso.

Comparando il quadro recente con il periodo pre-Covid, illustrato nella precedente edizione di ETL, appare evidente che il malware ha iniziato una fase di declino, dopo i picchi raggiunti fino al 2019. Restano invece in voga gli attacchi Web, quindi, che riguardo lo sfruttamento di servizi web non configurati in modo corretto, o affetti da falle di sicurezza.

Il phishing

Il phishing si conferma, invece, come la soluzione più economica e pertanto sfruttata dalla maggior parte degli attori malevoli, in quanto riesce a coprire un numero elevatissimo di potenziali vittime, con conseguenza logica che al crescere dei numeri di esche lanciate cresce il numero di soggetti, aggirando le costosissime misure di sicurezza a protezione dei perimetri delle aziende.

Nel 2021 il primato è dunque del ransomware, il quale ha assunto notorietà anche in virtù delle numerosissime vittime colpite e degli impatti sui brand, sui dati e sulle economie. Tra i noti casi che hanno avuto luogo in Italia tra settembre e ottobre ricorderemo l’Ospedale San Giovanni, la SIAE, nonché la storica azienda San Carlo colpita da un attacco Cryptolocker.

Il cryptojacking

Crescono i guadagni finanziari associati ad una nuova tipologia di attacco, il cryptojacking: forma di attacco che consiste nel diffondere codice malevolo che piuttosto che rubare, cifrare, esfiltrare e rendere indisponibile i dati, sfrutta la potenza del sistema vittima per generare cryptomonete, nelle moltissime varianti attualmente esistenti.

Minacce di disinformation/misinformation

Fanno la loro prima apparizione le minacce di disinformation/misinformation – messe in relazione alla maggiore presenza online dovuta alla pandemia di COVID-19, nonché ad un uso eccessivo delle piattaforme di social media e dei media online.

Disinformazione e campagne di disinformazione sono spesso utilizzate quali attacchi ibridi e funzionano nel mondo cibernetico da attività preparatorie alla base di altri attacchi e vengono utilizzate insieme ad altre minacce alla sicurezza informatica.

Il loro obiettivo è quello di alimentare dubbi o creare confusione, per ridurre di conseguenza la percezione di fiducia verso l’intero ecosistema informativo e con maggiori e più gravi implicazioni ed impatti.

Tramite l’uso delle tecnologie digitali e dei social media è garantito, infatti, un accesso aperto alle informazioni e, tuttavia, è proprio con il loro uso che si determina il rischio di recuperare notizie false e informazioni manipolate.

I social media e le modalità con cui gli stessi funzionano consentono, a ben vedere, il proliferare di notizie false (cambiando quindi la percezione della realtà nelle persone) o reali (informazioni su incidenti, errori, perdite, opinioni e reputazione su un’azienda).

Gli stessi social costituiscono un terreno fertile per le minacce verso individui, imprese e persino gli stati, in relazione a notizie false che possono essere percepite come reali, mentre problemi apparentemente minori potrebbero diventare incidenti estremamente più rilevanti per l’opinione pubblica.

Il punto cruciale è la manipolazione tramite le notizie che possono influire sui mercati oppure costituire i vettori di campagne di disinformazione e, dunque, contro le aziende e la reputazione degli individui di cui le stesse fanno parte.

La reputazione del marchio, l’affidabilità del management e di conseguenza la solidità finanziaria dell’azienda sono messe a rischio da manipolazioni condotte attraverso i media, nonché tramite fuorvianti campagne capaci di diffondere informazioni prodotte tramite le nuove tecnologie disponibili.

È aumentata la superficie d’attacco

Per quanto già detto, la pandemia di COVID-19 ha avuto un impatto sul panorama delle minacce alla sicurezza informatica e, questo sviluppo è stato anche favorito dal modello di ufficio ibrido diffusosi con le nuove modalità di lavoro da remoto.

Questa nuova condizione ha aumentato la superficie di attacco e, conseguentemente, posato le basi per un aumento degli attacchi informatici diretti a organizzazioni e aziende attraverso postazioni e uffici domestici del personale.

La crescita della presenza online degli individui, la transizione tecnologica, l’ammodernamento delle infrastrutture tradizionali verso soluzioni online (vedi quelle su cloud), il progressivo sfruttamento di funzionalità interconnesse (specie AI) hanno condizionato il contesto analizzato.

Nuove e inedite minacce direttamente sono correlate a una modalità d’interazione di uomini e sistemi da remoto – ciò riguarda in primo luogo l’ambito lavorativo e professionale che abbiamo menzionato, ma più in generale quelle soluzioni sempre più diffuse ed ampiamente disponibili ed accessibili, quali il cloud computing.

Le minacce correlate agli errori umani

L’attenzione verso le minacce correlate agli errori umani resta un punto centrale del rapporto. Sono osservati errori concernenti la configurazione di strumenti e di sistemi da parte degli addetti ai lavori a più livelli, dovuti alla forzata migrazione che in epoca pandemica è avvenuta in particolare verso le infrastrutture cloud.

Si tratta in gran parte di errori che possono essere associati con la gestione delle componenti IT, le fasi e processi di aggiornamento dei sistemi, l’aggiunta di funzionalità e la riconfigurazione degli stessi; sono essi errori, criticità e vulnerabilità da tenere in gran considerazione, entro una superficie di attacco sempre più ampia.

Tra questi elementi si consideri come lo sviluppo di nuovo codice sia considerato tra i più critici. L’aggiunta di codice ai sistemi in produzione, anche se effettuato in linea con le best practice dei più noti standard internazionali, rappresenta una nuova entità dell’infrastruttura, pertanto un ulteriore elemento critico.

Allo stesso modo, tutte le nuove funzionalità – il cloud, il multi-factor authentication, la gestione dei nuovi dati (sensibili e non), la gestione da remoto – introducono nuovi potenziali errori di livello applicativo.

Queste indicazioni risultano, alla maggior parte dei lettori, ovvie e già affrontate, eppure restano minacce severe, al pari di un qualsiasi malware. Costituiscono infatti una minaccia che funge da volano per le minacce dirette.

Se la fase di sviluppo porta in produzione del codice non opportunamente controllato come ad esempio la sanitizzazione degli input, la gestione delle vulnerabilità delle versioni del codice usato o errori correlati alla configurazione – cd. misconfiguration (quindi tipologie di minacce indirette e legate all’uomo) si può andare incontro al sorgere di vulnerabilità e minacce di tipo diretto, come un DoS o un attacco ai database con conseguente esfiltrazione dei dati.

Questo trend è evidenziato da ENISA e, a ben vedere, non importa quanto grande, specializzata o innovatrice sia l’organizzazione, ma le Non-Malicious Threats possono presentare un conto salato a chiunque. Microsoft, Pfizer, altri importanti brand dell’automotive, enti pubblici e aziende private nello scorso anno hanno dovuto affrontare la perdita d’informazioni tra le conseguenze di una misconfiguration.

Conclusioni

Appare evidente quindi che l’anello più debole della catena di sicurezza (ndr l’uomo), si conferma l’elemento critico dei sistemi IT, non solo dal punto di vista degli utenti che cliccano inconsapevolmente alle mail di phishing, ma anche da quello delle componenti IT e nella configurazione delle stesse.

Con questo non si vuole distogliere l’attenzione dai già noti sistemi utilizzati per difendere un perimetro aziendale nel modo migliore.

La difesa delle componenti hardware e software è cruciale quanto l’uso e la gestione delle stesse componenti e di ciascuna delle infrastrutture informatiche che competono appunto all’uomo diventano cruciali elementi difendere entro lo scenario complesso che abbiamo appena descritto.

Rispetto ai mutamenti e alle criticità amplificate dalla pandemia di COVID-19, resta imprescindibile, perciò, l’approccio olistico alla sicurezza che non sia, dunque, settorializzato ed ad vantaggio di una singola componente piuttosto che un’altra, ma che piuttosto consideri il rischio dei processi inerenti l’errore umano anche nelle infrastrutture.

Fonte: Cybersecurity360.it

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Analitici".
cookielawinfo-checkbox-functional	11 mesi	Il cookie è impostato dal GDPR cookie consent per registrare il consenso dell'utente per i cookie della categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Necessario".
cookielawinfo-checkbox-others	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Altro".
cookielawinfo-checkbox-performance	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Prestazioni".
viewed_cookie_policy	11 mesi	Il cookie è impostato dal plugin GDPR Cookie Consent ed è utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
__atuvc	1 anno 1 mese	AddThis imposta questo cookie per garantire che il conteggio aggiornato venga visualizzato quando si condivide una pagina e si ritorna ad essa, prima che la cache del conteggio delle condivisioni venga aggiornata.
__atuvs	30 minuti	AddThis imposta questo cookie per garantire che il conteggio aggiornato venga visualizzato quando si condivide una pagina e si ritorna ad essa, prima che la cache del conteggio delle condivisioni venga aggiornata.

Cookie	Durata	Descrizione
__gads	1 anno 24 giorni	Il cookie __gads, impostato da Google, viene memorizzato nel dominio DoubleClick e tiene traccia del numero di volte in cui gli utenti vedono un annuncio pubblicitario, misura il successo della campagna e ne calcola i ricavi. Questo cookie può essere letto solo dal dominio in cui è stato impostato e non traccia alcun dato durante la navigazione in altri siti.
_ga	2 anni	Il cookie _ga, installato da Google Analytics, calcola i dati dei visitatori, delle sessioni e delle campagne e tiene anche traccia dell'utilizzo del sito per il rapporto analitico del sito. Il cookie memorizza le informazioni in forma anonima e assegna un numero generato in modo casuale per riconoscere i visitatori unici.
_gat_gtag_UA_64767110_8	1 minuto	Impostato da Google per distinguere gli utenti.
_gid	1 giorno	Installato da Google Analytics, il cookie _gid memorizza informazioni sulle modalità di utilizzo di un sito web da parte dei visitatori e crea un rapporto analitico sulle prestazioni del sito. Alcuni dei dati raccolti includono il numero di visitatori, la loro provenienza e le pagine visitate in forma anonima.
uvc	1 anno 1 mese	Impostato da addthis.com per determinare l'utilizzo del servizio addthis.com.

Cookie	Durata	Descrizione
loc	1 anno 1 mese	AddThis imposta questo cookie di geolocalizzazione per aiutare a capire la posizione degli utenti che condividono le informazioni.
test_cookie	15 minuti	Il test_cookie è impostato da doubleclick.net e viene utilizzato per determinare se il browser dell'utente supporta i cookie.

Cookie	Durata	Descrizione
__gpi	1 anno 24 giorni	Nessuna descrizione
xtc	1 anno 1 mese	Nessuna descrizione