Minacce informatiche, come mettersi al riparo. Intervista a Dana Katz (Check Point)

L’attività dei criminali informatici non conosce soste e il periodo pandemico legato alla diffusione dello smartworking e della adozione frettolosa di servizi in cloud senza accorgimenti di sicurezza, ha favorito la minaccia informatica che è cresciuta a dismisura favorita dall’estensione della digitale.

In particolare, nel 2021, le organizzazioni hanno subito il 50% in più di attacchi informatici settimanali rispetto al 2020. Con 1605 attacchi settimanali, Istruzione/Ricerca è il settore più colpito (aumento del 75%), seguito dal settore Governo/Militare con 1136 attacchi a settimana (aumento del 47%), mentre il settore delle Comunicazioni con 1079 attacchi settimanali (aumento del 51%). I vendor di software hanno sperimentato la più grande crescita anno su anno (146%) che va di pari passo con il trend crescente degli attacchi rivolti alla supply chain, osservata nel 2021. Quest’ultimo anno ha anche visto un’evoluzione di attacchi verso i dispositivi mobile, l’aumento delle principali vulnerabilità dei servizi cloud e il ritorno della botnet Emotet.  (Fonte:“Cyber Attack Trends: 2022 Security Report” di Check Point Technologies).

Ne abbiamo parlato con Dana Katz, Head of Product Marketing di Check Point Software Technologies che ne spiega i motivi.

Perché alcuni ambiti di attacco come la supply chain, l’uso dei ransomware, il cloud sembrano rimanere “sempreverd” per gli attaccanti?

Li chiamiamo “sempreverdi” per un buon motivo: permettono agli hacker di guadagnare sempre e comunque. Negli ultimi anni la supply chain è stata una degli obiettivi principali per i cybercriminali. Sebbene questo trend dipenda da una serie di fattori, uno dei più importanti è il ruolo che il digitale ha ricoperto nella pandemia. È chiaro, infatti, che il COVID-19 abbia trasformato le aziende moderne, spingendo molte verso il remote working e l’adozione del cloud, quando ancora non erano pronte a farlo. Il risultato di questa situazione è che i team di sicurezza sono stati sopraffatti dalla situazione e non sono riusciti a tenere il passo. Secondo il  Security Report 2022, c’è stato addirittura un aumento del 650% nel numero di attacchi alla supply chain nel 2021. Gli attacchi alla supply chain o a infrastrutture critiche sono di solito molto profittevoli, perché bloccano processi essenziali allo svolgersi della vita e dell’operatività quotidiana. Di fronte a un simile blocco, le aziende si sentono obbligate ad agire anche se è ormai è tardi, per risolvere la situazione, a volte addirittura pagando il riscatto richiesto dai criminali (si ricorda che è vietata questa pratica a norma di legge n.d.r.). Questo pagamento, che permetterebbe all’azienda di tornare alla normalità, in realtà non lo consente mai. L’organizzazione entra invece in un loop molto difficile da gestire e molto profittevole per l’hacker, che può continuare a estorcere. Il costo del ransomware e dell’effettivo ritorno alla normalità si può quantificare in milioni, ma è anche qualcosa che può essere prevenuto con un approccio proattivo alla sicurezza e grazie alla tecnologia giusta per evitare, in primo luogo, che i malware possano entrare nel network.

Però verso i ransomware qualcosa è stato fatto, vero?

Si, i governi e le forze dell’ordine in tutto il mondo adottare posizioni più intransigenti verso i gruppi di ramsonware, in particolare adottando un approccio più proattivo per combattere il rischio informatico ed hanno lavorato per preparare offensive contro i ransomware e le infrastrutture che supportano gli hacker. Il punto di svolta lo abbiamo avuto dopo l’attacco alla rete Colonial Pipeline nel maggio 2021 perché da quel momento in poi, partendo da Biden, i governi hanno intensificato i loro sforzi per combattere questa minaccia. D’altro canto, anche per quel che riguarda il cloud, le falle di sicurezza dei diversi provider sono diventate sempre più preoccupanti negli ultimi anni e, dato l’utilizzo elevato, possiamo aspettarci che il livello di pericolo cresca. Le vulnerabilità nel cloud hanno permesso e permettono agli hacker di eseguire codice arbitrario, scalare privilegi di root e accedere a grandi quantità di contenuto privato.

Perché i settori dell’istruzione e della ricerca sono stati bersagliati con i picchi evidenziati nel report?

Per quasi due anni, il settore dell’istruzione è stato colpito duramente dai cyber criminali. La ragione è sempre e comunque la pandemia, che ha obbligato scuole, università, professori e studenti ad adattarsi a un nuovo mondo e a un modo nuovo di educare e di studiare, il remote learning. Con la crescita improvvisa delle piattaforme e dei canali online per l’istruzione, l’intero settore dell’educazione e della ricerca è stato il più colpito: dal nostro ultimo report, infatti, sono stati riportati in media 1.605 attacchi a settimana. Scuole, università e centri di ricerca sono obiettivi che attraggono i cyber criminali perché spesso, dal punto di vista della sicurezza, hanno poche risorse. Il breve preavviso e il passaggio continuo dalla modalità da remoto a quella in presenza ha moltiplicato i rischi per la sicurezza. Con un così grande numero di studenti che si collegano da casa usando i loro dispositivi personali, la continua alternanza casa/scuola ha creato un nuovo tipo di minacce che molti non erano preparati ad affrontare. Le organizzazioni nel settore educativo dovrebbero essere maggiormente proattive nella loro strategia di protezione.

I dati sul picco di aumento delle vendite di software di sicurezza, possono indicare l’avvio di una progressiva protezione, ma la sola tecnologia è sufficiente a suo avviso?

Sì, nel 2021 i vendor di software hanno vissuto la crescita più importante del settore, pari a +146% anno su anno. La cybersecurity occuperà un ruolo sempre più importante nelle nostre vite el e aziende non possono più permettersi di limitarsi a essere reattive di fronte alle minacce. Ma la tecnologia da sola non può bastare a contrastare il numero e la complessità sempre crescenti dei moderni attacchi informatici.

Cosa si può consigliare quindi?

È importante mantenere un livello base di security hygiene costituito da:

• Patching: troppo spesso gli attacchi entrano nelle reti sfruttando vulnerabilità note, per le quali esistono patch che non sono state applicate. Le organizzazioni dovrebbero impegnarsi per fare in modo che le patch più aggiornate vengano sempre applicate a tutti i sistemi e a tutti i software.
• Segmentazione: le network dovrebbero essere segmentati e sarebbe bene applicare firewall potenti e sistemi IPS tra un segmento e l’altro, per evitare che eventuali “infezioni” si possano propagare a tutta la rete.
• Insegnare alle persone a riconoscere potenziali minacce: abbastanza spesso, può essere il livello di consapevolezza degli utenti a prevenire un attacco. Prendetevi il tempo necessario per istruire i vostri utenti ed essere sicuri che, nel caso in cui si accorgano di qualcosa, riferiscano immediatamente al team di sicurezza. L’istruzione degli utenti è sempre stata fondamentale per evitare infezioni da malware.
• Implementare le tecnologie di sicurezza più avanzate: non esiste una tecnologia per tutte le stagioni, capace di proteggere le organizzazioni da tutte le minacce e da ogni tipo di vettore. Tuttavia, abbiamo a disposizione molte ottime tecnologie e idee – machine learning, sandboxing, anomaly detection, disarmo dei contenuti, e molte altre. Ciascuna di queste tecnologie può essere molto efficace in determinati scenari, proteggendo da file specifici e da vettori di attacco. Due componenti essenziali da tenere in considerazione sono l’estrazione della minaccia (sanificazione dei file) e l’emulazione della minaccia (sandboxing avanzato).

Come evitare che questi software siano a loro volta una estensione ulteriore della superficie di attacco e siano bersaglio essi stessi degli attaccanti, Ovvero che tipi di controlli di sicurezza è necessario prevedere nello sviluppo di prodotti software di security per renderli aderenti alle normative nazionali italiane?

Le soluzioni di Check Point Software sono controllate in ogni fase del processo di sviluppo e a ogni livello con gli stress test di valutazione più avanzati contro le vulnerabilità. Il nostro software è stato riconosciuto da analisti esterni come uno dei più sicuri e ha registrato il più basso numero di vulnerabilità negli ultimi anni, insieme al tempo più veloce per rimediare.