Se volessimo scrivere un articolo riassuntivo dell’ultimo anno valutando la cybersecurity il piu’ degli “esperti” scriverebbe…
Il mondo della cybersecurity nel corso dell’ultimo anno ha vissuto un periodo di intensa attività, caratterizzato da sfide senza precedenti e notevoli progressi tecnologici. Le minacce digitali si sono evolute, mettendo alla prova la resilienza delle organizzazioni e la capacità degli esperti di difesa informatica. In questo articolo, esamineremo i principali eventi e le tendenze che hanno caratterizzato il panorama della cybersecurity nel corso del 2023.
Aumento degli Attacchi Ransomware:
Il 2023 ha assistito a un notevole aumento degli attacchi ransomware, con cybercriminali che hanno mirato sia a grandi imprese che a utenti privati. Le richieste di riscatto sono diventate più sofisticate, spingendo le organizzazioni a rafforzare le proprie strategie di difesa e a investire in soluzioni di backup avanzate.
Sviluppi nella Difesa AI e Machine Learning:
L’integrazione di intelligenza artificiale (AI) e machine learning (ML) nelle soluzioni di sicurezza ha raggiunto nuovi livelli di sofisticazione. Le organizzazioni hanno adottato tecnologie avanzate per analizzare i modelli di comportamento degli utenti e rilevare anomalie in tempo reale, migliorando così la capacità di risposta alle minacce.
Emphasis sulla Formazione e Consapevolezza:
Data la crescente complessità delle minacce digitali, la formazione continua del personale è diventata una priorità. Le organizzazioni hanno investito in programmi di formazione sulla cybersecurity per sensibilizzare gli utenti e prevenire attacchi basati sull’ingegneria sociale.
Legislazioni sulla Privacy e la Protezione dei Dati:
La crescente preoccupazione per la privacy e la protezione dei dati ha portato a un rafforzamento delle legislazioni in tutto il mondo. Diverse nazioni hanno introdotto nuove leggi per garantire una gestione più sicura e trasparente delle informazioni personali, imponendo sanzioni più severe per le violazioni.
Collaborazione Globale contro le Minacce Cibernetiche:
Il 2023 ha visto un maggiore impegno nella collaborazione internazionale per affrontare le minacce cibernetiche transfrontaliere. Paesi e organizzazioni hanno condiviso informazioni e risorse per contrastare attacchi avanzati condotti da attori statali e non statali.
Sembrerebbe che la nostra unica preoccupazione siano i ransomware e il phishing (va da se…)
Ebbene no, proviamo a scriverne uno veritiero…
2023 – La conferma dei fallimenti strategici
Ransomware: Il Potere delle Minacce Informatiche Sfruttando una percezione falsata
La Debolezza dei Bug di Lunga Data:
Uno dei motivi principali per cui i ransomware sono diventati così potenti è la persistenza di bug e vulnerabilità nei sistemi operativi e nel software. Alcuni di questi bug possono esistere per anni senza essere scoperti o corretti, fornendo un terreno fertile per gli attacchi informatici.
Mancanza di postura adeguata di sicurezza:
Pensare al “prodotto” che mette al sicuro invece alla strategia (ci torniamo…)
Malhosting alla Ricerca di Vulnerabilità:
I malhosting, gruppi di hacker specializzati nell’individuazione e nello sfruttamento di vulnerabilità, giocano un ruolo cruciale nell’aumento del potere dei ransomware. Questi attori malevoli perlustrano costantemente la rete alla ricerca di sistemi non aggiornati o vulnerabili, pronti per essere compromessi e sfruttati per scopi illeciti.
I ransomware come tutti i malware sono pezzi di codice e come tali non hanno la capacità di pensare ad agire in base all’enviroment su cui atterrano. Chi li scrive cerca nuovi modi per bypassare antivirus, ips ecc (e qualcuno dimostra giornalmente che è possibile farlo) per poi sfruttare debolezze architetturali.
La sapiente correlazione tra phishing, codice e “sicurezza come prodotto” portano ad un aumento di questo tipo di attacchi, che non hanno nulla a che fare con gli hacker ma con una criminalità organizzata e digitale, che non trova adeguata difesa dall’altra parte.
L’Anno della Caduta dei Colossi: La Vulnerabilità di Fronte a Semplici Attacchi
Il recente annuncio di colossi informatici caduti sotto attacchi apparentemente semplici ha scosso il mondo della sicurezza informatica. Questo ultimo anno ha dimostrato in modo lampante che parlare di sicurezza non è sufficiente; occorrono competenze adeguate e un impegno reale per proteggere i dati e i sistemi da minacce sempre più ingenue ma altamente efficaci.
La Debolezza dei Giganti Tecnologici e governance:
Nel corso dell’ultimo anno, abbiamo assistito all’indebolimento di colossi tecnologici che sembravano inattaccabili e che si ergevano a “esperti” spacciando teorie su come gestire la sicurezza (tradotto: parole a ripetizione che portavano a un nulla di fatto pratico). Attacchi apparentemente semplici hanno svelato vulnerabilità nascoste, spesso culturali, mettendo in discussione la percezione di invulnerabilità di molte aziende e organizzazioni.
Attacchi di Ingegneria Sociale e reputational hammering:
Molti di questi attacchi hanno sfruttato l’ingegneria sociale ma anche la cecità intrinseca, una manipolazione psicologica che ha portato a degradare l’ottica mondiale sull’operato italiano (e già era pessima).
Il Mito della Sicurezza Assoluta:
L’idea che un sistema o un’azienda possa raggiungere un livello di sicurezza assoluta è stata messa in discussione. La complessità delle minacce attuali richiede un approccio più olistico alla sicurezza informatica, che va oltre la semplice implementazione di soluzioni di sicurezza e si concentra sulla formazione continua e sulla consapevolezza. Concetti come: “prima o poi tutti verremo attaccati” non sono credibili ne realistici. Forse non puo’ esistere la sicurezza assoluta, ma un mix tra automazione e personale adeguato possono arrivarci molto ma molto vicini.
L’Importanza delle Competenze Specializzate:
L’anno appena trascorso ha evidenziato l’importanza cruciale delle competenze specializzate nel campo della sicurezza informatica. Gli attaccanti, spesso agendo con tattiche semplici ma efficaci, hanno dimostrato che la mancanza di competenze adeguate può portare a conseguenze gravi per le aziende. L’autocelebrazione dei convegni “teorici” è solo un buon momento per spacciare le figurine false di interpretazioni di questo o altro codice, alla domanda: “ok ma in pratica cosa devo fare” rimane la questione irrisoltà.
La Necessità di un Cambiamento Culturale:
La sicurezza informatica non può essere solo una voce nelle politiche aziendali; deve diventare parte integrante della cultura organizzativa. Ciò richiede un impegno a tutti i livelli, dalla formazione di base alla leadership, per garantire che la sicurezza sia una priorità condivisa e una responsabilità collettiva.
Minacce Informatiche: Oltre le Superfici, alla Ricerca di una Visione Globale
Nel mondo in continua evoluzione della sicurezza informatica, la raccolta di threat intelligence è diventata una pratica essenziale per prevenire attacchi e proteggere le organizzazioni. Tuttavia, la realtà attuale evidenzia un problema cruciale: la limitata e spesso superficiale natura della raccolta di informazioni minacciose. Questo articolo esplorerà la necessità di andare oltre la ripetizione di dati comuni e l’uso di prodotti convenzionali per sviluppare una visione globale e approfondita delle minacce informatiche.
La Limitazione dei Dati Locali:
Molte organizzazioni si affidano principalmente alle informazioni raccolte attraverso i propri dispositivi di sicurezza, come i firewall. Questi strumenti forniscono una visione limitata e spesso distorta della realtà delle minacce, concentrandosi su eventi specifici ma trascurando il quadro più ampio delle potenziali vulnerabilità.
La Necessità di una Visione Globale:
Per affrontare le minacce informatiche in modo efficace, è essenziale sviluppare una visione globale. Questo implica andare oltre la raccolta di dati interni e incorporare fonti esterne, come feeds di intelligence, forum underground e rapporti di esperti di sicurezza. Una visione più ampia consente di comprendere meglio le tendenze, anticipare le nuove minacce e adattare le strategie di difesa.
La Criticità delle CVE (Common Vulnerabilities and Exposures):
Le CVE più ricercate spesso riguardano vulnerabilità ben note e diffuse, come stack TCP/IP e memory leaks. Sebbene sia fondamentale monitorare e correggere queste vulnerabilità, concentrarsi esclusivamente su di esse può portare a una visione distorta delle minacce emergenti e meno conosciute. La ricerca di nuove e meno evidenti vulnerabilità è essenziale per mantenere un approccio proattivo alla sicurezza.
Se volessimo stilare una lista delle vulnerabilità piu’ ricercate potremmo indicare:
CVE-2020-11899
CVE-2001-0540
CVE-2012-0152
CVE-2002-0013
CVE-2002-0012
CVE-1999-0517
CVE-2002-0013
CVE-2002-0012
CVE-2019-11500
CVE-2019-11500
CVE-2018-11776
CVE-2023-46604
CVE-2023-46604
CVE-2023-46604
CVE-2001-0414
Divertente notare che la ricerca è data da CVE vecchie di anni, in un mondo perfetto come lo spacciano gli “esperti” alle conferenze mi aspetterei ricerca di CVE al massimo del 2022 e non del 2001!
Questi dati sono presi da diverse fonti internazionali e non vendor like, ma da migliaia di ricercatori anche indipendenti che hanno a cuore fare sicurezza e non solo venderla.
NOTA: La sicurezza non è possibile racchiuderla in 8 ore, è una strategia 24/7 dinamica e basata su diverse competenze.
L’Importanza della Diversificazione delle Fonti:
La raccolta di threat intelligence dovrebbe abbracciare la diversificazione delle fonti. Relying solo su prodotti preconfezionati o report di sicurezza standard può limitare la comprensione delle minacce. Esplorare fonti meno convenzionali e collaborare con la comunità di sicurezza globale può fornire informazioni preziose al di là di ciò che è comunemente noto.
Il Ruolo delle Competenze Umane:
Nel contesto della threat intelligence, le competenze umane sono irrinunciabili. Gli esperti di sicurezza con una profonda comprensione delle tecnologie e delle tattiche degli attaccanti possono interpretare meglio i dati raccolti e individuare potenziali minacce che potrebbero sfuggire agli strumenti automatizzati.
La Sicurezza Informatica: Se non vedo una dashboard non so che fare
L’ultimo anno ancora una volta ha evidenziato un fail persistente: la tendenza a trattare la sicurezza come un prodotto piuttosto che come una strategia integrata a multi layer e granulare. Abbiamo assistito al perpetuarsi di questo macro problema, con conseguenze significative per le aziende e il personale dedicato alla sicurezza. La mancanza di una prospettiva olistica e l’assenza di una visione dettagliata attraverso gli strumenti e non solo “grafiche” possano compromettere la comprensione e la gestione delle minacce informatiche.
Sicurezza come Prodotto:
Troppo spesso, la sicurezza informatica è considerata come un prodotto singolo, come un antivirus o un firewall. Questo approccio limitato non tiene conto della complessità delle minacce attuali che richiedono una strategia più ampia e multifattoriale per garantire una difesa efficace.
La Necessità di una Strategia Multi-Livello:
Affrontare le minacce informatiche richiede una strategia multi-livello che vada oltre l’implementazione di singoli prodotti. Questo approccio dovrebbe includere la formazione degli utenti, la gestione delle vulnerabilità, la threat intelligence, e l’implementazione di politiche di sicurezza robuste. La sicurezza dovrebbe essere integrata in ogni aspetto delle operazioni aziendali.
La Mancanza di Comprensione senza Dashboard Dettagliate:
Un aspetto critico della strategia di sicurezza è la comprensione dettagliata delle attività in corso. Tuttavia, molte aziende e personale dedicato alla sicurezza potrebbero non avere accesso a dashboard approfondite che forniscono una panoramica completa delle minacce e delle attività sospette. Questa mancanza di visibilità può ostacolare la capacità di reagire prontamente agli attacchi.
Sfide nell’Adozione di una Prospettiva Olistica e granulare:
L’adozione di una prospettiva olistica sulla sicurezza richiede un cambiamento culturale e organizzativo. Le aziende devono superare la mentalità del “prodotto unico” e abbracciare un approccio integrato che coinvolga tutte le parti interessate, dalla leadership ai dipendenti di tutti i reparti.
Fate una prova: create un firewall, robusto, che tenga conto di ogni singolo attacco e metta un cane da guardia ad ogni singolo processo e date una shell al tipo che gestisce la sicurezza o secops, vedrete che nella maggioranza dei casi vi guarderanno come cani bastonati odiandovi perché non capiscono cosa sia.
L’Anno della Glorificazione Tecnologica: Tra Utilità, Percezioni Distorte e il Dominio dell’IA”
L’ultimo anno ha visto un’ulteriore ondata di glorificazione tecnologica, con l’entusiasmo e l’attenzione del pubblico che si sono concentrati su soluzioni emergenti. Tuttavia, dietro la brillante facciata della tecnologia utile, emerge una tendenza persistente: la glorificazione eccessiva, spesso basata su percezioni distorte delle reali esigenze. Se in passato era la blockchain ad essere protagonista, l’anno appena trascorso ha visto l’Intelligenza Artificiale (IA) prendere il centro del palcoscenico, alimentando discorsi entusiastici e talvolta irrealistici sul suo potenziale.
La Blockchain e la Percezione Distorta:
La blockchain, in passato acclamata come la panacea per molti problemi, ha spesso sofferto di una percezione distorta delle sue reali applicazioni. La glorificazione eccessiva ha portato a un’adozione sproporzionata e a progetti che, in molti casi, non corrispondevano alle reali esigenze. L’entusiasmo iniziale è stato in parte eclissato da una comprensione più realistica delle limitazioni e delle opportunità di questa tecnologia.
L’Ascesa dell’Intelligenza Artificiale:
Nel corso dell’ultimo anno, l’Intelligenza Artificiale ha preso il testimone, emergendo come la nuova star delle tecnologie. Discorsi sulla potenza trasformativa dell’IA hanno catturato l’immaginazione pubblica, spingendo molte aziende a adottare soluzioni basate sull’IA. Tuttavia, come nel caso della blockchain, è fondamentale evitare una glorificazione eccessiva e comprendere chiaramente dove e come l’IA può realmente portare vantaggi tangibili.
Il Rischio delle Soluzioni Inutili:
La corsa verso tecnologie dirompenti spesso ha portato a un’adozione affrettata, con aziende che implementano soluzioni solo perché sembrano all’avanguardia. Questo approccio, alimentato dalla paura di rimanere indietro, può portare a investimenti in soluzioni tecnologiche che non soddisfano realmente le esigenze aziendali o non apportano miglioramenti significativi.
La Necessità di una Valutazione Realistica:
Per evitare il rischio di adottare soluzioni inutili, è fondamentale una valutazione realistica delle esigenze aziendali. Le tecnologie, anche se potenti, devono essere adottate in base a un’analisi approfondita dei benefici effettivi che possono apportare, evitando l’illusione della “tecnologia per la tecnologia”.
Il Futuro: Utilità e Comprensione Equilibrata:
Guardando al futuro, è cruciale trovare un equilibrio tra l’entusiasmo per le nuove tecnologie e una comprensione equilibrata delle loro reali applicazioni. L’IA, come esempio più recente, offre indubbiamente opportunità straordinarie, ma è importante sottolineare che non tutte le soluzioni basate sull’IA sono adatte per tutte le situazioni.
Una domanda sorge spontanea: ma se la pubblica amministrazione, regolata da leggi e fior di agenzie usa ancora una versione di apache delle guerre puniche o un comune italiano ha ancora in bella vista una pagina che dice “hackerata da pinco pallino 2010” a che serve parlare di innovazione e futuro? Sembra tanto una ipocrisia conclamata!
A tutto quanto sopra possiamo aggiungere:
1 – Aziende e consulenti che spacciano soluzioni inutili o che eseguono “pentest” validi quanto un cucchiaio per travasare il mare
2 – Educazione errata da parte di sedicenti “esperti” a utenti
Ci sarebbe molto altro da dire, portando esempi reali di come per l’ennesimo anno la sicurezza informatica è stato un fallimento, il dato piu’ preoccupante è il fatto che invece che diminuire gli attacchi sono triplicati!
Questo dovrebbe far pensare, far ponderare gli “esperti” che la strada intrapresa è sbagliata.
Ma una risposta logica al perché potrebbe essere: si pensa a vendere sicurezza invece che fare sicurezza e la ricerca non esiste.
Caria Giovanni - Security Blog 