Report annuale di Enisa in materia di Cybersecurity

Enisa European Union Agency for Cybersecurity

Pubblicato il 27 Ottobre il report annuale di Enisa per l’anno 2021 riguardante la cybersecurity: una panoramica delle minacce, delle tipologie di attacchi e attaccanti per arrivare alle principali misure di mitigazione del rischio. Il forte legame di collaborazione tra il Garante della Privacy ed Enisa ci porta ad analizzare questo report vista la centralità dell’informatica nello scambio di informazioni quotidiana tra i quali figurano i dati personali.

Questo articolo non si propone di descrivere nel dettaglio i punti già specificati nel resoconto di Enisa leggibile dal link presente qui sopra, ma di fare un riassunto di alcuni punti interessanti, sia in materia di sicurezza informatica che di privacy, nelle varie sezioni che sono le seguenti:

  • Valutazione del panorama delle minacce informatiche nel periodo di tempo di analisi a partire da Aprile 2020 a Luglio 2021.
  • Tipologia di attaccanti.
  • Principali tipologie di minacce suddivise in 8 gruppi: ransomware, malware, cryptojacking, minacce legate alle email, minacce dirette ai dati, minacce riguardanti la disponibilità e l’integrità, disinformazione e misinformazione, minacce non malevole.
  • A Annex sezione con esempi di attacchi operativi più comunemente utilizzati, si basa sul MITRE ATT&CK® framework.
  • B Annex sezione con esempi dei maggiori incidenti rilevati nel lasso di tempo preso in considerazione per l’analisi.

Panoramica

Gli attacchi informatici sono risultati in aumento negli anni 2020 e 2021 non solo in termini di vettori ma anche in termini di impatto. Il passaggio a modelli di reti sempre più predisposte per le connessioni da remoto, VPN e dispositivi IOT (internet of things) ha aumentato l’esposizione online e conseguentemente la superficie di attacco. La pandemia Covid-19 inoltre ha portato a modelli di ufficio ibrido con dispositivi aziendali su reti domestiche per lo smart working e di conseguenza si è assistito a un aumento del numero di attacchi informatici diretti a organizzazioni e aziende sfruttando le postazioni domestiche.

Spinto da una presenza online in continua crescita, dalla transizione delle infrastrutture tradizionali a soluzioni online e basate su cloud, dall’interconnettività avanzata e dallo sfruttamento di nuove funzionalità di tecnologie emergenti come l’intelligenza artificiale, il panorama della sicurezza informatica è cresciuto in termini di sofisticatezza degli attacchi, di complessità e di impatto. A seguire alcune delle principali tendenze rilevate:

  • I settori maggiormente colpiti sono quello sanitario, i fornitori di servizi digitali (che vanno a impattare sulla supply chain interrompendo o creando problematiche ad alto impatto sulla business continuity delle attività e aziende), il settore pubblico, le pubbliche amministrazioni e i governi.
  • Il Covid-19 ha creato nuove opportunità per i criminali informatici in particolare sotto forma di attività di spionaggio informatico e come esca per le compagne di phising/spear phising via posta elettronica.
  • Le organizzazioni governative hanno intensificato gli sforzi sia a livello nazionale che internazionale per interrompere ed intraprendere azioni legali contro gruppi cybercriminali organizzati.
  • I criminali informatici sono sempre più motivati dalle opportunità di monetizzazione delle loro attività. Le criptovalute rimangono il metodo di pagamento più comune sfruttato dai responsabili degli attacchi.

Tipologia di attaccanti

Il monitoraggio degli ultimi sviluppi riguardanti le tattiche e le tecniche utilizzate da parte degli autori delle minacce per raggiungere i propri obiettivi, oltre a rimanere aggiornati con le tendenze a lungo termine in termini di motivazioni e obiettivi, è fondamentale per una difesa efficiente nell’ecosistema di sicurezza informatica di oggi. Inoltre la comprensione delle tendenze relative agli attaccanti, alle loro motivazioni e ai loro obiettivi aiuta notevolmente nella pianificazione delle difese di sicurezza informatica e delle strategie di mitigazione.

È parte integrante della valutazione complessiva delle minacce poiché consente di dare priorità ai controlli di sicurezza e di elaborare una strategia dedicata basata sul potenziale impatto e sulla probabilità che le minacce si materializzino. Non avere alcuna comprensione del quadro complessivo del modo in cui operano crea una lacuna significativa nella sicurezza informatica perché si finisce per cercare e analizzare le minacce senza considerare le motivazioni e gli obiettivi dietro di esse. Il focus è rivolto a quattro categorie di attaccanti selezionate in base alla loro relativa importanza durante il periodo di riferimento ETL 2021: state-sponsored actors, cybercriminali, hacker su commissione e hacktivisti.

State-sponsored actors

Per state-sponsored actors si intendono gruppi sostenuti dallo Stato e i loro operatori impegnati in attività generatrici di reddito. Come è stato osservato in passato, ci sono stati casi in cui avversari sponsorizzati dallo stato si sono impegnati in operazioni di criminalità informatica. Allo stesso tempo le organizzazioni governative hanno intensificato gli sforzi da parte per interrompere e intraprendere azioni legali contro gli autori di minacce sponsorizzati dallo stato.

Il covid-19 ha guidato le attività di spionaggio informatico. Durante il periodo di riferimento, si sono osservati gruppi sostenuti dallo stato che conducevano operazioni di spionaggio informatico relative al covid-19 e che utilizzavano esche legate al covid-19 per l’ingegneria sociale.

Sebbene la compromissione della supply chain da parte dei state-sponsored actors non siano nuovi, durante il periodo di riferimento questo tipo di attacco ha raggiunto nuovi livelli di sofisticatezza e impatto.

Negli ultimi anni gli attaccanti hanno monitorare i report di intelligence sulle minacce, le divulgazioni e le risposte di attribuzione da una prospettiva operativa e strategica imparando dai loro errori passati e migliorando la loro sicurezza operativa per evitare di lasciare indicatori durante le loro intrusioni: questo ha ostacolato gli sforzi da parte dei difensori.

Le operazioni informatiche sono guidate da strategie statali, tensioni geopolitiche e conflitti armati. È risaputo, al giorno d’oggi, che le operazioni informatiche sono condotte dalla maggior parte degli stati in tutto il mondo per raggiungere i propri obiettivi strategici. Pertanto, gli stati si stanno sforzando di sviluppare, acquistare o assumere capacità di cyber offensive per porsi in una posizione favorevole in questo corsa agli armamenti informatici.

Le operazioni di hack-and-leak sono una tattica consolidata: includono attività in cui un attaccante ha accesso illegalmente alle informazioni tramite un attacco informatico e provvede a farle trapelare solitamente in un contesto specifico, a volte manipolandole, per ottenere l’effetto desiderato e influenzare determinati target. Gli obiettivi di queste operazioni possono essere imprese, politici, nonché organizzazioni governative e sono operazioni informative che incidono sulla riservatezza e l’integrità delle informazioni trapelate.

Cybercriminali

I criminali informatici seguono le opportunità economiche che si presentano. Durante il periodo di riferimento, la frequenza e la complessità degli attacchi ransomware sono aumentate ed è diventata una delle maggiori minacce che le organizzazioni devono affrontare oggi, indipendentemente dal settore di appartenenza. Gli attacchi ransomware sono un problema così grande che l’OFAC (Office of Foreign Assets Control) ha emesso un avviso per istruire le organizzazioni sui rischi di potenziali sanzioni per facilitare i pagamenti di ransomware.

L’ingegneria sociale rimane la tecnica di attacco più diffusa nel mondo del cybercrimine. L’efficacia di una campagna di phishing dipende dal fatto che attinga a forti emozioni che guidano l’azione da parte del destinatario.

Lo sfruttamento delle tecnologie legate allo smart working ha portato a nuove opportunità per gli attaccanti: durante la pandemia, le attività e organizzazioni sono state costrette a cambiare le loro strategie e ad adottare rapidamente tecnologie che avrebbero supportato la nuova realtà del lavoro a distanza. Ciò ha consentito agli avversari del crimine informatico di sfruttare la rapida implementazione di queste tecnologie di telelavoro e sfruttarle per l’accesso iniziale. Le tecnologie che sono state pesantemente prese di mira dai criminali informatici sono le appliance di rete, cloud e i servizi di accesso remoto. Lo sfruttamento di tali tecnologie ha coinvolto vulnerabilità vecchie, prive di patch e scoperte di recente, nonché l’accesso iniziale tramite credenziali compromesse e distribuzioni cloud configurate in maniera errata.

Sono aumentate la collaborazione e la professionalizzazione: durante il periodo di riferimento si è osservato che gruppi di criminali informatici hanno sviluppato servizi di criminalità informatica specializzati: questo ha portato i cybercriminali a costruire relazioni all’interno di un ecosistema con modelli di affiliazione. Questo ecosistema ha una presenza globale e diversi criminali informatici forniscono e si specializzano in diversi servizi. Questa tendenza “Cybercrime-as-a-Service” abbassa le barriere tecniche necessarie per gli attaccanti che vogliono condurre crimini informatici mentre aumenta la portata degli attacchi informatici.

I mercati del dark web contribuiscono e seguono i modelli di business degli autori degli attacchi informatici dovuto in gran parte alla crescita sia del flusso di criptovalute che dell’anonimizzazione delle reti.

Hacker su commissione

I servizi di hacker su commissione sono in aumento. Questa categoria di attaccanti all’interno del mercato “Access-as-a-Service” (AaaS) è principalmente composta da aziende che offrono capacità informatiche offensive. I loro clienti sono generalmente governi (ma anche aziende e individui) e le categorie di servizi che offrono sono di solito raggruppate in un unico servizio: ricerca e sfruttamento delle vulnerabilità, sviluppo di payload malware, comando e controllo tecnico, gestione operativa e formazione e supporto.

Le società di hacker su commissione operano legalmente nel loro paese di attività e il mercato nel suo insieme è attualmente semi-regolamentato. I clienti di queste società li pagano principalmente per condurre operazioni di spionaggio informatico, accedere a capacità informatiche offensive avanzate e godere negazione plausibile.

Questi hacker su commissione complicano il panorama delle minacce e introducono le seguenti sfide per i difensori: Il loro targeting non può essere previsto in quanto dipende dalle attività che i loro clienti ordinano; inoltre non c’è un focus su settori specifici e quindi ogni settore ha il potenziale per essere preso di mira. Per concludere agiscono come intermediari ed è molto difficile per i difensori identificare i loro sponsor così come i loro obiettivi.

Hacktivisti

Le operazioni degli attivisti informatici rimangono basse per numero, sofisticatezza e impatto. Dopo il 2016, abbiamo osservato un calo dell’hacktivismo dopo il suo picco durante il periodo 2010-2015. Oggigiorno, gli hacktivisti agiscono principalmente in piccoli gruppi di individui, protestando contro eventi regionali e prendendo di mira organizzazioni specifiche. I loro obiettivi rimangono quelli tradizionali: istituzioni finanziarie e agenzie governative. Manca una massiccia partecipazione pubblica probabilmente dovuta al perseguimento di vari attivisti informatici negli ultimi anni che ha agito da deterrente.

Ransomware

È un tipo di attacco dannoso in cui gli aggressori crittografano i dati di un’attività/organizzazione e richiedono il pagamento di un riscatto per ripristinare l’accesso. Il suo mancato pagamento può, in certi casi, portare alla divulgazione parziale o totale delle informazioni in quanto l’attaccante può pubblicare parzialmente i dati sul web, deep web e/o dark web per dimostrare di essere effettivamente in possesso dei dati o totalmente se il riscatto non viene pagato.

I due vettori di infezione più ricorrenti sono gli attacchi via email e attacchi di brute force su servizi di Remote Desktop Protocol (RDP). L’attenzione ai modelli di business di tipo Ransomware as a Service (RaaS) è aumentata nel corso del 2021, rendendo difficile l’attribuzione corretta dei singoli attaccanti. Anche il verificarsi di schemi ransomware a tripla estorsione è aumentato notevolmente: oltre a richiedere il riscatto all’azienda e a farne trapelare i dati, le informazioni possono essere recapitate anche ai clienti, ai fornitori e/o ai media.

Malware

Malware è un termine generico che descrive qualsiasi software, firmware o codice destinato a eseguire un processo dannoso non autorizzato che ha un impatto negativo sulla riservatezza, l’integrità e/o la disponibilità di un sistema. Esempi di malware: virus, worm, trojan, botnet, spyware o altre entità basate su codice che infetta un dispositivo.

Il declino del numero di attacchi malware osservato nel 2020 è continuato nel 2021. Nel 2021 si è rilevato un aumento, da parte degli attaccanti, di tecniche che ricorrevano a linguaggi di programmazione relativamente nuovi o non comuni per inoculare il loro codice. Il malware che prende di mira ambienti container virtualizzati è diventato molto più diffuso, con nuove evoluzioni come il malware senza file eseguito direttamente dalla memoria. Gli sviluppatori di malware continuano a trovare modi per rendere più difficile il reverse engineering e l’analisi dinamica.

Cryptojacking

Il cryptojacking o cryptomining nascosto è un tipo di crimine informatico in cui un criminale utilizza segretamente la potenza di calcolo di una vittima per generare criptovaluta. Questo di solito si verifica quando la vittima installa inconsapevolmente un programma con script dannosi che consentono al criminale informatico di accedere al proprio computer o ad altri dispositivi connessi a Internet.

Il volume delle infezioni da cryptojacking ha raggiunto un livello record nel primo trimestre del 2021 rispetto agli ultimi anni visto che il guadagno finanziario associato ha incentivato gli autori delle minacce a eseguire questi attacchi.

Minacce legate alle email

Le minacce legate alla posta elettronica sono state costantemente in cima alla lista delle principali minacce nell’ETL (Enisa Threat Landscape) per un certo numero di anni. Questa raccolta di minacce sfrutta le debolezze del comportamento umano riguardo alle e-mail e alle abitudini umane e mira a manipolare gli esseri umani per cadere vittime di un attacco. Le minacce legate alla posta elettronica in genere riguardano meno le vulnerabilità tecniche dei sistemi di informazione, ma principalmente la consapevolezza dell’utente finale e lo sfruttamento della fiducia intrinseca che le persone ripongono nelle loro comunicazioni di posta elettronica. Queste minacce legate all’ingegneria sociale sono costituite principalmente dai seguenti vettori: phishing, spear-phishing, whaling, smishing, vishing, compromissione della posta elettronica aziendale (BEC) e spam.

Il modello di business che sta prendendo maggiormente piede è il Phishing-as-a-Service (PhaaS).

Minacce dirette ai dati

Le minacce dirette ai dati consistono in una raccolta di minacce che prendono di mira le fonti di dati con l’obiettivo di ottenere accesso non autorizzato, divulgazione, disinformazione, misinformazione e via discorrendo. Sono principalmente indicate come violazioni dei dati o perdite di dati e si riferiscono al rilascio di dati sensibili, riservati o protetti dati in un ambiente non affidabile. Le violazioni dei dati possono verificarsi a seguito di un attacco informatico, un lavoro interno, una perdita involontaria o l’esposizione dei dati. L’esfiltrazione o il furto di dati è una tecnica utilizzata da malintenzionati per mirare, copiare e trasferire dati sensibili. Un caso particolare di utilizzo di dati esfiltrati è il furto di identità, in cui gli attori malintenzionati utilizzano informazioni personali identificabili (PII) per impersonare un utente.

Le minacce ai dati sono costantemente al primo posto tra le principali minacce dell’ETL e questa tendenza continua anche nell’attuale report.

Minacce riguardanti la disponibilità e l’integrità

Disponibilità e integrità sono l’obiettivo di una molteplicità di minacce e attacchi tra cui spiccano le famiglie di Distributed Denial of Service (DDoS) e Web Attacks. Distributed Denial of Service (DDoS) prende di mira la disponibilità del sistema e dei dati e rimane una minaccia significativa nel panorama informatico. Gli attacchi si verificano quando gli utenti di un sistema o di un servizio non sono in grado di accedere a informazioni, servizi o altre risorse pertinenti. Ciò può essere ottenuto esaurendo il servizio o sovraccaricando il componente dell’infrastruttura di rete adibito a tale scopo. Gli attacchi basati sul Web prendono di mira principalmente l’integrità e la disponibilità dei dati.

Gli attaccanti possono ingannare le vittime utilizzando sistemi e servizi web come vettori di minaccia. Questo copre una vasta superficie di attacco, ad esempio facilitando URL dannosi (Uniform Resource Locator) o script dannosi per indirizzare l’utente o la vittima al sito web desiderato o scaricando contenuti dannosi (attacchi watering hole, attacchi drive-by) e iniettando codice dannoso in un sito web legittimo, ma compromesso per rubare informazioni (ad es. formjacking) a scopo di lucro, furto di informazioni o persino estorsione tramite ransomware.

I tradizionali attacchi DDoS (Distributed Denial of Service) si stanno spostando verso le reti mobili e l’IoT (Internet of Things) considerando che le campagne DDoS nel 2021 sono diventate più mirate, molto più persistenti e sempre più multivettoriali e la condivisione delle risorse in ambienti virtualizzati funge da amplificatore degli attacchi DDoS. Il Ransom Denial of Service (RDoS) è la nuova frontiera degli attacchi Denial of Service.

Disinformazione e misinformazione

La disinformazione è un attacco intenzionale che consiste nella creazione o condivisione di informazioni false o fuorvianti. La misinformazione invece è un attacco non intenzionale, in cui la condivisione delle informazioni avviene inavvertitamente. La diffusione della misinformazione include anche scenari in cui le persone credono a una notizia indipendentemente dalla veridicità perché supporta la loro visione del mondo.

La disinformazione e la misinformazione sono al centro delle attività di criminalità informatica e stanno aumentando a un ritmo senza precedenti considerando che l’intelligenza artificiale (AI) supporta gli aggressori nello svolgimento dei loro attacchi. In particolare il phishing è al centro degli attacchi di disinformazione sfruttando fortemente le convinzioni delle persone. Il modello di business Disinformation-as-a-Service (DaaS) è cresciuto in modo significativo, stimolato dal crescente impatto della pandemia di COVID-19 e dalla necessità di avere più informazioni.

Minacce non malevole

Le minacce non malevole si basano principalmente su errori umani e configurazioni errate del sistema, ma possono anche fare riferimento a disastri fisici che colpiscono le infrastrutture IT. Vulnerabilità di sicurezza, configurazioni errate, vulnerabilità inadeguata e gestione delle patch possono aprire la porta ad attacchi DDoS, malware e ransomware. Allo stesso tempo, gli errori umani sono un importante vettore per il phishing ed attacchi d’ingegneria sociale.

Considerando gli agenti e i vettori di minaccia non malevoli, l’affermazione che indica “gli esseri umani come la parte più debole di un sistema” sta diventando sempre più rilevante. I principali vettori di minaccia sono la mancanza di formazione e competenze, nonché la consapevolezza, negli utenti, negli sviluppatori e negli amministratori. La mancanza di processi standardizzati, così come le configurazioni deboli per impostazione predefinita (es. crittografia disabilitata per impostazione predefinita), stanno aumentando la probabilità di un errore o di un’errata configurazione.

Tutti questi elementi, insieme alla crescente complessità dei sistemi moderni che combinano Cloud, Edge e IoT, rendono gli scenari attuali una bomba ad orologeria. Allo stesso tempo, infrastrutture fisiche deboli non pronte ad affrontare eventi naturali distruttivi, così come la mancanza di piani adeguati alla gestione delle utenze, aprono le porte a disastri che potrebbero avere un impatto sulla disponibilità del sistema.

Nel 2020 e nel 2021 è stato riscontrato un picco di incidenti non malevoli, poiché la pandemia di covid-19 è diventata un moltiplicatore di errori umani e configurazioni errate del sistema, al punto che la maggior parte delle violazioni nel 2020 sono state causate da errori in particolare inerenti alla sicurezza del cloud.

Annex A e B

L’Annex A riporta esempi di attacchi con codici delle tecniche di attacco ed osservazioni sulle metodologie applicate usando come riferimento il MITRE ATT&CK® framework.

L’Annex B riporta un elenco non esaustivo di incidenti rilevati insieme alla loro diffusione/vicinanza geografica e alla cronologia associata. È importante notare che, analizzando gli incidenti presentati e l’elenco completo degli incidenti relativi alle minacce menzionate nell’ETL, Enisa ha determinato le tendenze descritte nelle sezioni precedenti.

Spunto di riflessione sui framework: l’importanza di uno standard di riferimento

MITRE ATT&CK® è una base di conoscenza accessibile a livello globale di tattiche e tecniche avversarie basate su osservazioni del mondo reale. La base di conoscenza ATT&CK viene utilizzata come base per lo sviluppo di modelli e metodologie di minaccia specifici nel settore privato, nel governo e nella comunità di prodotti e servizi di sicurezza informatica. ATT&CK è aperto e disponibile a qualsiasi persona o organizzazione per l’uso gratuito.

Negli 8 gruppi di tipologie di minacce vengono descritte delle raccomandazioni su strategie di mitigazione per la prevenzione e risposta contro tali minacce. Importante notare che questo framework nasce a scopo informativo e l’applicazione effettiva richiede l’applicazione pratica a livello di competenze, tecnologie e di processi coinvolti. Il grande vantaggio di questo framework è porre una base su standard di riferimento in modo che i professionisti del settore si possano confrontare su una base comune e porre le basi per una sana collaborazione e una crescita costante nel tempo per contrastare l’evolversi delle minacce e degli strumenti adottati dagli attaccanti.

Il passo successivo è l’adozione di un framework operativo che indicativamente si deve poggiare su tre pilastri:

  • Sicurezza predittiva: identificare le minacce fuori dal perimetro della propria attività operando sui livelli web, deep web e dark web, ricercare minacce emergenti, effettuare attività di early warning;
  • Sicurezza preventiva: analizzare e misurare il rischio a livello tecnologico, fisico e umano, definire piani di cyber risk remediation;
  • Sicurezza proattiva: identificare le minacce presenti dentro il perimetro della propria attività, contrastare e bloccare gli attacchi informatici, gestire gli incidenti.

Operare su tutti e tre i livelli permette di garantire le migliori possibilità di successo nella protezione e mitigazione del rischio della propria attività. Lavorare solo a livello perimetrale non è sufficiente a proteggere la propria infrastruttura, oltre a essere presenti soluzioni zero trust che superano il concetto di perimetro aziendale con architetture SASE (Secure Access Service Edge).

Framework e Privacy: una visione d’insieme

Se ci concentriamo sulla situazione attuale in ambito privacy risulta una grossa problematica: la mancanza di un framework, uno standard di riferimento che permetta agli specialisti del settore di confrontarsi su una base comune e migliorare il sistema. Allo stato attuale la privacy, oltre ai punti cardine presenti nel GDPR, si può basare in parte in fase di applicazione su una moltitudine di ISO di riferimento come la 19011, la 27001, la 27701 per fare alcuni esempi (e la lista sarebbe più corposa), ma ognuna di esse presenta delle problematiche. Difatti a oggi non esistono schemi riconosciuti dal Garante della Privacy, sebbene alcuni siano gestiti, riconosciuti e accreditati da enti come Accredia e Inveo che si occupano di certificazioni e accreditamenti anche a livello privacy.

Prendiamo la ISO 27001: essa si occupa del contesto di rischi relativi al business, mentre l’EU Reg. 2016/679 gestisce la protezione delle persone fisiche. Tra le due ci sono punti d’incontro, difatti la ISO 27001 è attinente per quanto concerne l’articolo 32 del GDPR (sicurezza del trattamento) e non solo, ma è out of scope per l’articolo 42 (certificazione). Stesso dicasi per le altre ISO che possono avere solo alcuni punti d’incontro con il regolamento del GDPR. Il risultato è che qualsiasi ISO in parte in scope può essere adottata o meno dagli specialisti privacy creando un panorama estremamente eterogeneo, difficilmente gestibile e a tratti confusionario.

La certificazione ISDP©10003, lo schema di certificazione Data Protection-GDPR accreditato in accordo con la norma EN ISO/IEC 17065:2012, dovrebbe colmare tali lacune e riempire un vuoto presente dall’avvento del GDPR in quanto verte sui criteri e regole di controllo per la certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione degli stessi. Al momento lo schema è accreditato in forma volontaria ai sensi della ISO/IEC 17065:2012 da Accredia ed è stato avviato l’iter di valutazione dello schema, affinché sia approvato ai sensi dell’art- 42(5).

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su