CrowdStrike è leader della sicurezza informatica a livello globale e ha di recente presentato il rapporto dal titolo “Global Threat Report 2024”, che mette in luce l’aumento degli avversari specializzati nell’utilizzo di credenziali e identità rubate per approfittare delle lacune negli ambienti cloud e massimizzare le azioni furtive, la velocità e l’impatto dei cyber attacchi. Il rapporto illustra, inoltre, le principali minacce per il 2024, tra cui figurano il boicottaggio delle elezioni globali e l’uso dell’IA generativa per abbassare le barriere di ingresso e lanciare attacchi più sofisticati. Abbiamo approfondito la questione con Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike.
Global Threat Report 2024, il rapporto di CrowdStrike: attenzione alle minacce
Il rapporto “Global Threat Report 2024” di CrowdStrike evidenzia alcuni risultati molto interessanti in previsione del 2024. Tra di essi abbiamo un forte aumento della velocità degli attacchi: la velocità degli attacchi informatici continua ad accelerare ad un ritmo allarmante. Il rapporto evidenzia che il tempo medio di evasione è diminuito a soli 62 minuti dai 79 dell’anno precedente.
Global Threat Report 2024, il rapporto di CrowdStrike: ne abbiamo parlato con Luca Nilo Livrieri
Abbiamo voluto approfondire la questione cyber minacce e fatto ulteriore chiarezza sui risultati emersi dal rapporto di CrowdStrike con Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike.
Ci parli un po’ di lei e dei sul percorso professionale: come è diventato Director Sales Engineering in CrowdStrike?
Ho sempre avuto la passione per i computer, sin da ragazzo mi piaceva assemblare e creare computer sempre più potenti. All’Università la scelta di un percorso informatico è stata chiara, focalizzandomi inizialmente sulla programmazione fino a che un amico non mi fatto scoprire la sicurezza informatica ed è stato amore a prima vista. Ho iniziato a creare e a mettere in sicurezza piccole reti locali con firewall e sistemi di monitoraggio del traffico come consulente, ma mi piaceva soprattutto sensibilizzare il cliente e spiegare i rischi dell’utilizzo di internet.
Dopo qualche anno sono entrato in un’azienda che produceva sistemi di protezione della navigazione web e da lì ho approfondito sempre più il tema della sicurezza informatica, studiando l’ecosistema del cybercrime e creando per passione laboratori con soluzioni di sicurezza diverso tipo, analizzando gli attacchi e capendo come proteggersi con sempre più precisione: la sfida era iniziata! Da lì dopo vari passaggi sono giunto in CrowdStrike, dove la lotta al cybercrime è una vera e propria missione.
Quali sono gli obiettivi del Global Threat Report 2024?
In qualità di leader della cybersecurity nell’era dell’intelligenza artificiale, CrowdStrike ha introdotto un approccio alla cybersecurity focalizzato sull’avversario e fornisce alle aziende la sua intelligence, analisi condotte dagli specialisti e tecnologie innovative necessarie per essere all’avanguardia rispetto alle minacce.
Con il nuovo rapporto, giunto alla decima edizione, l’azienda intende illustrare le principali minacce attese per il 2024 e, mettendo in luce le attività di alcuni degli oltre 230 gruppi avversari monitorati fino ad oggi, fornire competenze e strumenti di analisi che si rivelino strategici ed efficaci.
Ci interessa dare elementi pratici che possano sensibilizzare il cliente sulle tendenze degli attacchi, si pensi, per esempio, che c’è un aumento del 75% degli attacchi cloud e un aumento del 100% di gruppi che si dedicano esclusivamente allo studio delle piattaforme cloud per massimizzare la portata degli attacchi.
Adottare un approccio basato sulla piattaforma, alimentata da dati di intelligence e threat hunting, per proteggere l’identità, dare priorità alla protezione del cloud e fornire completa visibilità sulle aree di rischio a livello aziendale, sono tra i suggerimenti che emergono dall’analisi dei dati del Global Threat Report 2024.
Quali sono i trend delle principali minacce alla sicurezza informatica che ci sono evidenziati nel 2023 e che ci stiamo portando nel 2024?
La cybersecurity si trova ancora una volta in una fase cruciale, segnata da un panorama di minacce in rapida evoluzione guidato dai progressi tecnologici. Il mondo digitale continua a espandere i suoi orizzonti, dall‘Internet of Things all’intelligenza artificiale (AI), rendendo la cybersecurity più critica e complessa e il 2024 promette l’emergere di nuove tendenze e modelli.
Grazie agli elevati tassi di efficacia, gli attacchi basati sull’identità e sull’ingegneria sociale hanno registrato un’impennata nel 2023, potenziata dall’IA generativa per un phishing più efficace. La vendita delle credenziali rubate da parte dei gruppi criminali dedicati a questa finalità continua ad aumentare (120% nel 2022, 20% nel 2023) perché queste credenziali garantiscono agli avversari un accesso e un controllo rapidi ed una porta d’accesso immediata e veloce per effettuare l’attacco.
Il report conferma poi il cloud come un terreno di scontro, estremamente interessante per gli avversari, grazie alla capacità di colpire un grandissimo numero di bersagli con un attacco singolo. Altra tendenza è quella del tempo di attacco sceso ora a 62 minuti per effettuare un movimento laterale all’interno dell’azienda.
Il cambiamento culturale verso una condivisione delle informazioni più aperta e collaborativa è destinato a diventare una caratteristica fondamentale delle pratiche di cybersecurity nel 2024. Si prevede che le amministrazioni locali e gli enti normativi adotteranno politiche che incoraggino o impongano la condivisione degli incidenti di cybersecurity e delle informazioni sulle minacce, per promuovere un ambiente più collaborativo e meno colpevolizzante per le vittime.
Parliamo di intelligenza artificiale: che ruolo ha giocato per la sicurezza nel 2023 e cosa potrebbe succedere nel 2024?
Si parla molto di IA generativa e di come funzioni. Nel corso del 2023 CrowdStrike aveva già osservato che gli attori degli Stati-nazione e gli hacktivisti stavano cercando di sfruttare l’IA generativa per democratizzare gli attacchi e abbassare le barriere di ingresso al fine di realizzare operazioni più sofisticate e, secondo il rapporto, questa tecnologia sarà probabilmente ancora più utilizzata per attività cyber nel 2024, vista la sua continua diffusione.
I gruppi avversari hanno continuato infatti a sperimentare tra le nuove tecnologie proprio l’IA generativa per aumentare il tasso di successo e il ritmo delle loro operazioni e ci attendiamo che gli avversari cercheranno di sfruttarla per boicottare le elezioni globali.
Il 2024 sarà un anno davvero particolarmente ricco dal punto di vista elettorale, infatti, perché circa il 70% della popolazione mondiale sarà alle prese con un’elezione. Notiamo che la disinformazione rappresenta un fattore critico enorme. Lo abbiamo già visto a Taiwan, abbiamo visto l’uso dell’IA generativa della voce del Presidente Biden nelle finte chiamate di qualche settimana fa. E la situazione è destinata a peggiorare, non a migliorare, nel corso dell’anno.
Da un altro punto di vista, inoltre, si parla sempre più spesso di data poisoning (letteralmente “avvelenamento dei dati”), come uno dei pericoli a cui sono esposte, come oggetto di attacco, le intelligenze artificiali stesse.
CrowdStrike sta monitorando il fenomeno e ci aspettiamo che sarà sempre più oggetto di interesse dei criminali attaccare il modello di AI generativa per infliggere attacchi efficaci. Osserviamo addirittura criminali informatici creare il proprio modello di IA generativa malevola, come strumento di attacco ancora più pericoloso.
Secondo lei, su che aspetto sono più vulnerabili le PMI del nostro Paese?
Esiste una particolare attenzione verso tutto ciò che riguarda la scelta e la gestione dei fornitori di software e servizi, soprattutto tra le piccole e medie imprese. Un trend confermato dal nuovo report riguarda proprio la supply chain, elemento di vulnerabilità per le aziende di queste dimensioni.
Abbiamo notato sia un perdurare degli attacchi alla catena di fornitura che l’abitudine degli attaccanti a sfruttare in maniera intelligente gli strumenti più utilizzati dalle PMI – software e servizi – proprio per veicolare vulnerabilità all’interno delle reti aziendali, sfruttando accessi legittimi (ad esempio ad un software gestionale, o di pagamento, o su un portatile su cui viene scaricato un aggiornamento software di terza parti, etc).
Abbiamo notato poi un aumento del 75% delle intrusioni nel cloud nell’ultimo anno, rispetto all’anno precedente. Questo non ci sorprende. Il numero di gruppi criminali focalizzati sul cloud ha continuato a crescere nel 2023 e continuerà a crescere nel 2024.
L’adozione del cloud si sta diffondendo poiché le aziende si rendono conto del potenziale di innovazione e agilità aziendale che questa tecnologia può offrire e a causa di questa crescita, il cloud sta rapidamente diventando un importante terreno di scontro per i cyberattacchi.
Questo perché un numero sempre maggiore di organizzazioni implementa risorse cloud senza necessariamente avere una postura di sicurezza coesa, o almeno che sia equivalente a quella adottata per le loro implementazioni aziendali tradizionali. Stiamo anche vedendo che gli attori delle minacce stanno utilizzando il cloud per distribuire strumenti all’interno dell’azienda. Configurazioni errate o mis-configuration di servizi cloud possono esse stesse creare vulnerabilità.
Per questo motivo suggeriamo di avere non solo particolare attenzione nella scelta dei fornitori quando si utilizzano soluzioni di terze parti, ma soprattutto di adottare, anche a livello PMI, un approccio alla difesa che porti a costruire una solida cultura di sicurezza.
Se le chiedessimo di sintetizzare il report in una parola sola, quale userebbe? Perché?
Velocità è la parola chiave. Velocità degli attacchi, che è scesa a 62 minuti rispetto al report precedente. In 62 minuti “l’incendio” si propaga in modo così violento che non è più possibile spegnerlo, ma velocità è la parola chiave anche per la risposta agli attacchi informatici.
Occorre essere pronti a rispondere in 60 minuti secondo la regola dell’1, 10, 60. 1 minuto per la detection dell’attacco, 10 per l’investigazione e 60 per la remediation che riporta la situazione alla normalità. Bisogna dotarsi di soluzioni, processi e servizi che riescano ad avere questi tempi di risposta.