Gli F5 Labs e gli esperti di F5 hanno condiviso la loro esperienza degli ultimi dodici mesi per prevedere quali potrebbero essere le maggiori cause di preoccupazione nel 2023. È raro che i cybercriminali aspettino il nuovo anno per svelare improvvisamente un nuovo tipo di attacco, cambiare drasticamente strategia o modificare i loro obiettivi. Le minacce si evolvono lentamente e si adattano a sistemi di sicurezza in continuo miglioramento. Ecco, quindi, le principali previsioni degli F5 Labs per il 2023, insieme all’analisi degli specialisti di cyber threat intelligence, dei malware reverser e degli ingegneri dei SOC di F5.
Amazon Music: 3 mesi gratuiti senza obbligo di abbonamento
Amazon Prime: 30 giorni gratis, Prova subito!
Secondo F5 Labs le Shadow API porteranno a violazioni inaspettate
Come per tutti gli aspetti della sicurezza informatica, è impossibile proteggere ciò di cui non si conosce l’esistenza. Secondo Shahn Backer, senior solutions architect di F5 e consulente per il cloud e le API, le Shadow API rappresentano un rischio crescente che probabilmente porterà a violazioni di dati su larga scala che l’organizzazione vittima non sapeva nemmeno fossero possibili.
Molte organizzazioni ad oggi non dispongono di un inventario accurato delle proprie API e questa situazione agevola un nuovo tipo di minacce noto come Shadow API. Le organizzazioni che hanno adottato un processo di sviluppo delle API maturo, mantengono un inventario delle risorse noto come inventario delle API, che idealmente conterrà informazioni su tutti gli endpoint API disponibili, dettagli sui parametri accettabili, informazioni sull’autenticazione e sull’autorizzazione e così via.
Tuttavia, molte organizzazioni non dispongono di questo tipo di inventario e, per altre, le API in produzione e che beneficiano di uno sviluppo continuo si allontanano dalla loro definizione originale nell’inventario. Di conseguenza, in entrambi i casi, ci sono API esposte di cui le organizzazioni non hanno visibilità. Queste sono note appunto come Shadow API, API ombra.
L’autenticazione a più fattori (MFA) diventerà inefficace
Secondo Remi Cohen, cyber threat intelligence manager, Office of the CISO di F5, il social engineering non sta scomparendo e gli attacchi MFA fatigue, noti anche come attacchi MFA bombing, sono destinati ad aumentare in frequenza ed efficacia. Questa tipologia di attacchi mira a infastidire le vittime inondandole di così tante richieste di autenticazione da indurle ad approvare la richiesta di notifica per sbaglio o per frustrazione. Questo tipo di attacco rappresenta un rischio immediato per le aziende, poiché i dipendenti sono il canale di minaccia più vulnerabile agli attacchi di social engineering. Inoltre, l’MFA è un controllo di sicurezza fondamentale per impedire l’accesso non autorizzato alle risorse critiche.
Spesso le aziende non tengono conto delle password violate o utilizzano una soglia più bassa per il tipo di passphrase richiesta, perché esistono altri controlli compensativi come l’MFA. I kit di phishing MFA-enabled e l’MFA bombing annullano questo controllo compensativo e sottolineano l’importanza delle passphrase, della difesa in profondità e del passaggio a un’architettura zero trust in cui, per garantire la sicurezza di un’azienda o di un individuo, si prendono in considerazione anche altri fattori.
Gran parte del panorama della sicurezza informatica è una corsa agli armamenti tra difensori e
attaccanti. I metodi di autenticazione non fanno eccezione. Nel breve termine, la soluzione passkey di FIDO Alliance promette forse il primo metodo veramente efficace per mitigare gli attacchi di social engineering, poiché la cripto-chiave utilizzata per autenticare gli utenti si basa sull’indirizzo del sito web che stanno visitando. Resta da vedere quanto rapidamente questa nuova tecnologia sarà adottata dall’utente medio.
Problemi con il troubleshooting
Secondo F5 Labs è necessario essere in grado di prevedere gli incidenti di sicurezza con le implementazioni cloud. Questo perché la frequenza delle violazioni delle applicazioni cloud continua a crescere e la portata di tali violazioni può essere enorme. Secondo Ethan Hansen, SOC engineer di F5 che si occupa della sicurezza delle infrastrutture cloud native per i clienti, sono molti gli utenti cloud che, sia accidentalmente che a scopo di troubleshooting, hanno difficoltà a configurare correttamente il controllo degli accessi, sia a livello di utente che di rete.
Più volte nel 2022 il SOC di F5 ha visto utenti creare account di servizio temporanei e poi assegnare loro
permessi molto ampi sia tramite le policy IAM integrate che tramite policy inline. Questi account temporanei vengono spesso creati per la risoluzione di problemi o per ripristinare l’operatività di un’applicazione che si basa su un utente o un ruolo specifico. Spesso assistiamo a configurazioni in cui questa correzione temporanea diventa permanente e il rollback delle modifiche risulta essere molto più difficile. Inoltre, se si utilizzano le stesse credenziali a lungo termine invece di credenziali di breve durata, c’è anche la possibilità che tali credenziali vengano rubate o che trapelino in qualche modo.
Le librerie di software open source diventeranno il bersaglio primario
Negli ultimi anni abbiamo assistito a un numero crescente di casi in cui le librerie software sono
diventate un rischio concreto per le organizzazioni che si affidano a loro. Gli account degli sviluppatori sono stati compromessi, in genere a causa della mancanza di MFA, con conseguente inserimento di codice dannoso in librerie ampiamente utilizzate e nelle estensioni del browser web Google Chrome. Inoltre, gli autori degli attacchi Trojan e typo-squatting, sviluppano strumenti che sembrano utili o hanno nomi molto simili a librerie ampiamente utilizzate. Infine ci sono i codici distruttivi e altri codici dannosi che vengono inseriti deliberatamente dal vero autore di una libreria come forma di hacktivismo o di protesta politica.
Per Aaron Brailsford, principal security engineer del security incident response team (SIRT) di F5, gli SBoM sono assolutamente necessari nonostante comportino un’enorme mole di lavoro per le organizzazioni. Per le vulnerabilità non divulgate/zero-day, la migliore possibilità di individuare l’aggressore è avere visibilità sul traffico interno tra componenti software e servizi interni all’applicazione, nonché sul modo in cui tali componenti interagiscono con la piattaforma sottostante (IaaS). Oggi queste interazioni sono catturate da CSPM (infra), CWPP (e-w) e ADR (layer dell’applicazione); questi mercati separati dovranno unirsi per fornire la visione olistica necessaria a rilevare le minacce intra- app con un’elevata efficacia e un basso tasso di falsi positivi.
F5 Labs: le ransomware si espanderà sulla scena geopolitica
L’encrypting malware è ormai a livelli epidemici. Ma non si tratta solo di criptare i dati per ottenere un impatto, come il framework MITRE ATT&CK riferisce. Comprese le varietà non crittografiche, il malware è stato la principale causa di violazione dei dati per le organizzazioni statunitensi nel 2021. L’obiettivo degli aggressori è soprattutto quello di rubare i dati. Una volta che li hanno tra le mani, hanno a disposizione diversi modi per monetizzare i loro sforzi. David Arthur, F5 security solutions architect per la regione Asia-Pacifico, ritiene che le truffe che si traducono in infezioni ransomware di successo saranno il principale motore per esercitare pressioni
politiche.
Gli aggressori aumenteranno i tentativi di monetizzare i dati della violazione direttamente dalle persone colpite attraverso vari tipi di truffe e frodi a valle, come ad esempio la richiesta di nuove carte di credito. Queste truffe stanno diventando sempre più credibili e, sebbene contengano ancora errori evidenti per un osservatore esperto, avranno probabilmente un certo successo. Dal punto di vista del criminale, se il furto delle informazioni personali dei clienti non può essere monetizzato con l’estorsione all’organizzazione violata, ad esempio chiedendo un riscatto o minacciando di rilasciare la proprietà intellettuale, allora i loro obiettivi si sposteranno sull’individuo singolo.
Gli aggressori apportano modifiche significative alle loro operazioni solo quando sono costretti a farlo a causa del miglioramento dei sistemi di sicurezza, come l’MFA. Ciò suggerisce che è necessario che accada qualcosa di radicale. Da soli, né i miglioramenti incrementali della tecnologia né le pressioni geopolitiche sono in grado di fare una differenza significativa per molti degli attacchi, in particolare quelli che hanno come obiettivo diretto l’utente finale.
- Sbaraglia, Giorgio (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🔝LinkedIn pubblica il report Top Companies Italia 2024: al primo posto Intesa Sanpaolo
🍪Il futuro della privacy online: Google dice addio ai cookie di terze parti
🪪Parliamo di SASE: intervista a Aldo Di Mattia di Fortinet
💡AMD e i data center energeticamente sostenibili. Intervista ad Alexander Troshin
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
