Con i grandi cambiamenti che le aziende stanno intraprendendo in campo digitale, anche i criminali informatici stanno cambiando le loro tattiche per sfruttare al meglio le nuove tecnologie, aumentando velocità, scala e sofisticazione. Il più recente Incident Response Report di Unit 42, il threat intelligence team di Palo Alto Networks, porta alla nostra attenzione le nuove modalità d’accesso sfruttate dai criminali informatici e fornisce indicazioni su come le aziende possano proteggere efficacemente la loro superficie di attacco.
Le nuove modalità d’accesso emerse
I criminali informatici si evolvono con il cambiamento dei trend dell’IT, il che risulta in nuove modalità di accesso iniziale (in inglese, foothold).
Nel corso dell’ultimo anno, si è registrato un aumento evidente dello sfruttamento delle vulnerabilità del software e delle API. Infatti, il loro sfruttamento ha rappresentato il 38,60% dei punti di accesso iniziali nel 2023, rispetto al 28,20% del 2022.
Le credenziali compromesse sono un’altra modalità d’accesso diffusa e in aumento, dal 12,90% del 2022 al 20,50% del 2023. Se confrontati con i due anni precedenti, la prevalenza è più che quintuplicata rispetto al 2021. Il trend è particolarmente preoccupante perché, nonostante gli sforzi coordinati di forze dell’ordine e industria privata, le percentuali rimangono elevate, e i market di credenziali sul dark web sono più attivi che mai.
Interessante notare come invece il phishing sia in leggera diminuzione: da una quota di incidenti di accesso iniziale pari a un terzo nel 2022, il phishing è sceso ad appena il 17% nel 2023. Questo, però, non deve essere un grido di vittoria. Infatti, la riduzione segnala solo una sua possibile de-prioritizzazione, in quanto i criminali informatici si adattano a metodi di infiltrazione tecnologicamente più avanzati e forse più efficienti. Gli attori delle minacce si stanno spostando dalle campagne di phishing tradizionali e interattive a metodi meno evidenti, e possibilmente automatizzati, per sfruttare le debolezze del sistema e le fughe di credenziali preesistenti.
Palo Alto Networks raccomanda di dare priorità al rilevamento e correzione delle vulnerabilità del software e alla protezione dei processi di gestione delle credenziali per mitigare queste minacce crescenti.
Dati raccolti con “pesca a strascico”
Dall’Incident Response Report risulta che nel 93% degli incidenti gli attori delle minacce hanno sottratto informazioni in modo indiscriminato anziché ricercare dati specifici. Si tratta di una percentuale in aumento rispetto al 2022, quando l’81% dei casi riguardava furti di dati non mirati, e al 2021 quando era ancora più bassa, 67%.
Questa nuova tendenza può essere dovuta a vari fattori. Molti criminali informatici sanno che i dati aziendali possono rivelare obiettivi redditizi solo se prelevati in blocco, e l’utilizzo di strumenti automatizzati rende la raccolta e il processamento di questi molto più efficiente.
È quindi necessario difendersi di conseguenza da questa raccolta dati indiscriminata, integrando la protezione di dati sensibili con strategie che presuppongono che tutte le informazioni possono essere a rischio. Inoltre, si raccomanda l’implementazione di strumenti per il rilevamento precoce, in grado di riconoscere i tentativi di esfiltrazione su larga scala, spesso primo segno evidente di una violazione.
Le raccomandazioni di Palo Alto Networks
Palo Alto Networks raccomanda le aziende di migliorare la visibilità dei loro ambienti, sia interni che esterni, per tenere il passo con l’estensione della superficie di attacco. Importante, soprattutto, è la difesa degli ambienti cloud, seguita a ruota dalla protezione del protocollo di desktop remoto (RDP), che può amplificare la minaccia ransomware se esposto. Per ottenere una visibilità completa sulla propria infrastruttura informatica serve una solida combinazione di rilevamento delle risorse, scansione delle vulnerabilità e adozione di autenticazione multi-fattore (MFA).
Un’altra strategia da adottare è quella dello Zero Trust, che si basa sul principio del “mai fidarsi, sempre verificare“. Il primo passo è rafforzare l’autenticazione degi utenti con sistema di MFA completo, per poi passare a tecnologie passwordless al fine di ridurre l’efficacia del furto di credenziali. Far in modo che gli utenti abbiano accesso solo alle risorse necessarie per il loro ruolo e solo per il tempo necessario a eseguire una determinata azione limita il potenziale di accesso non autorizzato e di movimento laterale all’interno della rete.
Per maggiori informazioni, vi invitiamo a consultare il report completo disponibile sul sito web di Palo Alto Networks.
- Campeglia, Domenico (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!