NewsSicurezza

L’evoluzione delle minacce informatiche, intervista a Luca Nilo Livrieri

Il Senior Manager ci racconta il 2022 Falcon OverWatch Threat Hunting Report di CrowdStrike

La diminuzione dei tempi d’attacco, il ruolo predominante dell’eCrime, la grande crescita degli attacchi privi di malware. Il 2022 Falcon OverWatch Threat Hunting Report riporta dati interessanti sull’evoluzione degli attacchi informatici: ci siamo fatti dare una mano nel capirne le sfumature da Luca Nilo Livrieri, Senior Manager, Sales Engineering for Southern Europe di CrowdStrike.

2022 Falcon OverWatch Threat Hunting Report di CrowdStrike

Il Falcon OverWatch di CrowdStrike sfrutta le competenze del threat hunter dell’azienda, che riportano come evolvono le minacce informatiche da un anno all’altro (da giugno 2021 a giugno 2022). Tutto quello che hanno riscontrato gli esperti di CrowdStrike sui milioni di endpoint protetti dall’azienda. Valutando come evolvono i tentativi di intrusione, per dare una chiave di lettura su come gli hacker operano.

Un primo dato interessante riguarda la frequenza degli attacchi: i tentativi di aggressione “hands-on” crescono del 50% in un anno (in zona EMEA siamo al 40%). Falcon Overwatch ha infatti identificato oltre 77 mila potenziali intrusioni, una ogni sette minuti.

Attacchi sempre più rapidi

Ma Livrieri ci spiega che non impressiona solo la quantità di attacchi, ma anche la velocità. “I tempi di attacco sono scesi da un’ora e 38 minuti l’anno scorso a un’ora e 24 minuti quest’annoci spiega l’esperto. E nel 30% di questi attacchi, gli attaccanti si sono mossi lateralmente in meno di 30 minuti”.

Luca Nilo Livrieri-CrowdStrike-min
Luca Nilo Livrieri, Senior Manager, Sales Engineering for Southern Europe di CrowdStrike

Per spiegarci l’importanza di questo dato, Livrieri usa l’esempio di un “incendio: serve per capire quanto tempo si ha per domarlo, per reagire”. L’abbassamento dei tempi richiede che le aziende e i consulenti di sicurezza siano pronti a reagire in maniera ancora più immediata.

Spesso i cyber-criminali comprano le credenziali nel dark web oppure le rubano ai dipendenti meno attenti alla sicurezza”, accelerando quindi i tempi per colpire. “I cyber-criminali lavorano sempre più in silos, dividendosi i compiti come una vera e propria azienda. E quindi sono più efficienti e rapidi nel colpire“.

Per reagire a questa diminuzione della finestra di risposta, serve “costruire una difesa operativo, strategica e tattica. L’automazione ormai è necessaria per coprire i perimetri aziendali 24/7, ma serve anche la supervisione umana. Soprattutto per bloccare quegli attacchi con credenziali valide comprate nel dark web, che il sistema potrebbe non riconoscere come rischiose”.

Combinare la telemetria di una soluzione come la piattaforma CrowdStrike Falcon con la gestione delle minacce di Falcon OverWatch risulta indispensabile per reagire alle minacce più sofisticate.

2022 Falcon OverWatch Threat Hunting Report: l’eCrime resta il rischio numero uno

Il secondo punto interessante che emerge dal report riguarda i tipi di minaccia. L’eCrime resta al vertice con il 43% delle intrusioni, mentre gli attacchi di entità statali sono al 18%. Gli hacktivisti (come i gruppi di Anonymous, per esempio), contano solo per l’1% del totale. Il resto non sono attribuiti, per mancanza di dati o incertezza sugli attaccanti.

Livrieri ci fa notare che in EMEA le percentuali sono un po’ diverse: l’eCrime sta al 35%, con le intrusioni statali al 22% e gli hacktivisti al 2%. Percentuali più alte che si spiegano facilmente considerando l’impatto di attacchi statali e hacktivismo durante il conflitto in Ucraina. Ma che non riesco a scalfire il primato dell’eCrime: i cybercriminali colpiscono soprattutto per soldi.

“Anzi, vediamo sempre di più che anche in ambito governativo gli attaccanti utilizzano il know-how di gruppi eCrime. Un esempio il gruppo ransomware Conti, che dichiarò il supporto diretto alla Russia. Quindi stanno crescendo le percentuali anche delle minacce ibride”. L’esperto di CrowdStrike ci spiega infatti che spesso per fare attacchi statali o di hacktivismo utilizzano la “potenza di fuoco” dell’eCrime, specie per attacchi con il DDoS, per mettere offline piattaforme e servizi dei nemici.

Falcon OverWatch Cloud Threat Hunting crowdstrike aws reinforce

Questo fenomeno rientra nella sempre più spiccata segmentazione dell’eCrime per vendere diversi “pacchetti per cybercriminali”. Quindi possono acquistare servizi (ransomware-as-a-service), possono fornire distribuzione (spam, email, social), possono attaccare determinati bersagli in base a chi acquista il servizio. “E vediamo anche altre servizi da vere aziende. Come il recruiting per fornire risorse umane per attacchi specifici, piuttosto che servizi di customer care per esempio per gestire chi ha subito un attacco ransomware”.

Sempre più attacchi sono privi di malware

Nell’ultimo 2022 Falcon OverWatch Threat Hunting Report di CrowdStrike, le minacce prive di malware hanno contato per il 71% delle intrusioni. Qualcosa che va a scardinare il collegamento che molti non-esperti hanno della protezione dal malware come sinonimo di sicurezza informatica.

“L’attaccante spesso utilizza credenziali trovate in rete e acquistate, oppure rubate. E spesso utilizza poi i tool già presenti sul sistema”. Quando gli chiediamo un esempio, Livrieri ci dice che “spesso comprano online le credenziali di una VPN rubata per entrare nel sistema. Una volta entrati, gli attaccanti utilizzano i tool di Windows per creare connessioni remote desktop, piuttosto che inviare le informazioni estratte dal sistema”.

Questo rende più difficile rilevare gli accessi non autorizzati, perché utilizzano credenziali rubate ma legittime. “Non serve più fare il doppio click sull’allegato compromesso, e anche tramite i log risulta difficile individuare gli attaccanti”.

Secondo Livrieri, per risolvere la situazione “l’autenticazione a due fattori non è perfetta, ma fa la differenza. Inoltre serve un team di controllo capace di valutare eventuali comportamenti anomali, anche da utenti con credenziali autentiche”.

crowdstrike cnapp nuove funzionalità avversario sicurezza-min

Il settore tech il più attaccato

Secondo il 2022 Falcon OverWatch Threat Hunting Report di CrowdStrike il setore più soggetto a intrusioni interattive è quello tecnologico, con il 19% del totale. Seguono le telecomunicazioni al 10%, uniche altre in doppia cifra. E poi manifatturiero, accademico e healthcare, tutti al 7%. In EMEA invece il primo posto lo condividono tecnologia e telco al 17%.

Se invece parliamo solo di attacchi di entità statali, le Telco arrivano al primo posto con un preoccupante 37%, seguite da tecnologia (14%), governo (9%) e accademico (5%). Tuttavia, va segnalato che l’healthcare ha visto raddoppiare gli attacchi Ransomware-as-a-Service (RaaS).

Questi sono i punti più importanti emersi dal 2022 Falcon OverWatch Threat Hunting Report di CrowdStrike, che Luca Nilo Livrieri ci ha aiutato a navigare. Mostrando come le minacce, guidate dall’incentivo monetario dell’eCrime, stiano evolvendo rapidamente e siano sempre più difficili da contrastare.

Qui potete scaricare una copia del report. Per maggiori informazioni, potete visitare il sito di CrowdStrike.

OffertaBestseller No. 1
Apple PC Portatile MacBook Air 2022 con chip M2: display Liquid Retina 13,6", 8GB di RAM, 256GB di archiviazione​​​​​​​ SSD storage, tastiera retroilluminata; color​​​​​​​ Mezzanotte
  • DESIGN ASSURDAMENTE SOTTILE - Il nuovo MacBook Air è più portatile che mai e pesa solo 1,24 kg. È il notebook ultraversatile per lavorare, giocare e creare come e quando vuoi.
  • CON I SUPERPOTERI DI M2 - Con la nuovissima CPU 8-core, una GPU 8-core e 8GB di memoria unificata, puoi fare di più a tutta velocità.
  • FINO A 18 ORE DI BATTERIA - Grazie alle prestazioni efficienti del chip Apple M2, MacBook Air ti sta dietro giorno e notte.
  • SPETTACOLARE E AMPIO DISPLAY - Il display Liquid Retina da 13,6" ha più di 500 nit di luminosità, ampia gamma cromatica P3 e 1 miliardo di colori per immagini brillanti e dettagli incredibili.
  • VIDEOCAMERA E AUDIO EVOLUTI - Videocamera FaceTime HD a 1080p, tre microfoni in array, sistema audio a quattro altoparlanti con audio spaziale: una gioia per gli occhi e per le orecchie.

Da non perdere questa settimana su Techbusiness

✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui 
 
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
 
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
 
💌 Risolviamo i tuoi problemi di cuore con B1NARY
 
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
 
💸E trovi un po' di offerte interessanti su Telegram!

Stefano Regazzi

Il battere sulla tastiera è la mia musica preferita. Nel senso che adoro scrivere, non perché ho una playlist su Spotify intitolata "Rumori da laptop": amo la tecnologia, ma non fino a quel punto! Lettore accanito, nerd da prima che andasse di moda.

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button