Crescono le minacce e il livello di organizzazione delle “aziende” criminali e si sta assistendo ad una vera e propria evoluzione del cybercrime.

Cobalt Strike: il tool preferito dai cyber criminali

I dati illustrati recentemente dal Clusit, che registrano una sensibile evoluzione del cybercrime e un incremento degli attacchi informatici “gravi” in Italia, non sorprendono più di tanto. Laddove studi globali mostrano una generale riduzione degli attacchi, questi si rivelano più mirati, e quindi spesso più pericolosi.

Lo stesso Clusit parla di “multiple target”, ovvero di attacchi portati in parallelo dallo stesso gruppo di attaccanti verso organizzazioni selezionate, cosa che evidenzia in modo quanto mai concreto la logica di tipo “industriale” che sta alla base delle attività dei cybercriminali.

È ormai passato il tempo dell’hacker geniale che opera in solitario, seguendo motivazioni personali – che siano economiche o politiche, non cambia. Ed è ora di sfatare il luogo comune della creatività individuale. Il cybercrime ora è a tutti gli effetti un settore industriale, con le sue dinamiche interne e si sta assistendo ad una e propria evoluzione del cybercrime. I suoi attori hanno un approccio aziendale, operano in modo oculato, definendo e perseguendo strategie di breve, medio e lungo periodo, sfruttando competenze avanzate, definendo processi automatizzati e studiando con attenzione l’evoluzione tecnologica ed economica del mercato.

Quello dell’evoluzione del cybercrime è uno scenario che le aziende sono chiamate ad affrontare in modo adeguato, non più considerando la sicurezza come un aspetto aggiuntivo, per quanto importante possa essere, ma come un elemento fondante della loro strategia di business. Si tratta di un tema che deve essere discusso ad ogni livello della catena di comando aziendale, anche il più alto, perché le sue possibili ripercussioni possono toccare tutti gli aspetti dell’azienda – dalla gestione di clienti e fornitori, alla protezione dei processi di business, fino al fatturato stesso.

In uno studio realizzato insieme a PWC, abbiamo definito uno schema a più livelli per la creazione in azienda di un framework di sicurezza che pervada l’intera struttura organizzativa dell’evoluzione del cybercrime. Si parla di operatività, con un team dedicato all’implementazione e alla gestione delle tecnologie di sicurezza su base quotidiana; di supervisione, con una costante attenzione al rischio e al suo possibile impatto sui processi aziendali di business; e di governance, con i responsabili di funzione chiamati a definire linee guida, priorità e budget da destinare alla security, di concerto con il top management aziendale.

Fondamentale, a livello di management, è comprendere che l’evoluzione del cybercrime in azienda può essere affrontato con successo solo andando a definire una visione d’insieme, degli asset aziendali da un lato e dei rischi di business dall’altro. I cybercriminali non sono una categoria in via di estinzione, tutt’altro. Solo, ragionando con ottiche di business, andranno sempre più a concentrare i loro sforzi su attività mirate, che possono garantire loro un superiore ritorno degli investimenti. Per affrontare con successo questa tendenza, la chiave può e deve essere una preparazione costante, che preveda una continua revisione delle risorse disponibili, sotto tutti gli aspetti – tecnologie, competenze, processi e vision.

In questo modo, il rischio cyber può essere ridotto in modo sostanziale, non solamente a livello quantitativo, come già mostrano alcuni indicatori, ma anche qualitativo, consentendo alle organizzazioni di guardare con maggior fiducia a un loro futuro sempre più digitale.

Tra gli elementi chiave individuati dal Clusit  evoluzione del cybercrime vi è l’ingegnerizzazione del malware e dei suoi processi di produzione e diffusione, che rende possibile un incremento della frequenza e una capacità di fare innovazione in modo molto più rapido.

A livello tecnologico è necessario reagire all’evoluzione del cybercrime dotandosi di un livello di protezione pervasivo, consistente, integrato ed automatizzato: occorre essere in grado di coprire tutti gli elementi presenti nell’IT moderno delle aziende, guidandone l’evoluzione in modo sicuro e salvaguardando la postura di sicurezza per dati e infrastrutture anche in caso di adozione di nuove tecnologie quali Saas, Public Cloud e IoT.

Una Security Operating Platform in grado di coprire in maniera coerente ed omogenea end point, rete, datacenter e multi-cloud deve altresì consentire lo sviluppo e l’adozione di applicazioni evolute di cybersecurity alla stessa velocità dell’evoluzione del cybercrime, estendendone costantemente le capacità di detection, analisi, prevenzione automatica e risposta.

Un Application Framework aperto e costruito sui dati di Threat Intelligence messi a disposizione degli sviluppatori è la risposta alla necessità di modificare il modello di consumo di tecnologie di cybersecurity per far fronte all’evoluzione del cybercrime: basandosi sulle capacità di data collection ed enforcement dell’esistente Security Operating Platform, ci si può concentrare nello sviluppo e sul rilascio di nuove applicazioni innovative, mentre per i clienti l’adozione di nuove tecnologie di Cybersecurity diventa rapida come l’adozione di una nuova app.

L’evoluzione dell’IT verso un’adozione più o meno graduale del Public Cloud necessita di qualche ulteriore considerazione.

Oltre ad un modello condiviso tra il cloud provider (responsabile per la sicurezza dell’infrastruttura) e il cliente (responsabile per la sicurezza di dati e applicazioni), il Public Cloud consente l’adozione di metodi di sviluppo e operation integrati che facilitano processi di change management continuativi. L’accesso immediato alle risorse di infrastruttura e software via API consente lo sviluppo e la messa in linea di nuovi servizi in tempi brevissimi ma espone a rischi legati all’esposizione di dati e applicazioni in modo non sicuro altrettanto rapidamente e continuamente, che vanno di pari passo con l’evoluzione del cybercrime.

Automatizzare l’analisi dello stato del proprio datacenter collocato nel Public Cloud in modo continuativo, indipendentemente dal cloud provider o dai servizi cloud adottati, coprendo allo stesso tempo l’inline security dei datacenter tradizionali, ma anche Saas, cloud infrastructure, API e host diventa un imperativo per l’adozione sicura del cloud e per poter mantenere sotto controllo la superficie di attacco a disposizione dei cybercriminali, anche in ambienti ibridi dove si assiste sempre più all’evoluzione del cybercrime.

Di Umberto Pirovano, Manager, Systems Engineering, ‎Palo Alto Networks