Fortinet presenta le previsioni del team di ricerca global threat intelligence dei FortiGuard Labs riguardo al panorama delle minacce informatiche per il 2021.
In breve:
- Le previsioni rivelano quali potrebbero essere le strategie utilizzate dai cybercriminali nel prossimo futuro, accompagnate da una serie di raccomandazioni che aiuteranno i team di sicurezza a proteggersi adeguatamente da queste minacce imminenti.
- Gli hacker che sfruttano gli intelligent edge, i dispositivi abilitati al 5G e i progressi nella potenza di calcolo genereranno una nuova ondata di minacce avanzate a una velocità e una portata senza precedenti. Inoltre, i cybercriminali continueranno a trasferire risorse significative prendendo di mira e sfruttando gli ambienti edge emergenti, come i lavoratori a distanza o anche i nuovi ambienti edge OT, piuttosto che solo il core network.
- Per i team di sicurezza è fondamentale pianificare fin da subito sfruttando il potenziale dell’intelligenza artificiale (IA) e del machine learning (ML) per velocizzare la prevenzione, il rilevamento e la risposta alle minacce. Una threat intelligence attivabile e integrata è anche importante per migliorare la capacità di difesa di un’azienda in tempo reale, dato che la velocità degli attacchi continua ad aumentare in modo esponenziale.
- Il report è consultabile in versione dettagliata sul blog
“Il 2020 ha messo in luce come i cybercriminali siano in grado di sfruttare lo scenario attuale per perpetrare attacchi senza precedenti. Ora ci troviamo di fronte a un altro significativo cambiamento dovuto allo sviluppo di nuovi intelligent edge, che non riguardano solo gli utenti finali e i dispositivi che si collegano in remoto alla rete. Prendere di mira questi edge non consentirà solo di creare nuovi vettori di attacco, ma gruppi di dispositivi compromessi potrebbero essere utilizzati per colpire le vittime sfruttando la velocità del 5G. Per prevenire lo scenario che si sta delineando, tutti gli edge devono essere implementati in una piattaforma di sicurezza più ampia, integrata e automatizzata, che operi attraverso il core network, gli ambienti multi-cloud, le filiali e i lavoratori da remoto”, ha commentato così Derek Manky, Chief, Security Insights & Global Threat Alliances FortiGuard Labs.
Intelligent Edge: un’opportunità e un obiettivo
Negli ultimi anni, il perimetro di rete tradizionale è stato sostituito con ambienti multiple edge, WAN, multi-cloud, data center, telelavoro, IoT e altro ancora, a ognuno dei quali sono correlati dei rischi. Uno dei vantaggi più significativi per i cybercriminali è che mentre tutti questi edge sono interconnessi tra loro, molte aziende hanno sacrificato la visibilità centralizzata e il controllo unificato a favore delle prestazioni e della trasformazione digitale. Di conseguenza, le minacce prenderanno di mira questi ambienti e cercheranno di sfruttare la velocità e le possibilità di scalabilità che il 5G metterà a disposizione.
- I Trojan si evolvono per colpire l’edge: mentre gli utenti finali e le loro risorse sono già bersaglio dei cybercriminali, gli attacchi saranno rivolti anche altrove. Le violazioni al network aziendale avverranno dalla rete domestica di un lavoratore a distanza, soprattutto se i malintenzionati avranno ben compreso le abitudini, di modo da non destare sospetti. Alla fine, il malware evoluto potrebbe anche scoprire dati e trend ancora più preziosi utilizzando nuovi EAT (Edge Access Trojans) ed eseguire operazioni invasive, come ad esempio intercettare richieste al di fuori del network locale per compromettere altri sistemi o eseguire ulteriori comandi di attacco.
- Attacchi swarm edge-enabled: compromettere e sfruttare i nuovi dispositivi 5G aprirà la strada a minacce più avanzate. I cybercriminali stanno facendo progressi per sviluppare e diffondere attacchi swarm.Tali attacchi sfruttano i dispositivi dirottati raggruppati in due sottogruppi, ciascuno con competenze specifiche. Prendono di mira i network o i dispositivi come sistema integrato e condividono l’intelligence in tempo reale per perfezionare il loro attacco mentre è in atto. Le tecnologie degli attacchi swarm richiedono una grande potenza di elaborazione per abilitare singoli swarmbot e condividere in modo efficiente le informazioni in un bot-swarm. Questo consente loro di scoprire, condividere e correlare rapidamente le vulnerabilità e quindi di adattare i propri metodi di attacco per sfruttare al meglio quello che viene scoperto.
- Il social engineering potrebbe diventare più smart: i dispositivi smart o altri sistemi domestici, non saranno più semplici bersagli di attacchi, ma veicoli per attacchi ancor più mirati e profondi. Sfruttare informazioni cruciali sugli utenti, tra cui la routine quotidiana, le abitudini o i dati finanziari, potrebbe rendere gli attacchi basati sul social engineering sempre più efficaci, andando ben oltre il fatto di disattivare i sistemi di sicurezza, disabilitare le telecamere o dirottare le apparecchiature intelligenti: parliamo di riscatto e l’estorsione di dati o attacchi stealth alle credenziali.
- Chiedere un riscatto per gli OT Edge potrebbe diventare una nuova realtà: il ransomware continua ad evolversi, e man mano che i sistemi IT convergono sempre più con i sistemi di tecnologia operativa (OT), in particolare le infrastrutture critiche, ci saranno ancora più dati, dispositivi e, purtroppo, persone esposte al rischio. Extorsion, cyber defamation e defacement sono tutti strumenti del traffico ransomware già ampiamente diffusi. In futuro, le vite umane saranno a rischio quando i dispositivi e i sensori nell’OT edge, che includono le infrastrutture critiche, diventeranno sempre più bersaglio dei cybercriminali.
Le innovazioni nel Performance Computing saranno prese di mira
All’orizzonte si profilano anche altri tipi di attacchi che puntano agli sviluppi nel performance computing e all’innovazione della connettività per il profitto dei cybercriminali. Questi attacchi permetteranno agli hacker di colpire nuovi terreni e sfidare i team di sicurezza.
- Cryptomining avanzato: la potenza di elaborazione è importante se i cybercriminali intendono scalare gli attacchi futuri con capacità di ML e IA. Di fatto, compromettendo i dispositivi edge per la loro potenza di elaborazione, gli hacker sarebbero in grado di elaborare enormi quantità di dati e di apprendere di più su come e quando vengono utilizzati i dispositivi edge. Potrebbero anche ricorrere al cryptomining per essere più efficaci. I PC infetti che vengono hackerati per le loro risorse di calcolo sono spesso identificati in quanto l’utilizzo della CPU ha un impatto diretto sull’esperienza della workstation dell’utente finale. Compromettere i dispositivi secondari avrebbe un impatto molto meno evidente.
- Diffusione di attacchi dallo spazio: la connettività dei sistemi satellitari e Telco in generale potrebbe essere un target strategico per i cybercriminali. Man mano che i nuovi sistemi di comunicazione si ampliano e cominciano a dipendere sempre più da una rete di sistemi satellitari, gli hacker potrebbero prendere di mira questa convergenza. Di conseguenza, compromettendo le stazioni satellitari e diffondendo poi il malware attraverso le reti, i malintenzionati potrebbero avere la possibilità di attaccare potenzialmente milioni di utenti connessi su larga scala o di lanciare attacchi DDoS che potrebbero ostacolare le comunicazioni vitali.
- La minaccia del calcolo quantistico: dal punto di vista della cybersecurity, il computing quantistico potrebbe generare una nuova fonte di rischio quando in futuro sarà in grado di sfidare l’efficacia della crittografia. L’enorme potenza di calcolo dei computer quantistici potrebbe rendere risolvibili alcuni algoritmi di crittografia asimmetrici. Di conseguenza, le aziende dovranno prepararsi a passare ad algoritmi di crittografia resistenti ai quantum utilizzando il principio di crypto agility, per garantire la protezione delle informazioni attuali e future. Anche se un criminale informatico in media non ha accesso ai computer quantistici, alcuni Stati-nazione lo faranno, quindi l’eventuale minaccia potrebbe concretizzarsi a breve se non ci si prepara fin da ora a contrastarla adottando tecniche di crypto agility.
L’IA sarà fondamentale per difendersi da attacchi futuri
Poiché questi trend di attacco diventano sempre più reali, sarà solo una questione di tempo prima che le risorse abilitanti siano rese disponibili come un servizio darknet o come parte di un toolkit open-source. Pertanto, sarà necessaria un’attenta combinazione di tecnologie, persone, investimenti in formazione e partnership per proteggersi in futuro da questo tipo di attacchi da parte dei cybercriminali.
- L’IA dovrà evolversi: l’evoluzione dell’IA è fondamentale per la difesa contro gli attacchi futuri. Questo comprende anche lo sfruttamento dei nodi di apprendimento locali alimentati dal ML come parte di un sistema integrato simile al sistema nervoso umano. Le tecnologie potenziate dall’IA in grado di visualizzare, anticipare e contrastare gli attacchi dovranno diventare realtà in futuro perché i cyberattacchi si verificheranno nella frazione di microsecondi. Il ruolo primario degli esseri umani sarà quello di garantire che i sistemi di sicurezza siano stati alimentati con sufficienti dati e informazioni non solo per contrastare attivamente gli attacchi, ma anche per anticiparli al fine di evitarli.
- Le partnership saranno fondamentali in futuro: non ci si può aspettare che le aziende si difendano da sole contro gli hacker. Dovranno sapere chi informare in caso di attacco, in modo che le “impronte digitali” possano essere adeguatamente condivise e le autorità possano fare il loro lavoro. I provider di cybersecurity, le organizzazioni che si occupano di threat research e altre realtà industriali devono collaborare tra loro per la condivisione delle informazioni, ma anche con le autorità per contribuire a smantellare le infrastrutture e prevenire attacchi futuri. I cybercriminali non hanno confini online, quindi la battaglia dovrà spingersi oltre i confini nazionali. Solo lavorando insieme sarà possibile contrastare gli attacchi futuri.
- Abilitare i blue team: le tattiche, le tecniche e le procedure contro le minacce (le cosiddette TTP), studiate dai team di intelligence, come gli hacker playbook, possono essere trasmesse ai sistemi di Intelligenza Artificiale per consentire il rilevamento di schemi di attacco. Analogamente, man mano che le aziende mappano le minacce attualmente attive, i sistemi intelligenti saranno in grado di ostacolarne in modo proattivo i network target. Alla fine, le aziende potrebbero essere in grado di rispondere a qualsiasi tentativo di controspionaggio prima che si verifichi, consentendo ai blue team di mantenere una posizione di superiorità. Questo tipo di formazione offre ai membri del team di security la possibilità di migliorare le proprie competenze, bloccando la rete.