Fortinet - Rapporto sulle minacce dei laboratori FortiGuard: l'interruzione è il trend più importante per le minacce del 2020
5 marzo 2021
Bastian Seibel
Fortinet
Fortinet
Quando i FortiGuard Labs di Fortinet analizzano il panorama delle minacce nell'ultima metà del 2020, agli esperti di sicurezza informatica viene in mente una sola parola: interruzione. E questo significa molto di più di una semplice interruzione dell'attività. La prima metà del 2020 ha richiesto rapidi cambiamenti nel modo in cui le aziende fanno affari e si impegnano con i loro clienti. Allo stesso tempo, i criminali informatici hanno sfruttato rapidamente le paure e le preoccupazioni legate alla pandemia per raccogliere informazioni personali o rubare dati finanziari.
Mentre gran parte di questo fenomeno è proseguito nella seconda metà del 2020, ciò che viene documentato nel nuovo "Global Threat Landscape Report" di FortiGuard Labs è più che altro un'estensione di questa iniziale perturbazione su larga scala in ogni ambito verticale e geografico.
Più o meno da un giorno all'altro, il personale addetto alla sicurezza IT ha dovuto rimodellare le proprie strategie di sicurezza per difendere le reti aziendali su tre fronti contemporaneamente: Attacchi mirati all'ufficio WFH, attacchi alla catena di fornitura digitale e aumento degli attacchi ransomware alle reti principali.
1. la filiale domestica rimane un bersaglio popolare
Nel 2020 in molte aziende è stata infranta la barriera che separava l'accesso alla rete aziendale da un ufficio aziendale e da casa. Le reti aziendali sono state stravolte, con molti dipendenti che ora accedono alle risorse di rete e alle applicazioni chiave dai loro uffici domestici. Questa transizione è avvenuta così all'improvviso che c'è stato poco tempo per pianificare una strategia di cybersecurity efficace. Il risultato: quando un home office obsoleto e talvolta non adeguatamente protetto viene "violato", gli aggressori sono già a un passo dal violare anche la rete aziendale.
Alcune aziende stanno ancora cercando di capire come estendere efficacemente la sicurezza informatica dell'azienda agli uffici domestici dei dipendenti. Nella seconda metà del 2020, in particolare, gli exploit che hanno preso di mira i dispositivi Internet-of-Things (IoT), come i sistemi di intrattenimento domestico, i router domestici e i dispositivi di sicurezza connessi, sono stati tra le principali minacce. Ognuno di questi dispositivi IoT fornisce una nuova superficie di attacco da cui è necessario difendersi.
Nel frattempo, le risorse che un tempo erano nascoste dietro una serie di soluzioni di sicurezza di livello aziendale, in alcune situazioni vengono protette con poco più della crittografia SSL. Questo sta portando a un maggiore successo per i criminali informatici che attaccano le reti domestiche con exploit legacy e poi le usano come testa di ponte da cui lanciare attacchi alla rete aziendale e alle applicazioni e risorse basate su cloud.
2 Le catene di fornitura digitali sono sempre più al centro dell'attenzione
Gli attacchi alle catene di fornitura hanno una lunga storia, ma il caso SolarWinds ha portato la discussione a un nuovo livello. I laboratori FortiGuard hanno seguito da vicino le informazioni rilasciate e le hanno utilizzate per creare indicatori di compromissione (IoC). L'identificazione del traffico relativo a SUNBURST nel dicembre 2020 mostra che l'hack ha trovato vittime in tutto il mondo, con Five Eyes che ha rivelato tassi particolarmente elevati di IoC.
3. continua l'assalto al ransomware
L'attività di ransomware è aumentata di sette volte nella seconda metà del 2020 rispetto alla prima metà dell'anno. Il continuo sviluppo di Ransomware-as-a-Service, l'enfasi sulla "caccia grossa" (grandi riscatti da grandi obiettivi) e la minaccia di esporre i dati compromessi se le richieste non vengono soddisfatte hanno creato un mercato ombra in forte crescita. Alla fine dell'anno, queste pratiche sono state utilizzate come leva aggiuntiva nelle campagne ransomware in un'ampia percentuale di attacchi.
Le campagne ransomware più attive tracciate tra luglio e dicembre 2020 sono state "Egregor", "Ryuk", "Conti", "Thanos", "Ragnar", "WastedLocker", "Phobos/EKING" e "BazarLoader". I settori presi di mira dagli attacchi ransomware erano diversi e comprendevano sanità, società di servizi professionali, organizzazioni del settore pubblico e fornitori di servizi finanziari.
Per affrontare efficacemente la rapida evoluzione e il crescente rischio di ransomware, le organizzazioni devono apportare modifiche fondamentali alla sicurezza dei propri dati. Se a ciò si aggiunge la compromissione della catena di fornitura digitale e una forza lavoro che lavora in telelavoro nella rete aziendale, c'è il rischio concreto che gli attacchi possano provenire da qualsiasi luogo. Per ridurre il rischio e l'impatto di un attacco ransomware, è necessario implementare soluzioni di sicurezza basate sul cloud, come SASE, per proteggere i dispositivi al di fuori della rete, soluzioni avanzate per la sicurezza degli endpoint, come EDR (Endpoint Detection and Response), in grado di bloccare il malware nel bel mezzo di un attacco, e strategie di accesso zero-trust e di segmentazione della rete che limitano l'accesso alle applicazioni e alle risorse in base ai criteri.
Tendenze nella diffusione degli exploit di vulnerabilità
Il patching è una priorità costante per le organizzazioni per chiudere le vulnerabilità e le falle di sicurezza all'interno di una rete aziendale. In particolare, però, la sfida è spesso "quali patch?" e "quando devono essere applicate?". È difficile rispondere a queste domande, poiché poche aziende dispongono della scala di dati necessaria per fornire una risposta adeguata. Tuttavia, Fortinet, con l'esperienza dei FortiGuard Labs, vuole provare a fare chiarezza:
Seguendo l'evoluzione di 1500 exploit negli ultimi due anni, i FortiGuard Labs sono stati in grado di determinare la velocità e la diffusione degli exploit. Sembra che la maggior parte degli exploit non si diffonda in modo rapido e capillare. In particolare, di tutti gli exploit monitorati negli ultimi due anni, solo il 5% circa è stato scoperto da più del 10% delle organizzazioni. Se una vulnerabilità viene selezionata in modo casuale, i dati mostrano che la possibilità che un'organizzazione venga attaccata è di circa 1 su 1000. Circa il 6% degli exploit ha colpito l'1% delle organizzazioni entro il primo mese e anche dopo un anno il 91% degli exploit non ha superato la soglia dell'1%.
In ogni caso, è consigliabile concentrarsi sulle vulnerabilità con exploit noti e dare priorità a quelle che si diffondono più rapidamente in natura. Soluzioni specializzate come Greenbone possono aiutare in questo senso.
Articolo originale di Derek Manky, FortinetTradotto dall'inglese con DeepL
Abbreviato e corretto da Simon Schmischke