Come ogni anno Mandiant, azienda di cybersecurity specializzata nella threat intelligence e incident response, ha presentato il suo report con le previsioni sulle principali minacce informatiche per l’anno che sta per iniziare. Questo però non è stato per Mandiant un anno come tutti gli altri: a giugno infatti l’azienda è stata scorporata da FireEye, con l’obiettivo – tra gli altri – di rendere la piattaforma totalmente indipendente da specifiche soluzioni di un singolo vendor.

Per il country manager Giancarlo Marengo, anche in Italia i clienti (soprattutto nei settori finance, government, telecomunicazioni, fashion, oil&gas) è sempre più alla ricerca di servizi a valore aggiunto che integrino ed estendano le soluzioni tecnologiche, necessarie ma non più sufficienti. “I clienti ci chiedono un supporto per integrare il threat hunting, l’analisi dei log (che hanno ormai raggiunto dimensioni da non poter essere gestiti da personale umano in tempi ragionevoli) e la threat intelligence, che possa fornire informazioni sui principali attaccanti attivi nel settore dell’azienda”, afferma Marengo.

L’Italia gestisce circa 1.000 incidenti di security l’anno, attraverso una struttura internazionale che nell’ultimo anno ha erogato 200.000 ore/uomo per rispondere agli attacchi. Complessivamente, il servizio di threat intelligence è fornito da 300 analisti in 26 nazioni, supportati però da software che utilizza sistemi di machine learning per abbattere i tempi di analisi dei log (negli ultimi mesi, questo sistema ha permesso di risparmiare circa 7,6 milioni di ore/uomo, e conseguentemente accorciare i tempi di risposta per ogni incidente).

Cybersecurity: cosa è cambiato nel 2021

Il ransomware, favorito anche da una corsa affrettata all’impiego del lavoro remoto e ai servizi cloud, ha continuato a prosperare. Il ritorno economico è troppo allettante e le difficoltà tecniche si sono abbassate, grazie alla nascita di un ecosistema di fornitori di malware e capacità di attacco che opera in modalità “as a service”. Questa stratificazione nelle organizzazioni criminali sta portando però due ulteriori problemi.

“Da un lato è sempre più difficile identificare un attaccante in base agli strumenti utilizzati, perché potrebbe semplicemente averli presi in affitto – afferma Gabriele Zanoni, Consulting Country Manager Italia di Mandiant – e dall’altro si stanno generando contrasti e lotte intestine tra le organizzazioni criminali stesse, aumentando i rischi per le vittime”.

Capita infatti che il fornitore di un ransomware in contrasto con il proprio cliente (il criminale che materialmente effettua l’attacco), magari per una questione di mancati pagamenti, rifiuti di rilasciare le chiavi di codifica anche se il cliente ha pagato il riscatto. Oppure che introduca nel malware una backdoor che gli permetta di scavalcare l’attaccante e chiedere direttamente un riscatto ulteriore alla vittima. Non che ci si aspetti chissà quale onestà da parte di criminali, ma sembrano saltati i codici di (cattiva) condotta che valevano fino a poco tempo fa.

Le previsioni di Mandiant per il 2022

Il report di Mandiant contiene 14 predizioni di cybersecurity per il 2022, ma evidenziamo qui le principali.

Il ransomware sarà sempre più presente

Come dicevamo, questa minaccia non accenna a lasciare il morso, e vedrà gli attaccanti cercare tattiche sempre nuove. Mandiant prevede che aumenterà il tentativo di reclutare insider che operano nelle organizzazioni vittima. Altri criminali diventeranno sempre più esperti nell’imparare e valutare quali sono le situazioni che le vittime ritengono più dannose (danno economico, reputazionale, sanzioni…) per poi fare leva proprio su quelle.

Il malware si diffonde in fabbrica

Si sa da tempo che i sistemi impiegati sul piano di produzione siano poco e mal protetti contro gli attacchi informatici, ma un attacco portato alla Operational Technology può avere conseguenze molto gravi per la vittima, che vanno da un blocco della produzione a minacce alla vita umana, se a finire nel mirino sono infrastrutture critiche. Se le difese ai sistemi IT si rafforzano, è possibile che i criminali vedano nei sistemi OT una via che richiede meno competenze tecniche, ma non meno remunerativa.

APT: Iran sempre più attivo

L’Iran utilizzerà i suoi strumenti informatici in maniera più aggressiva per promuovere i propri interessi soprattutto nella regione, colpendo obiettivi in Israele e Medio Oriente. A preoccupare è il fatto che l’Iran ha dimostrato di voler utilizzare malware distruttivi ed è probabile che approfitterà di ogni opportunità.

Nuove criticità per la sicurezza Cloud

Il ricorso a infrastrutture cloud aumenta la complessità e talvolta l’attribuzione di compiti e responsabilità di cybersecurity. Gli incidenti riguardanti il cloud gestiti da Mandiant sono aumentati negli ultimi anni e l’azienda prevede che la tendenza proseguirà per tutto il 2022.

L’invasione dei dispositivi IoT

Con l’aumento del numero di dispositivi IoT, crescerà anche il numero di vulnerabilità da tracciare per i cacciatori di bug. Purtroppo, molti produttori di questi dispositivi, specialmente quelli a costo più basso, non hanno né la capacità né la volontà di sviluppare e distribuire patch di aggiornamento, e la vita di alcune di queste aziende è più breve di quella dei dispositivi prodotti. Negli anni a venire, la situazione potrà solo peggiorare.

È possible scaricare il report 14 Cyber Security Predictions for 2022 and Beyond da questo link.