Nel post di oggi vorrei condividere un lavoro svolto grazie al prezioso aiuto di Bpress, che ci ha dato una inedita opportunità: quella di poter intervistare un grande esperto di sicurezza informatica al fine di approfondire con delle domande il nuovo Threat Hunting Report 2021 di CrowdStrike, appena pubblicato. Si tratta di Luca Nilo Livrieri, Manager for Southern Europe sales engineers presso CrowdStrike.
Qui di seguito quindi trovate l’intera intervista con le domande da me formulate e le preziose risposte dell’esperto, che saranno senza dubbio illuminanti per ciascuno di noi e fortemente ispiranti per un miglioramento, che non deve essere nemmeno troppo lontano nel tempo.
Inserisco in coda anche il link dal quale potete trovare il Report 2021 integrale direttamente su CrowdStrike.
1) In accordo con l’ultimo Threat Hunting Report, nel 2021 c’è stato un incremento del 60% sul totale degli attacchi di tutti i cluster industriali considerati (telecomunicazioni, finanziario, scolastico, salute, governi etc.). In questa statistica l’Europa (come vittima) vede subire un andamento in linea con questi dati oppure offre degli scenari differenti da altre parti del mondo?
Si tratta di una sfida globale e la maggior parte di queste sfide sono estese a livello globale. Seppur possa sembrare che vi siano delle leggere differenze tra i vari paesi, nel complesso ci troviamo dinnanzi ad una vera e propria pandemia causata da attacchi informatici, in particolare da attacchi ransomware, che causano danni incalcolabili alle istituzioni commerciali e governative in Italia e altrove.
L’EMEA, in effetti, segue lo stesso trend ed è in linea con le cifre di intrusione più ampie messe in evidenza all’interno del rapporto in termini di volume crescente dell’attività d’intrusione che osserviamo su OverWatch. Se registriamo l’apertura all’EMEA, le prime 10 verticali rimangono uguali a quelle globali, ma la differenza principale risiede nelle loro posizioni all’interno della top 10. In tutto il periodo di riferimento nella regione EMEA stiamo vedendo il settore delle telecomunicazioni prendere il primo posto, tecnologia e dalla finanza al secondo posto e servizi professionali al terzo. Durante il periodo di riferimento, l’Europa meridionale ha anche sperimentato un alto volume di intrusioni da parte di avversari eCrime, che sono il tipo di minaccia principale per questa sub-regione dell’EMEA. All’interno del rapporto, WIZARD SPIDER è stato l’avversario eCrime più prolifico, mentre nell’Europa meridionale è stato anche il primo avversario eCrime più attivo insieme a PINCHY SPIDER. Questa sottoregione segue anche le tendenze delineate nel rapporto per quanto riguarda gli strumenti, in quanto abbiamo osservato una vasta gamma di strumenti pre-ransomware utilizzati dagli avversari, oltre a una varietà di binari ransomware che includono Dharma, REvil, Phobos e Ryuk. Inoltre, il rapporto evidenzia anche il gruppo hacktivista FRONTLINE JACKAL, un avversario che ha colpito l’Europa meridionale nel periodo di riferimento.
2) L’assenza del malware come base per le intrusioni è un dato sempre più diffuso, addirittura il 68% di tutti gli attacchi rilevati da CrowdStrike nell’ultimo trimestre 2021 è risultato privo di malware. Pensa che questa evoluzione delle tecniche criminali sia correlata a un’insufficiente educazione cyber security del fattore umano? Tra le tecniche alternative al malware, che importanza darebbe all’ingegneria sociale per uso criminale?
Il malware rappresenta un sintomo. Gli avversari possono modificare le loro attività e ciò che stanno facendo, nonostante sia molto complesso. Usare un approccio avversario alla sicurezza informatica assicura che si sta affrontando il problema, non soltanto un sintomo di esso.
L’ingegneria sociale continua ad essere una tattica che ha riscosso particolare successo per gli avversari. Tuttavia, poiché l’ingegneria sociale avviene nel “mondo reale” e non in sistemi monitorati con il nostro agent Falcon, non abbiamo dati che possiamo condividere per discutere eventuali tendenze in atto. Possiamo, però, vedere chiaramente che una volta che gli avversari ottengono accesso ad un sistema, essi sono sempre spesso presenti “sul campo”, utilizzando account e strumenti nativi che gli consentono di riflettersi nelle normali attività degli utenti e degli amministratori autorizzati, permettendo loro di eseguire i loro obiettivi senza usare alcun malware.
3) WIZARD SPIDER è stato il gruppo criminale più prolifico del 2021 e il settore maggiormente colpito in questo anno è quello delle telecomunicazioni. Per far capire al lettore di che dati stiamo parlando, si può ragionare dalla vostra analisi in termini di utili/perdite? Cioè a che ordine di Euro/Dollari ammontano i danni arrecati alle aziende colpite, che poi con le dovute proporzioni possiamo trasformare in utili per WIZARD SPIDER (o al cyber-criminale di turno)?
Ci sono sempre molte speculazioni su quanti soldi vengono fatti dai gruppi di criminali informatici, ma la verità è che non ne abbiamo idea. Sappiamo che alcuni gruppi riescono a monetizzare milioni, forse anche miliardi di euro dalle loro attività. Basta guardare le cifre riscattate dalle aziende per sbloccare i loro sistemi da attacchi informatici, dove si parla di milioni di dollari di guadagno. Chiaramente questa sorta di attività sta funzionando, poiché abbiamo rilevato un numero crescente di gruppi cambiare le loro tattiche per intraprendere attacchi ransomware, molto redditizi.
CrowdStrike ha dei dati che tracciano i costi associali alle violazioni. La migliore risorsa per queste informazioni è IBM/Ponemon, con il loro rapporto annuale Cost of a Data Breach (TL;DR Comparitech ha elaborato due analisi che consigliamo su questo report: Data breach Share Price e Ransomware Share Price). Nel loro rapporto del 2021, affermano che il costo medio di una violazione dei dati è di 4,24 milioni di dollari. Questo include una vasta gamma di costi, compresi quelli per recuperare quanto perso dalla violazione, come l’attività di business, il tempo di inattività dei dipendenti e molto altro. I profitti che un attore di minacce come WIZARD SPIDER potrebbe ottenere da una campagna ransomware di successo rappresentano soltanto una piccola parte di questa cifra.
4) Dato che nei casi di presenza malware il 2021 è stato segnato da un trionfo del ransomware, possiamo chiedere una sua opinione su cosa si può fare per proteggere la supply chain della propria azienda, o meglio su quali fronti della sicurezza si deve migliorare?
Le minacce avanzate e in rapida evoluzione come gli attacchi alla supply chain richiedono alle organizzazioni di adottare nuove best practice per la sicurezza proattiva e la risposta agli incidenti. I nuovi metodi di attacco che vediamo oggi richiedono difese coordinate, efficienti e agili.
Al fine di migliorare il livello di sicurezza, CrowdStrike fornisce alcuni suggerimenti ai propri clienti, facendo leva su una combinazione sempre più stretta tra tecnologia di protezione degli endpoint, servizi esperti e intelligence, con l’obiettivo finale di scoprire il più velocemente informazioni critiche per le indagini, accelerare la risposta agli incidenti e consentire alle aziende di tornare al lavoro il più rapidamente possibile.
5) Secondo i dati raccolti ogni giorno da CrowdStrike in ambito cyber security, pensa che l’Italia sia in linea con le statistiche globali, oppure è il caso di citare alcuni scostamenti rilevanti di alcuni cluster analizzati, se presi isolati per il nostro Paese?
Si, il crimine informatico rappresenta una sfida globale e non ci sono settori o mercati che non sono stati colpiti da questa minaccia in continua crescente. L’Italia ha un gran numero di piccole e medie imprese e sappiamo che molte di queste lottano per mantenere alto il loro livello di competenze in materia di cybersecurity, aspetto che rappresenta una sfida significativa per le imprese italiane che si occupano di cybercrimine. Pertanto, oggi, è più importante che mai identificare un partner di cybersecurity che possa supportarle contro questa sfida sempre più intensa.
Se questa intervista ti ha incuriosito puoi sicuramente trovare grossi approfondimenti analizzando direttamente il Report 2021 originale di Crowdstrike da qui.