Yarix, divisione Digital Security del colosso italiano Var Group, azienda leader nel comparto della cybersecurity, ha pubblicato YSOC Security Report 2020 H2 – 2021 H1, documento che traccia una panoramica sul contesto delle cyber minacce che hanno investito il nostro Paese ed effettua una valutazione sui trend e le azioni di mitigazione necessarie a ridurne gli impatti. Il report rappresenta un documento dinamico, aggiornato su base annuale, e restituisce un’elaborazione dei dati ricevuti e analizzati dal SOC di Yarix nel periodo luglio 2020 – giugno 2021.
I dati analizzati sono relativi ai circa 57 mila eventi di sicurezza rilevati dai sistemi di monitoraggio messi in opera dal Cognitive Security Operation Center (YCSOC) di Yarix, una cyber control room che, 24 ore su 24, La base dati è stata integrata dalle risultanze delle analisi del team Cyber Threat Intelligence di Yarix (YCTI), che scandaglia la rete – Clear, Dark e Deep Web – per identificare informazioni utili a prevedere in anticipo potenziali attacchi informatici. Gli analisti di Yarix hanno successivamente analizzato questa base di dati, integrandola e correlandola con ulteriori informazioni di Threat Intelligence, derivanti da fonti interne e da collaborazioni con istituzioni, enti e altre aziende, nonché tenendo conto delle notizie provenienti dal circuito FIRST (Forum for Incident Response and Security Teams), la comunità internazionale più estesa e autorevole per la prevenzione e la gestione congiunta di incidenti di sicurezza.
I risultati in cifre
- circa 57.000 eventi di sicurezza rilevati (+157% YOY): si tratta di possibili violazioni dei livelli di sicurezza informatica, tali da configurare una situazione di potenziale rischio;
- di questi, quasi 16.000 si sono evoluti in incidenti di sicurezza (+225% YOY): si tratta delle situazioni più gravi, tali da pregiudicare l’utilizzo di asset aziendali, violare disposizioni aziendali o di legge, causare la perdita o la diffusione di dati, etc;
- 130 eventi critici (+280% YOY): offensive particolarmente gravose in termini di rischio e impatti sull’infrastruttura digitale dell’organizzazione. Richiedono interventi di Emergency Response per ripristinare la normalità dei sistemi, implementare le necessarie contromisure di prevenzione e compiere una successiva analisi post-incidente per rilevare l’origine della compromissione o dell’attacco;
- Tra i settori più colpiti emergono il manufacturing e il fashion (28% degli attacchi), seguiti da quello relativo a Information Technology e Banking and Finance, rispettivamente al 12% e al 10%. Particolarmente significativo l’aumento registrato dal settore Health, che si attesta a 9%.
Il trend – Furto di credenziali, dalla vendita all’attacco
Uno dei trend in costante aumento è il furto di credenziali e informazioni sensibili e confidenziali per la loro conseguente messa in vendita nel Dark Web e nei canali underground specializzati nella compravendita di informazioni. Il team YCTI formato da analisti in grado di muoversi nel dark web con profili sotto copertura, infiltrandosi in black market e forum e di interagire direttamente con i threat actor, ha riportato un totale di 423 eventi significativi riconducibili a queste attività.
Le analisi evidenziano che i threat actor agiscono principalmente attraverso due metodologie che si distinguono, oltre che per il costo, anche per le informazioni fornite. Si può avere una semplice vendita, e in questo caso l’attività si limita alla sola cessione della credenziale compromessa per l’accesso dell’azienda target, oppure di una vendita accompagnata ad una già avviata attività di compromissione. In questo secondo caso, il threat actor fornisce un accesso completo all’azienda vittima, che può potenzialmente procurare uno o più accessi o una backdoor con privilegi amministrativi all’interno dell’infrastruttura. L’accesso avviene attraverso tre step: attività di ricognizione (reconnaissance), privilege escalation e lateral movement.
Il trend – Supply Chain attack
Nel corso del 2021 una nuova tipologia di compromissione ha preso piede nel panorama dei cyber attacchi: quella della Supply Chain o catena di approvvigionamento.
Gli attacchi diretti verso organizzazioni ben protette spesso comportano un costo e una complessità rilevante per gli attaccanti; può risultare quindi più semplice attaccare la catena di approvvigionamento, che offre un numero maggiore di possibili target e consente di trovare più facilmente un anello debole. In caso di successo l’impatto può essere significativamente più esteso e non solo rivolto al target principale dell’attacco.
Questa tipologia prevede una compromissione in almeno due fasi, una prima di compromissione del “fornitore” e una seconda di compromissione dell’anello successivo della catena di fornitura.
Il rischio per le infrastrutture target è particolarmente elevato perché sfrutta una componente insita nella maggior parte dei rapporti di fornitura, cioè il trust che c’è tra fornitore e utilizzatore del servizio, presente sia sotto forma di rapporto contrattuale, sia di rapporto basato su una fiducia insita nel servizio o nel software stesso, dettata dal brand del fornitore o da rapporti di fiducia personali.
L’attacco alla Supply Chain può avvenire attraverso:
- la compromissione di un fornitore di servizi informatici, utilizzando come testa di ponte gli accessi privilegiati alle infrastrutture dei clienti. Questi accessi sono il vettore d’attacco perfetto per un attaccante, in quanto già presenti e per loro natura abilitati allo svolgimento di diverse attività all’interno del perimetro dell’azienda. Sfruttando la catena di fiducia che lega il cliente al fornitore, l’attaccante può così massimizzare il profitto con attacchi mirati verso tutte le aziende che utilizzano lo stesso fornitore. A questo si aggiunge un ulteriore e ormai “classico” secondo ricatto, cioè quello dovuto all’esfiltrazione di dati e al danno reputazionale legato alla pubblicazione di dati relativi a contratti, clienti e know how aziendale;
- la compromissione di un software, solitamente diffuso all’interno delle realtà aziendali, utilizzato come vettore del payload malevolo dell’attaccante. In questo caso il trust è implicito nella presenza del software stesso e non sono rare le situazioni in cui tali software siano esclusi dai controlli di sicurezza attivi, al fine di consentirne il corretto funzionamento.
“Il panorama del cyber risk in Italia sta diventando sempre più preoccupante: non parliamo più di minacce sporadiche a un gruppo limitato di aziende, percepito dagli hacker come detentore di asset di valore, ma di attacchi sistemici sempre più aggressivi, pronti a colpire qualsiasi settore e qualsiasi azienda con dati da proteggere. Il report evidenzia bene questo orientamento: il team SOC ha registrato un trend in crescita con circa 5000 eventi in media al mese”, ha commentato Mirko Gatto, CEO di Yarix.
https://www.yarix.com/news/yarix-rilascia-il-ysoc-security-report-2020-h2-2021-h1/
https://www.yarix.com/wp-content/uploads/2021/12/YSOC_SecurityReport_2020-H2_2021-H1.pdf