Il Clusit, l’associazione italiana più numerosa e autorevole in italia nel campo della sicurezza informatica, che riunisce oltre 500 organizzazioni appartenenti a tutti i settori del Sistema-Paese torna a parlare di cyber security in occasione della presentazione in anteprima alla stampa dell’edizione 2019 del Rapporto Clusit, un report dove ogni anno gli specialisti del Clusit fanno il punto della situazione.
“L’edizione 2019 del Rapporto Clusit sulla sicurezza informatica in Italia – esordisce Alessio Pennasilico, membro del Comitato Tecnico e Scientifico del Clusit, nonché uno degli autori del rapporto – mette in evidenza un anno ancora peggiore rispetto ai precedenti. Si è infatti registrato un aumento sia della frequenza degli incidenti che dell’impatto che tali incidenti hanno avuto sulle organizzazioni colpite”.
Lo scenario che ci si presenta è quindi piuttosto fosco. “Chi ci sta attaccando è molto efficace e nonostante siano in aumento gli investimenti in sicurezza si fa ancora molta fatica a fronteggiare tutti gli attacchi che le organizzazioni subiscono quotidianamente”.
Dai dati presentati emerge senza dubbio che il 2018 è stato l’anno peggiore per la security: mentre nel biennio 2017 – 2018 il numero di attacchi è cresciuto del 37,7%, la crescita registrata nel biennio 2015 – 2016 era stata ‘solo’ del 3,8%. Nell’ultimo biennio quindi il tasso di crescita del numero degli attacchi è aumentato di 10 volte rispetto al precedente. Da sottolineare come parallelamente cresca anche la Severity degli attacchi, agendo da moltiplicatore dei danni.
Dal punto di vista numerico, degli 8.417 attacchi gravi di pubblico dominio che costituiscono il database di incidenti del Clusit degli ultimi 8 anni, nel 2018 ne sono stati raccolti e analizzati 1.552 contro i 1.127 del 2017 (+37,7%), con una media di 129 attacchi gravi al mese (rispetto ad una media di 94 al mese nel 2017 e di 88 su 8 anni). Il picco massimo di sempre si è avuto nel novembre 2018 (157 attacchi).
Chi sono gli attaccanti
L’edizione 2019 del Rapporto Clusit sulla sicurezza Ict evidenzia che la causa principale degli attacchi gravi è il Cybercrime: il 79% dei ‘colpi’ aveva infatti l’obiettivo di estorcere denaro alle vittime o di sottrarre informazioni per ricavarne denaro (+44% rispetto ai dodici mesi precedenti).
Nel 2018 è stata inoltre registrata la crescita del 57% dei crimini volti ad attività di spionaggio cyber, lo spionaggio con finalità geopolitiche o di tipo industriale, a cui va anche ricondotto il furto di proprietà intellettuale.
Le attività di Hacktivism e di Cyber warfare (la guerra delle informazioni) risultano invece in calo nel 2018, rispettivamente del 23% e del 10%, se paragonate all’anno precedente.
Particolarmente significativa l’analisi dei “livelli di impatto” per ogni singolo attacco, in termini geopolitici, sociali, economici, di immagine e di costo: si osserva in generale un deciso aumento della gravità media degli attacchi rispetto al 2017. In particolare, l’80% di quelli realizzati con finalità di Espionage e oltre il 70% di quelli imputabili all’Information Warfare sono stati classificati nel 2018 di livello “critico”; le attività riconducibili al cybercrime sono state invece caratterizzate prevalentemente da un impatto di tipo “medio”. Ciò è dovuto, secondo gli esperti Clusit, alla necessità degli attaccanti di mantenere un profilo relativamente basso, per poter continuare ad agire senza attirare troppa attenzione.
Gli ambiti interessati: allarme sanità
Un dato molto interessante da sottolineare è come negli ultimi 12 mesi sia stata la sanità a subire l’incremento maggiore degli attacchi, pari al 99% rispetto al 2017. “I dati sanitari sono ritenuti molto preziosi e possono essere monetizzati con semplicità” sottolinea Pennasilico.
Rispetto al 2017, in termini assoluti nel 2018 il numero maggiore di attacchi gravi si osserva poi verso le categorie “Multiple Targets” (+36,9%), “Gov” (+40%) ed “Healthcare” (+98,8%), seguite da “Banking / Finance” (+33,3%), “Online Services / Cloud” (+35,8%) e da “Research / Education” (+54,9%).
Degni di nota anche la crescita degli attacchi verso le categorie “Critical Infrastructures” (+42,5%), “Software / Hardware vendor” (+60,3%) e “GDO / Retail”(+62,5%).
Considerando la gravità dei singoli attacchi nei settori di riferimento, gli esperti Clusit evidenziano che la sanità e le infrastrutture critiche risultano essere i settori per i quali i rischi cyber sono cresciuti maggiormente nel 2018; pur avendo subito in assoluto un numero di attacchi maggiore, il settore pubblico e i “multiple targets” non mostrano invece peggioramenti significativi in termini di gravità.
Quali tecniche?
È stato ancora il malware “semplice”, prodotto industrialmente e a costi sempre decrescenti il principale vettore di attacco nel 2018, in crescita del 31% rispetto al 2017. All’interno di questa categoria, i Cryptominers – pressoché inesistenti in passato – nel corso del 2018 sono arrivati a rappresentare il 14% del totale (erano il 7% nel 2017); l’utilizzo del malware per le piattaforme mobile negli ultimi dodici mesi ha rappresentato quasi il 12% del totale.
Da segnalare la crescita del 57% rispetto all’anno precedente degli attacchi sferrati con tecniche di Phishing e Social Engineering su larga scala, ancora a testimonianza della logica sempre più “industriale” degli attaccanti.
L’elevato incremento negli ultimi dodici mesi dell’utilizzo di tecniche sconosciute (+47%) dimostra tuttavia che i cybercriminali sono piuttosto attivi anche nella ricerca di nuove modalità di attacco.
I DDoS rimangono sostanzialmente invariati rispetto al 2017, lo sfruttamento di vulnerabilità note invece è ancora in crescita (+39,4%), così come l’utilizzo di vulnerabilità “0-day”, (+66,7%), per quanto questo dato sia ricavato da un numero di incidenti noti limitato e risulti probabilmente sottostimato. Ritornano a crescere gli attacchi basati su tecniche di “Account Cracking” (+7,7%). Unico dato in calo, le SQL injection, che segnano -85,7% rispetto al 2017.
I contributi Fastweb, Akamai e IDC Italia
Il Rapporto Clusit presenta anche i dati relativi agli attacchi rilevati dal Security Operations Center (SOC) e relativi agli indirizzi IP appartenenti all’Autonomous System (AS) di Fastweb, che ha analizzato la situazione italiana in materia di cyber-crime e incidenti informatici sulla base di oltre 40 milioni di eventi di sicurezza accaduti nel 2018.
I dati – automaticamente aggregati e anonimizzati per proteggere la privacy e la sicurezza dei Clienti e di Fastweb stessa – mostrano un’evoluzione nella composizione dei Malware e Botnet rispetto al 2017: oltre a diverse minacce già presenti lo scorso anno, sono state rilevate 212 famiglie di software malevoli (+10% rispetto all’anno precedente) e, soprattutto, la diffusione massiva di nuovi malware, non ancora classificati e riconducibili a una famiglia nota.
L’analisi di Fastweb evidenzia inoltre la distribuzione geografica dei centri di comando e controllo dei malware (C&C), che rappresentano i sistemi compromessi utilizzati per l’invio dei comandi alle macchine infette da malware (bot) utilizzate per la costruzione delle botnet. Ben oltre la metà dei centri di C&C relativi a macchine infette appartenenti all’AS di Fastweb nel 2018 sono stati rilevati negli Stati Uniti; negli ultimi dodici mesi è emersa tuttavia la crescita importante dei C&C anche in Europa (+24% rispetto al 2017).
L’analisi degli attacchi all’interno del Rapporto CLUSIT 2019 include anche il “Rapporto 2018 sullo stato di Internet – Analisi globale degli attacchi di DDoS, applicativi e furto di identità”, a cura di Akamai e il contributo inedito di IDC Italia relativo a “Il mercato italiano della Sicurezza IT: analisi, prospettive e tendenze”.
Presentazione ufficiale
Il Rapporto Clusit 2019 sarà presentato in via ufficiale al pubblico in occasione dell’apertura del Security Summit di Milano. L’evento, nato dalla collaborazione tra Clusit ed Astrea, si terrà dal 12 al 14 marzo 2019. Tra i temi più in evidenza per il 2019: Cyber Crime, Sicurezza del e nel Cloud, Intelligenza Artificiale, Blockchain, IoT, Industria 4.0., Compliance, GDPR.