In occasione del Black Hat USA 2022, VMware ha pubblicato l’ottavo rapporto annuale Global Incident Response Threat Report, che analizza nel dettaglio le sfide che devono affrontare i team di sicurezza, dalla pandemia, al burnout dei professionisti, ai cyberattacchi a sfondo geopolitico. Secondo i risultati dello studio condotto attraverso un sondaggio online a cui hanno partecipato 125 professionisti della cybersecurity e dell’incident response di tutto il mondo, il 65% degli addetti alla sicurezza informatica afferma che i cyberattacchi sono aumentati dopo l’invasione dell’Ucraina da parte della Russia. Il rapporto, inoltre, fa luce sulle minacce emergenti, come deepfake e attacchi alle API, con i criminali informatici che prendono di mira gli stessi incident responder.
Come sottolineato fin dalle prime battute in una nota ufficiale da Rick McElroy, principal cybersecurity strategist di VMware: «Per eludere i controlli di sicurezza, oggi i criminali informatici stanno introducendo nei loro metodi di attacco anche i deepfake. Secondo il nostro report, due intervistati su tre hanno rilevato l’utilizzo di deepfake dannosi come parte di un attacco, con un aumento del 13% rispetto allo scorso anno e l’e-mail a rappresentare il metodo di trasmissione più comune. Oggi i criminali informatici non si limitano più a utilizzare video e audio manipolati nelle campagne di disinformazione o nelle influence operations. Il loro nuovo obiettivo è sfruttare la tecnologia deepfake per ottenere l’accesso e compromettere le organizzazioni».
Altri risultati chiave del rapporto includono:
- Il burnout dei professionisti della sicurezza rimane un problema critico. Il 47% degli addetti alla sicurezza ha dichiarato di aver sofferto di burnout o di forte stress negli ultimi 12 mesi (dato in leggero calo rispetto al 51% dello scorso anno). Di questi, il 69% (contro il 65% del 2021) degli intervistati ha preso in considerazione l’idea di lasciare il proprio lavoro. Le organizzazioni si stanno comunque impegnando per contrastare il fenomeno: più di due terzi degli intervistati ha dichiarato che il proprio datore di lavoro ha implementato programmi di benessere aziendale per affrontare il burnout.
- Gli attori ransomware oggi incorporano strategie di estorsione informatica. Il predominio degli attacchi ransomware, spesso sorretto e amplificato dalle collaborazioni dei gruppi di criminalità informatica sul dark web, non si è ancora arrestato. Il 57% degli intervistati si è imbattuto in attacchi di questo tipo negli ultimi 12 mesi e due terzi (66%) hanno riscontrato la presenza di programmi di affiliazione e/o partnership tra gruppi di ransomware, con i principali cartelli informatici che continuano a estorcere denaro alle organizzazioni attraverso tecniche di doppia estorsione, aste di dati e ricatti.
- Le API sono il nuovo endpoint e rappresentano la prossima frontiera per gli aggressori. Con la proliferazione dei carichi di lavoro e delle applicazioni, il 23% degli attacchi compromette la sicurezza delle API. I principali tipi di attacchi alle API includono l’esposizione dei dati (42% degli intervistati nell’ultimo anno), gli attacchi SQL e API injection (rispettivamente 37% e 34%) e gli attacchi Denial-of-Service distribuiti (33%).
- I movimenti laterali sono il nuovo campo di battaglia. Sono stati rilevati nel 25% di tutti gli attacchi, con i criminali informatici che hanno utilizzato qualsiasi mezzo, da host di script (49%) e archiviazione di file (46%) a PowerShell (45%), piattaforme di comunicazione aziendale (41%) e .NET (39%) per sondare le reti. Un’analisi della telemetria all’interno di VMware Contexa, un cloud di threat intelligence full-fidelity integrato nei prodotti di sicurezza VMware, ha rilevato che nei soli mesi di aprile e maggio 2022, quasi la metà delle intrusioni conteneva un evento di movimento laterale.
Per Chad Skipper, global security technologist di VMware: «Per difendersi dalla progressiva estensione della superficie di attacco, i team di sicurezza hanno bisogno di un livello adeguato di visibilità su carichi di lavoro, dispositivi, utenti e reti per rilevare, proteggere e rispondere alle minacce informatiche. Se i team di sicurezza prendono decisioni basate su dati incompleti e imprecisi, viene inibita loro anche la capacità di implementare una strategia di sicurezza granulare e i loro sforzi per rilevare e bloccare gli attacchi laterali sono ostacolati da un contesto limitato dei loro sistemi».
Nonostante lo scenario attuale decisamente turbolento e le crescenti minacce descritte nel report, gli addetti alla risposta agli incidenti stanno reagendo: l’87% dichiara di essere in grado di interrompere le attività dei criminali informatici molto spesso (37%) o a volte (50%), e di farlo utilizzando anche nuove tecniche. Tre quarti degli intervistati (75%) dichiara infatti di utilizzare le patch virtuali come meccanismo di emergenza. In ogni caso, maggiore è la visibilità che i difensori hanno sull’attuale superficie di attacco, più saranno attrezzati per affrontare l’attuale panorama di minacce.