Gli esperti di Kaspersky hanno condiviso le loro previsioni sulle sfide dei Security Operations Center (SOC). Nel 2022 è cresciuto il numero di incidenti nei settori della pubblica amministrazione e dei mass media, tendenza che continuerà anche quest’anno. I SOC di questi e altri settori si troveranno probabilmente ad affrontare un numero maggiore di attacchi mirati ricorrenti, così come gli attacchi alla supply chain attraverso i provider di telecomunicazioni. Un’altra minaccia che si prospetta per i SOC è l’aumento delle compromissioni iniziali attraverso le applicazioni rivolte al pubblico. Le organizzazioni minacciate da attacchi ransomware potrebbero anche andare incontro alla cancellazione dei dati. Da un punto di vista interno, i team SOC devono far fronte a carenze di personale e a una crescente richiesta di efficienza.
Dato che il ruolo della cybersecurity nelle grandi aziende diventa di anno in anno sempre più importante, i Security Operations Center (SOC) sono fondamentali: i team organizzati in modo efficace possono, infatti, proteggere l’azienda da malware e metodi di attacco in rapida evoluzione. Il Kaspersky Security Bulletin di quest’anno si conclude con previsioni per i SOC.
Attacchi mirati più ricorrenti da parte di attori sponsorizzati dagli Stati
Nel 2022, gli esperti di Kaspersky hanno visto raddoppiare il numero medio di incidenti nel settore dei mass media, passando da 263 nel 2021 a 561 nel 2022. Nell’ultimo anno si sono verificati diversi casi importanti, tra cui l’interruzione delle trasmissioni della TV di Stato iraniana da parte di hacker durante le proteste del Paese. Anche i media sono stati oggetto di attacchi DDoS, come nel caso della Repubblica Ceca.
Oltre alla pubblica amministrazione, in cui il numero di incidenti è aumentato del 36% nel 2022, i mass media sono diventati il primo obiettivo dei criminali informatici tra gli altri 13 settori analizzati, come ad esempio quello alimentare, industriale, finanziario e così via.
La crescita continuerà nel 2023 attraverso attacchi mirati ricorrenti da parte di attori sponsorizzati da Stati. Nonostante questo aspetto sia rilevante per la PA, il settore dei mass media è stato preso sempre più di mira durante i conflitti internazionali, tradizionalmente accompagnati da guerre d’informazione in cui i mezzi di comunicazione giocano inevitabilmente un ruolo importante.
Come sottolineato in una nota ufficiale da Sergey Soldatov, Head of Security Operation Center (SOC) di Kaspersky: «Le grandi aziende e le pubbliche amministrazioni sono sempre state bersaglio di criminali informatici e attori finanziati da Stati, ma le tensioni geopolitiche hanno aumentato le motivazioni degli attaccanti e animato l’hacktivismo, che gli specialisti di cybersecurity non hanno più riscontrato regolarmente fino al 2022. La nuova ondata di attacchi a sfondo politico è particolarmente rilevante per le pubbliche amministrazioni e i mass media. Per proteggere efficacemente un’azienda è necessario implementare un rilevamento completo delle minacce e una soluzione fornita attraverso i servizi Managed Detection and Response».
Attacchi alla supply chain tramite provider di telecomunicazioni
Nel 2023, i criminali potrebbero colpire le supply chain attaccando soprattutto le società di telecomunicazioni. Si tratta di un ulteriore tentativo di colpire i clienti, per cui quest’anno si profila una minaccia crescente. Nel 2021, per la prima volta, il settore delle telecomunicazioni ha registrato una prevalenza di incidenti di gravità elevata. Nonostante nel 2022 la percentuale media di incidenti gravi sia stata inferiore – 79 nel 2021 per 10.000 sistemi monitorati, contro i circa 12 del 2022 – queste aziende rimangono obiettivi interessanti per i criminali informatici.
Distruttori di ransomware: compromissioni iniziali attraverso applicazioni rivolte al pubblico
Nel corso del 2022, Kaspersky ha osservato una nuova tendenza relativa al ransomware che continuerà nel 2023: i suoi autori non si limiteranno a criptare i dati delle aziende, ma li distruggeranno, aspetto rilevante per le aziende soggette ad attacchi di natura politica.
Un’altra minaccia che attende i SOC è l’aumento delle compromissioni iniziali attraverso le applicazioni rivolte al pubblico. La violazione del perimetro richiede meno preparazione rispetto al phishing e le vecchie vulnerabilità sono ancora esposte.
Quali problemi i SOC dovranno affrontare internamente? Processi ed efficienza
Nel 2023, il contributo di ogni componente del team (anche non qualificato) al SOC è in aumento. Sviluppare le competenze del team è il modo più efficace per contrastare la crescente quantità di minacce. Ciò significa anche la formazione in materia di IR e qualsiasi forma di esercitazione SOC, come TTX, purple teaming e simulazioni di attacchi informativi, saranno di vitale importanza.
Il crescente panorama delle minacce porta a un aumento dei budget e alla richiesta di maggiore efficienza. Il numero crescente di incidenti e minacce si trasforma nella necessità di prevedere gli attacchi e le tecniche, aumentando il valore di Threat Intelligence e hunting.
Per consultare il report completo sulle sfide SOC nel 2023, è possibile visitare il sito Securelist.com. Questo report fa parte del Kaspersky Security Bulletin (KSB), una serie annuale di previsioni e rapporti analitici sui principali cambiamenti nel mondo della cybersecurity. Per visualizzare gli altri articoli relativi a KSB cliccare sul seguente link.
Per proteggere l’azienda dalle minacce Kaspersky consiglia di:
- Tenere sempre aggiornato il software su tutti i dispositivi utilizzati per evitare che gli attaccanti si infiltrino nella rete sfruttando le vulnerabilità. Installare le patch per le nuove vulnerabilità il prima possibile. Una volta scaricata, gli attori delle minacce non possono più sfruttarla.
- I servizi dedicati possono aiutare a combattere gli attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response può aiutare a identificare e bloccare le intrusioni nelle loro fasi iniziali, prima che gli autori raggiungano i loro obiettivi. Nel caso di un incidente, il servizio Kaspersky Incident Response aiuta a reagire e a ridurre al minimo le conseguenze, in particolare a identificare i nodi compromessi e a proteggere l’infrastruttura da attacchi simili in futuro.
- Usare le informazioni più recenti di Threat Intelligence per essere sempre al corrente degli attuali TTP utilizzati dagli attori delle minacce.
- È importante scegliere una soluzione affidabile per la sicurezza degli endpoint, come Kaspersky Endopoint Security for Business, dotata di funzionalità di rilevamento basato sul comportamento e di controllo delle anomalie per una protezione efficace contro le minacce note e sconosciute.