SecurityPredictions
La nuova normalità: Previsioni Trend Micro sulla sicurezza per il 2020
L'anno 2020 segnerà il passaggio a un nuovo decennio. Che varrà anche per la cybersecurity. Sono finiti i tempi delle reti isolate dietro un firewall aziendale e uno stack limitato di applicazioni aziendali. L'attuale paradigma richiede un'ampia varietà di app, servizi e piattaforme che dovranno tutti essere protetti. I difensori dovranno valutare la sicurezza sotto molti punti di vista per tenere il passo e anticipare le vecchie volpi, gli innovatori e i nuovi arrivati nel campo del crimine informatico.
I metodi sperimentati a lungo, come estorsione, offuscamento e phishing, saranno ancora utilizzati ma emergeranno inevitabilmente nuovi rischi. La maggiore migrazione verso il cloud, ad esempio, aggraverà le conseguenze di un errore umano. Già solo il solo numero di risorse e infrastrutture connesse aprirà le porte alle minacce. Le minacce aziendali non saranno meno complesse e combineranno i rischi tradizionali con le nuove tecnologie, come l'intelligenza artificiale (IA), nelle frodi aziendali.
Le previsioni sulla sicurezza per il 2020 riflettono le opinioni e gli studi dei nostri esperti su minacce e tecnologie attuali ed emergenti. Il nostro rapporto traccia il quadro di un possibile panorama futuro guidato da progressi tecnologici e minacce evolute per consentire alle imprese di prendere decisioni informate sul proprio atteggiamento nei confronti della cybersecurity nel 2020 e oltre. Il futuro appare complesso, esposto e mal configurato, ma anche difendibile.
Gli attaccanti non avranno problemi ad aggirare patch incomplete e applicate in modo affrettato.
Gli amministratori di sistema si troveranno in una duplice situazione: garantire la tempestività così come la qualità delle patch distribuite. Patch incomplete o difettose possono arrestare o creare malfunzionamenti nei sistemi critici, ma ritardarne l'applicazione può esporre i sistemi alle minacce. Casi precedenti hanno dimostrato come patch incomplete possono essere aggirate per sfruttare le stesse vulnerabilità che la patch prova a correggere. Gli aggressori trarranno inoltre vantaggio dalle “mancanze di patch”, ovvero finestre di esposizione tra la correzione di un difetto in un componente open source e l'applicazione della relativa patch al software che lo utilizza.
I sistemi del settore bancario saranno nel mirino di malware specifici per le transazioni bancarie e gli ATM.
I malware che puntano ai terminali mobili destinati ai sistemi bancari e di pagamento online saranno più attivi nel momento in cui i pagamenti online mobili in Europa prospereranno, grazie alla nuova Payment Service Directive (PSD2) dell'Unione Europea. L'attuazione della direttiva avrà implicazioni per la cybersecurity nel settore bancario, dai difetti delle interfacce applicative (API) ai nuovi schemi di phishing.
Sul mercato illegale, la vendita di malware per gli ATM guadagnerà ulteriormente terreno. Prevediamo che le famiglie di malware specifico per gli ATM si troveranno in competizione per il dominio e cercheranno di superarsi a vicenda in termini di funzionalità e prezzo del malware. Ad esempio, varianti di Cutlet Maker, Hello World e WinPot sono già in vendita sui mercati illegali.
I deepfake saranno la prossima frontiera delle frodi aziendali.
L'utilizzo di deepfake, falsificazioni di immagini, video o audio basati e creati con l'intelligenza artificiale, passerà sempre più dalla creazione di falsi video pornografici di celebrità alla manipolazione delle aziende e delle loro procedure, come i raggiri nei confronti dei dipendenti nelle operazioni di trasferimento di fondi o nell'assunzione di decisioni critiche. Un esempio è stata la voce falsificata del CEO di una società energetica, generata dall'intelligenza artificiale, utilizzata per frodare l'azienda di 243.000 dollari. La tecnologia sarà un'aggiunta all'arsenale dei cyber criminali e un'evoluzione rispetto alla tradizionale truffa business email compromise (BEC). Gli appartenenti al top management saranno l'obiettivo principale di questo tipo di frode poiché si tratta di persone che partecipano spesso a chiamate, conferenze, apparizioni sui media e video online.
Gli aggressori trarranno vantaggio da imperfezioni "wormable" e bug di deserializzazione.
Emergeranno ulteriori tentativi di sfruttamenti di vulnerabilità critiche e molto gravi, come il "wormable" BlueKeep. Protocolli ampiamente utilizzati come Server Message Block (SMB) e Remote Desktop Protocol (RDP) saranno sfruttati in modo malevolo per compromettere i sistemi vulnerabili. Quest'ultimo è già utilizzato comunemente come vettore per il ransomware.
I difetti e le debolezze che riguardano la deserializzazione di dati non attendibili costituiranno una delle principali preoccupazioni, in particolare nella sicurezza delle applicazioni aziendali. Le minacce che sfruttano questa classe di vulnerabilità permettono la variazione di dati considerati immuni dalle modifiche e permettono la potenziale esecuzione di un codice gestito dall'attaccante. Invece di trovare e concatenare diverse vulnerabilità insieme per eseguire del codice dannoso, gli aggressori sfrutteranno sempre più i bug di deserializzazione per ottenere più facilmente il controllo dei sistemi, anche in ambienti complessi.
I cyber criminali si orienteranno verso i dispositivi IoT a scopo di spionaggio ed estorsione.
Il machine learning (ML) e l'intelligenza artificiale (IA) saranno sfruttati in modo malevolo per ascoltare attraverso dispositivi connessi come smart TV e altoparlanti al fine di curiosare in conversazioni personali e aziendali, che potranno quindi fornire materiale per l'estorsione o lo spionaggio aziendale.
Per quanto riguarda altri modi di monetizzare gli attacchi IoT, i cyber criminali devono ancora trovare un modello di business scalabile per trarre guadagno dall'ampia superficie di attacco offerta dell'Internet of Things (IoT). Continueranno nella loro esplorazione alla ricerca di metodi per trarre maggiori benefici dagli attacchi IoT, principalmente attraverso l'estorsione digitale. Questi schemi verranno prima provati sui dispositivi consumer, passando poi al successivo obiettivo logico dei macchinari industriali connessi, uno sviluppo che abbiamo visto nelle nostre recenti incursioni nel mercato illegale.
Le botnet di dispositivi IoT compromessi, come i router, verranno ulteriormente messe in vendita sul mercato illegale, insieme all'accesso a flussi di webcam e ai contatori intelligenti con firmware modificato.
Chi deciderà di adottare il 5G dovrà fare i conti con le implicazioni di sicurezza del passaggio alle reti definite tramite software.
L'implementazione completa del 5G nel 2020 introdurrà nuove sfide: vulnerabilità causate banalmente dalla novità della tecnologia e dall'impreparazione dei fornitori di fronte alle minacce. Poiché le reti 5G sono definite tramite software, le minacce deriveranno da operazioni con software vulnerabili e dalla topologia distribuita. Un attore di minacce che acquisisce il controllo del software che gestisce le reti 5G, potrebbe di conseguenza assumere il controllo della rete stessa. Gli aggiornamenti che coinvolgono il 5G saranno molto simili agli aggiornamenti degli smartphone e comporteranno delle vulnerabilità. In effetti, lo sfruttamento delle vulnerabilità del 5G attraverso piattaforme hardware e software a basso costo, è già stato dimostrato come possibile.
Le infrastrutture critiche saranno afflitte da ulteriori attacchi e da interruzioni della produzione.
Le infrastrutture critiche saranno obiettivi a portata di mano per gli estorsori. Dato il suo impatto distruttivo, il ransomware rimarrà comunque l'arma prescelta dagli attori delle minacce ma vedremo anche altri tipi di attacchi informatici: botnet che lanciano attacchi DDoS (Distributed Denial of Service) contro reti di tecnologia operativa (OT); attacchi a sistemi di produzione che utilizzano servizi cloud; attacchi alla catena di approvvigionamento in cui i fornitori di terze parti sono compromessi e usati come trampolini di lancio per gli attori delle minacce che puntano a settori critici.
Molteplici attori delle minacce hanno preso di mira e perlustrato diverse strutture energetiche in tutto il mondo nel loro tentativo di rubare le credenziali dei sistemi di controllo industriale (ICS) e dei sistemi di controllo di supervisione e acquisizione dati (SCADA). Oltre al settore delle utility, prevediamo attacchi ai settori della produzione alimentare, dei trasporti e della produzione industriale, che utilizzano sempre più applicazioni IoT e interfacce uomo-macchina (HMI).
Le vulnerabilità nei componenti dei container saranno tra i principali problemi di sicurezza per i team DevOps.
Il mondo dei container è frenetico: i rilasci sono rapidi, le architetture sono continuamente integrate e le versioni del software vengono regolarmente aggiornate. Le pratiche di sicurezza tradizionali non saranno in grado di tenere il passo. Un'applicazione potrebbe ora richiedere a un'organizzazione di proteggere centinaia di container, distribuiti su più macchine virtuali e in esecuzione su diverse piattaforme di servizi cloud. Le aziende devono tenere conto della loro sicurezza in diversi componenti dell'architettura del container, dai runtime dei container (ad esempio Docker, CRI-O, Containerd e runC), agli orchestratori (ad esempio Kubernetes), agli ambienti di compilazione (ad esempio Jenkins).
Le piattaforme serverless esporranno una superficie di attacco con errori di configurazione e codici vulnerabili.
Le piattaforme serverless offrono "funzioni sotto forma di servizi", consentendo agli sviluppatori di eseguire codici senza che l'organizzazione debba pagare per interi server o container. Librerie scadute, errate configurazioni così come vulnerabilità note o ignote costituiranno per gli attaccanti i punti di ingresso alle applicazioni serverless. Aumentare la visibilità della rete, migliorare i processi e documentare meglio i flussi di lavoro sarà essenziale per l'esecuzione di applicazioni serverless. Anche gli ambienti serverless possono trarre vantaggio dall'adozione di DevSecOps, in cui la sicurezza è integrata nel processo DevOps.
Le piattaforme cloud saranno oggetto di attacchi di code injection tramite librerie di terze parti.
Gli attacchi di code injection, direttamente nei confronti del codice o tramite una libreria di terze parti, verranno utilizzati principalmente contro le piattaforme cloud. Questi attacchi, dallo scripting cross-site alla SQL injection, verranno eseguiti per intercettare, assumere il controllo e persino modificare file e dati sensibili archiviati nel cloud. In alternativa, gli aggressori inietteranno codice dannoso nelle librerie di terze parti che gli utenti scaricheranno ed eseguiranno inconsapevolmente. Le violazioni dei dati relative al cloud aumenteranno man mano che i modelli di cloud computing per software, infrastruttura e platform as-a-service (SaaS, IaaS, PaaS) saranno adottati sempre più. La prevenzione delle compromissioni nell'ambiente cloud richiederà la dovuta attenzione da parte degli sviluppatori, un'attenta valutazione dei provider e delle piattaforme offerte e miglioramenti nella gestione della sicurezza del cloud.
Gli attacchi nel 2020 e oltre saranno pianificati e coordinati con più attenzione. La carenza di competenze in materia di cybersecurity e la scarsa attenzione rivolta alla sicurezza saranno ancora fattori significativi nel panorama delle prossime minacce. I rischi di compromissione a causa di minacce avanzate, malware persistente, phishing e attacchi zero-day possono essere mitigati se le conoscenze e la protezione dalle minacce sono prontamente disponibili. Una threat intelligence strategica integrata nei processi di sicurezza e gestione dei rischi consentirà alle organizzazioni di difendere in modo proattivo il proprio ambiente identificando le carenze di sicurezza, eliminando gli anelli deboli e comprendendo le strategie degli attaccanti. Per coloro che devono prendere le decisioni e i responsabili IT, la necessità di avere un quadro più ampio delle proprie infrastrutture online può essere supportata da esperti, come gli analisti del centro operativo di sicurezza (SOC), che possono correlare i loro risultati con la threat intelligence globale. Ciò significa disporre di un contesto migliore oltre l'endpoint, che include email, server, carichi di lavoro in cloud e reti.
Il panorama in continua evoluzione richiederà un mix intergenerazionale di tecniche di difesa multilivello e connesse, basata su meccanismi di sicurezza come i seguenti:
- Visibilità completa. Fornisce un'analisi prioritaria e ottimizzata delle minacce con strumenti e competenze che attenuano l'impatto e mitigano i rischi.
- Prevenzione delle minacce con efficace mitigazione degli effetti. Mitigazione automatica delle minacce una volta visualizzate e identificate, insieme all'impiego di antimalware, machine learning e IA, controllo delle applicazioni, reputazione web e tecniche antispam.
- Rilevamento e risposta gestiti. Fornisce competenze di sicurezza in grado di correlare allarmi e rilevamenti per ricerca delle minacce, analisi completa e ripristini immediati tramite strumenti di threat intelligence ottimizzati.
- Monitoraggio del comportamento. Blocca in modo proattivo malware e tecniche avanzati e rileva comportamenti e routine anomali associati al malware.
- Endpoint security. Protegge gli utenti tramite funzionalità di esecuzione in sandbox, rilevamento delle violazioni e sensori sull'endpoint.
- Rilevamento e prevenzione delle intrusioni. Rileva il traffico di rete sospetto, come le comunicazioni di comando e controllo (C&C) e l'esfiltrazione dei dati.
Scopri cosa influenzerà il panorama delle minacce nel 2020 e come gli utenti e le organizzazioni potranno affrontarlo, leggendo il nostro rapporto, "La nuova normalità: Previsioni Trend Micro sulla sicurezza per il 2020."
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
Ultime notizie
- Ransomware Spotlight: Ransomhub
- Unleashing Chaos: Real World Threats Hidden in the DevOps Minefield
- From Vulnerable to Resilient: Cutting Ransomware Risk with Proactive Attack Surface Management
- AI Assistants in the Future: Security Concerns and Risk Management
- Silent Sabotage: Weaponizing AI Models in Exposed Containers