CrowdStrike, la cybersecurity è prevenzione

È uno scenario di rischio in continua ascesa ed evoluzione quello delineato dal Global Threat Report 2023 di CrowdStrike. Lo studio, giunto alla sua nona edizione e frutto del monitoraggio da parte dell’azienda delle attività di oltre 200 gruppi criminali, mostra un forte aumento delle minacce basate sulle identità, dell’utilizzo del cloud, dello spionaggio Cina-Nexus, oltre che di attacchi che sfruttano nuovamente vulnerabilità precedentemente patchate.

Lo scenario

Tra le principali evidenze del rapporto – realizzato dal team di CrowdStrike Intelligence sfruttando i dati di trilioni di eventi quotidiani tracciati dalla piattaforma CrowdStrike Falcon e gli insight di CrowdStrike Falcon OverWatch – alcune destano particolare preoccupazione. Parliamo, per esempio, degli attacchi malware free, che nel 2022 hanno rappresentato il 71% del totale degli attacchi rilevati dalla società, delle intrusioni interattive tramite attività di ‘hands-on keyboard’, aumentate del 50% rispetto al 2021, oltre che degli annunci di access broker sul dark web, in crescita addirittura del 112% anno su anno. A questo si aggiunge la diminuzione del tempo medio di breakout dell’eCrime, che ora è di 84 minuti, in calo rispetto ai 98 minuti del 2021.

Aumentano le minacce cloud-focused

Nel 2022 CrowdStrike ha registrato un aumento del 20% del numero di attaccanti che conducono campagne di furto dei dati e di estorsione e un incremento del 95% dello sfruttamento del cloud da parte dei cyber criminali. I casi che coinvolgono minacce ‘cloud-focused’, infatti, sono quasi triplicati rispetto all’anno precedente, così come in aumento sono state anche le tattiche di social engineering, come il vishing diretto ai soggetti che effettuano il download di malware e il SIM swapping per eludere l’autenticazione multifattore (MFA).
Gli attaccanti, come detto, riutilizzano e riesplorano sempre più anche vulnerabilità precedentemente patchate: a partire dalla fine del 2021, Log4Shell ha continuato a rappresentare un rischio, mentre vulnerabilità note e nuove, come ProxyNotShell e Follina, sono state ampiamente sfruttate da avversari degli Stati-Nexus e di eCrime, che hanno eluso le patch e aggirato le correzioni.

Nuovi gruppi criminali

Lo scorso anno CrowdStrike ha individuato ben 33 nuovi gruppi criminali, il dato più elevato mai registrato dalla società in soli 12 mesi, inclusi i gruppi altamente prolifici come Scattered Spider e Slippy Spider, “che sono dietro a molti dei recenti attacchi di alto profilo ai settori delle telecomunicazioni, BPO e della tecnologia”, ha sottolineato l’azienda evidenziando come lo spionaggio Cina-Nexus sia aumentato in tutti i 39 settori industriali a livello globale e in 20 regioni geografiche monitorate da CrowdStrike Intelligence. L’aumento delle attività Cina-Nexus chiede alle aziende di rimanere vigili contro questa minaccia, così come diviene essenziale per tutte le organizzazioni prestare particolare attenzione anche all’impatto informatico della guerra in Ucraina, purtroppo ancora in corso: CrowdStrike, in tal senso, ha rilevato “un aumento degli avversari Russia-Nexus che impiegano tattiche di raccolta di informazioni e anche ransomware falsi, suggerendo l’intenzione del Cremlino di ampliare il target dei settori e delle regioni in cui le operazioni distruttive sono considerate politicamente rischiose”, ha puntualizzato la società in una nota.

Il giusto approccio

In questo scenario, l’Italia non è esclusa. “Nel nostro Paese, e in generale in Europa, i settori più colpiti dalle minacce emerse dal rapporto sono il government, il settore tecnologico, l’healthcare e il finance”, ha spiegato Luca Nilo Livrieri, Senior Manager Sales Engineering Southern Europe di CrowdStrike, evidenziando come, per difendersi, le imprese siano chiamate a fare propria la regola del ‘1-10-60’: “I team di sicurezza devono essere in grado di rilevare la minaccia durante il primo minuto dall’intrusione, analizzarla e comprenderla nell’arco di 10 minuti e contenerla e neutralizzarla entro 60 minuti; purtroppo, però, molte aziende, soprattutto in Italia, sono ampiamente lontane da queste tempistiche – ha sottolineato. Il nostro suggerimento, per tutte le organizzazioni, è di avere una visibilità completa di quelli che sono i propri gap di sicurezza, verificare gli asset maggiormente esposti su Internet e quindi più vulnerabili. In secondo luogo, è fondamentale per le imprese dare priorità all’identity protection, realizzando continuamente degli assessment mirati all’utilizzo delle credenziali da parte degli utenti, e porre uno specifico focus sulla cloud security. Infine, è necessario che le aziende conoscano bene i propri avversari, per capire chi, perché e in che modo vuole colpirle, senza dimenticare che la pratica e la formazione delle persone è alla base di qualsiasi strategia di sicurezza di successo e deve coinvolgere tutti i dipendenti, non solo i security team”.

Il supporto

Per guidare le imprese nell’adottare il giusto approccio alla cybersecurity, CrowdStrike offre un mix di tecnologie e competenze che mette al centro il concetto di prevenzione. “Tramite la nostra piattaforma Falcon diamo la possibilità alle imprese di disporre di una visibilità completa delle minacce e, in modalità proattiva, di anticipare le mosse degli avversari forti di servizi di sicurezza degli endpoint, di threat intelligence, di analisi del dark e deep web, oltre che di security operation e di identity threat detection and protection”.
L’offerta di CrowdStrike, in Italia e nel mondo, sta registrando risultati particolarmente positivi. La conferma arriva da Livrieri: “La nostra tecnologia è in grado di rispondere alle esigenze di aziende di qualsiasi settore e dimensione, sia in ambito privato che pubblico, e garantisce ai clienti un supporto in termini di sicurezza e prevenzione al tempo stesso strategico, operativo e tattico. Un valore aggiunto fondamentale, questo, che è nostra intenzione continuare a indirizzare sul mercato anche in futuro”.