Evoluzione delle minacce, Threat Intelligence e cyber-diplomazia: Ready for the unexpected?

Evoluzione delle minacce informatiche, threat intelligence e necessità di costruire un dialogo a livello globale per costruire un ambiente ICT più stabile. Ecco i punti fondamentali degli interventi Kaspersky durante la dodicesima edizione del Diplomacy Festival, l’evento dedicato alla diplomazia e alle relazioni internazionali.

Anche quest’anno Kaspersky ha partecipato al Festival della Diplomazia, l’evento giunto alla dodicesima edizione e dedicato alla diplomazia e alle relazioni internazionali. “Ready for the unexpected?” è la domanda al centro dell’edizione 2021 che si è svolta, dal 13 al 22 ottobre 2021, e durante la quale si è discusso dei cambiamenti a cui stiamo assistendo e di come i Paesi e le grandi potenze affronteranno i grandi problemi che stanno creando incertezza e instabilità nelle varie parti del mondo.
Tre i portavoce Kaspersky che hanno partecipato ad altrettanti  tavoli di discussione affrontando temi quali l’evoluzione delle minacce informatiche, la threat intelligence come chiave di volta per le nuove strategie di sicurezza e la necessità di costruire un dialogo a livello globale per costruire un ambiente ICT più stabile.

Qui di seguito le  interviste esclusive a Maura Frusone – Head of Channel Kaspersky, Fabio Sammartino – Head of Pre-Sales Kaspersky e Anastasiya Kazakova – Senior Public Affairs Manager, Kaspersky

L’evoluzione delle minacce informatiche

Intervista a Maura Frusone – Head of Channel, Kaspersky

Da sinistra: Maura Frusone Head of Channel Kaspersky Italy, Corrado Giustozzi, Senior Cyber Security strategist, Ranieri Razzante, Consigliere per la Cybersecurity del Sottosegretario alla Difesa

Come possiamo evitare una Pearl Harbour Digitale e costruire uno spazio digitale cyber sicuro?

Dal nostro punto di vista, per evitare la Pearl Harbor Digitale è necessario lavorare su tre fattori, sui quali noi di Kaspersky agiamo da tanti anni: tecnologia, competenze e awareness.

Quando parliamo di utilizzare la tecnologia per proteggere il cyber mondo non intendiamo solo la protezione dei singoli dispositivi ma miriamo a sviluppare un ecosistema dove qualsiasi oggetto connesso attraverso la tecnologia sia immune dalle cyber minacce. Ecco perché noi siamo andati oltre il laboratorio di ricerca antivirus, per fornire una tecnologia di sicurezza informatica di cui le persone si possano fidare, e dunque il focus del nostro business si è evoluto verso il più ampio concetto di “cyber immunità”. La tecnologia, poi, non può prescindere dalle competenze. A questo scopo, condividiamo con la community mondiale di sicurezza la nostra expertise, la nostra conoscenza e le nostre scoperte tecniche in quanto siamo convinti che la collaborazione sia lo strumento più efficace nella lotta contro i cybercriminali. Quando invece parliamo di awareness intendiamo tutte quelle attività volte a costruire percorsi di educazione per chi utilizza la tecnologia. Dietro al processo di trasformazione digitale a cui stiamo assistendo ci sono delle persone che devono essere educate alla sicurezza informatica per evitare che un semplice errore possa compromettere la reputazione di un’intera azienda.

Ha parlato di cyber immunità, può spiegarci nel dettaglio cosa intende?

L’idea di base della cyber immunità è quella di impiegare un livello di protezione tale che i costi di un attacco superino quelli derivanti dagli eventuali danni provocati dall’attacco. Al giorno d’oggi, nessuno esperto in cybersicurezza può garantire una protezione al 100%. Per come si è sviluppata la tecnologia informatica, infatti, è possibile “hackerare” di tutto, quindi l’unica incognita che rimane è quanto i cybercriminali siano disposti a sforzarsi per portare a termine un attacco. Di conseguenza, l’unico modo per evitare un attacco è far sì che non sia economicamente vantaggioso per i potenziali criminali. L’obiettivo si può raggiungere solo se si supera il vecchio concetto di cybersecurity e si passa a quello di cyber immunity, il che implica la costruzione di prodotti secure by design, ossia implicitamente difficili da attaccare. Servono hardware e software di nuova concezione, costruiti e pensati apposta per essere difficili da violare. Kaspersky, ad esempio, ha pensato al sistema operativo, creando da zero KasperskyOS, basato su un’architettura che garantisce che il software venga eseguito in modo sicuro, comprese le applicazioni non sicure, che fornisce protezione in caso di errori software casuali e di azioni improprie dell’utente. Inoltre, Kaspersky, sta collaborando con diverse realtà industriali per la costruzione di componenti hardware sicure. A questo proposito, proprio recentemente, ha presentato IoT Secure Gateway 100, la prima soluzione Cyber Immune che permette una connessione diretta e protetta ai domini industriali con pompe, CNC, trasportatori e molti altri asset fissi costosi.

Quali sono le minacce a cui dovremmo prestare più attenzione in futuro e che stanno crescendo più rapidamente?

Sicuramente oggi la nostra attenzione dovrebbe essere rivolta al complesso ecosistema dei ransomware. Si tratta di attacchi il cui scopo è quello di criptare e bloccare tutti i dati sensibili e importanti presenti all’interno di un dispositivo per poi chiedere un riscatto al fine di poter ripristinare i dati. Gli attacchi ransomware mirati sono spesso rivolti a obiettivi di alto profilo, come aziende, agenzie governative, enti comunali e organizzazioni sanitarie, con l’obiettivo di estorcere loro del denaro. Questo genere di attacchi comporta un’elevata sofisticazione (compromissione della rete, ricognizione e meccanismi di persistenza, o movimento laterale) e somme di denaro più alte per il riscatto. Nel corso degli ultimi anni questa minaccia è cresciuta notevolmente. Tra il 2019 e il 2020, il numero di utenti Kaspersky che ha incontrato un ransomware mirato è aumentato del 767%. Secondo le statistiche anonime raccolte dal Kaspersky Secure Network, i dieci Paesi più colpiti da ransomware mirati sono stati Cina, Federazione Russa, Sud Africa, Vietnam, Stati Uniti d’America, Germania, India, Brasile, Francia e Italia. L’Italia si trova anche ai primi posti dei Paesi più interessati dagli attacchi ransomware generici per mobile: nel 2019 si è posizionata al quinto posto, con il 2,19% di utenti italiani che avevano incontrato questa minaccia, e al sesto posto nel 2020 con l’1,41%.  Si tratta quindi di minacce globali a cui dobbiamo rispondere per evitare una Pearl Harbor digitale.

Si parla di trasparenza come modello standard per la cybersecurity. Quali sono le azioni di Kaspersky per una gestione trasparente dei dati?

La trasparenza è sempre stata la nostra filosofia, la consideriamo un fattore di normalità per l’industria della sicurezza. A questo proposito tre anni fa abbiamo annunciato la Global Transparency Initiative (GTI), proponendo un approccio pionieristico al settore della sicurezza informatica basato su una maggiore trasparenza e responsabilità. L’iniziativa ha l’obiettivo di coinvolgere la community di cybersecurity e gli stakeholder del settore nella convalida e nella verifica dell’affidabilità dei suoi prodotti, dei processi interni e delle operazioni aziendali. Per questa ragione, abbiamo fornito il codice sorgente del suo software per revisioni indipendenti, e ci siamo sottoposti ad una serie di valutazioni di terze parti, tra cui l’audit SOC2 da parte di una delle Big Four tra le società di revisione, e abbiamo ottenuto la certificazione ISO27001 per i servizi offerti. Inoltre, abbiamo trasferito la nostra infrastruttura di elaborazione dati dalla Russia alla Svizzera, e abbiamo completato questa transizione alla fine dello scorso anno. Continueremo a lavorare con la community per dare priorità alla trasparenza e per migliorare la sicurezza dei moderni prodotti software, rafforzando ulteriormente la fiducia degli utenti.

La threat intelligence come chiave di volta per le nuove strategie di sicurezza

Intervista a Fabio Sammartino – Head of Pre-Sales, Kaspersky

Come sta cambiando il panorama del cybercrime e come si sono evoluti i gruppi di cyber-criminali?

Nell’ultimo periodo abbiamo osservato alcuni cambiamenti nel panorama delle minacce informatiche e nel modo di agire dei cybercriminali. Sono cambiate le loro strategie, il loro modo di lavorare e le loro strutture interne. Fino ad alcuni anni fa, si trattava di gruppi numerosi e ben collegati tra loro, ognuno con un ruolo ben specificato, e con capacità di sviluppo di alto livello. Oggi l’ecosistema degli attaccanti è cambiato e i gruppi di criminali informatici sono molto frammentati. In particolare, negli ultimi 2 anni, i nostri ricercatori hanno osservato un aumento di piccoli gruppi che non possiedono competenze specifiche nello sviluppo di tools di attacco, ma che acquistano l’accesso alle aziende da altri gruppi specializzati nella compromissione e nella rivendita per poi sferrare l’attacco criptando ed esfiltrando i dati. In alcuni casi, avvenuto l’attacco, abbiamo osservato come esista una terza tipologia di cybercriminali che funge da gruppo di servizio per l’altro, e che viene chiamato solo a gestire la conversazione finanziaria con le vittime per ottenere il pagamento in bitcoin.

Abbiamo notato delle differenze anche nello stile di comunicazione. Pochi anni fa, potevamo assistere a una proliferazione di chat e comunicazioni tramite forum privati e protetti sulla dark net. Adesso, poiché quei forum sono stati chiusi o possono essere rilevati, i cybercriminali parlano attraverso canali diretti e più sicuri. Questo tipo di comunicazione diretta è più riservato e quindi maggiormente difficile da rilevare e combattere per i vendor di cybersecurity.


Sono cambiate anche le tecniche?

Sì, abbiamo osservato dei cambiamenti anche per quanto riguarda le tecniche usate.

Circa 5 anni fa, i principali vettori di attacco erano il phishing e l’iniezione di codice nel browser, che permetteva agli attaccanti di eseguire un codice per scaricare un trojan e stabilire una connessione con i sistemi delle vittime. Ricorrere alla code-injection era abbastanza semplice perché fino a poco tempo fa i livelli di sicurezza dei browser non erano così elevati. I browser hanno poi autorizzato investimenti ingenti per correggere le loro vulnerabilità e, nonostante non siano ancora sicuri al 100%, adesso sono meno facili da compromettere. Inoltre, gli attaccanti impiegavano molto tempo nella ricerca di vulnerabilità su cui fare leva. Ora, invece, le tattiche sono cambiate. Infatti, non assistiamo più allo sfruttamento delle vulnerabilità classiche (es. Trojan, backdoor, zero-day). Questo perché compromettere un endpoint – comunemente usato come vettore di infezione – o un browser è diventato molto più difficile Infine, cercare vulnerabilità zero-day non è più un metodo efficiente, perché sono difficili da trovare sul dark web e accedervi può essere molto costoso. Pertanto, è più facile sfruttare quelle già presenti e in particolare le vulnerabilità one-day. Inoltre, sta diventando prassi comune utilizzare i tool di penetration test per sferrare gli attacchi. Questi strumenti sono molto popolari, facili da usare e molto efficaci.

In che modo la Threat Intelligence può aiutare nel campo della protezione? Cosa fa Kaspersky per proteggere i propri clienti?

Lo scopo della Threat Intelligence è fornire informazioni su gruppi criminali, tecniche di attacco, infrastrutture prese di mira, e strumenti utilizzati per colpire gli obiettivi. In sostanza la Threat Intelligence ci consente di fornire insight esclusivi sulle minacce emergenti e consentire

ai security team di assegnare le giuste priorità agli alert, ottimizzare le risorse e accelerare i processi decisionali. Nello specifico, un programma di intelligence può aiutare le aziende a riconoscere le minacce informatiche e a evitare data breach e la diffusione di informazioni sensibili, identificare i modelli utilizzati dagli hacker e mettere in atto misure di sicurezza per proteggersi da attacchi futuri e, non da ultimo, serve a condividere con la community IT una base di conoscenza collettiva per combattere i cybercrimini.

La Threat Intelligence sta acquistando sempre più credito anche presso i Managed Service Provider. Secondo una nostra recente ricerca, infatti, la maggior parte (93%) degli MSP prevede di ampliare il proprio portfolio di sicurezza informatica con nuovi servizi, primo fra tutti proprio la threat intelligence (44%).

Questo perché è sempre più evidente come qualsiasi informazione sia preziosa nella protezione dalle minacce avanzate, che si tratti di dettagli su nuovi malware o di approfondimenti sulle tecniche utilizzate. Ecco perché Kaspersky studia i movimenti dei gruppi criminali e li monitora. Le informazioni sulle tecniche, tattiche e procedure d’attacco sono fondamentali per adattare la strategia di protezione dell’azienda e, di conseguenza, rimanere sempre in uno stato predittivo anziché reattivo. Ciò che è importante, infatti, è che le aziende siano costantemente pronte a impedire l’attacco, non solo a ripararne i danni. La visione evolutiva della cyber security passa proprio dal concetto di prevenzione, quindi di profonda conoscenza del nemico e delle sue tecniche. La Threat Intelligence di Kaspersky, infatti, si basa su informazioni qualificate che non sono geograficamente localizzate: la copertura globale è certamente uno dei punti chiave delle nostre soluzioni. La seconda peculiarità della nostra CTI è l’applicabilità dei dati raccolti. Noi traduciamo e rendiamo usabili le informazioni ad esempio fornendo gli indicatori di compromissione, inserendo questi indicatori all’interno dei nostri feed per portarli a tutti i livelli – a livello macchina, a livello governance, ovunque siano utili.

Perché la cooperazione internazionale è importante per affrontare i cyberattacchi a livello globale? Kaspersky è già coinvolta in iniziative congiunta?

Nell’ultimo anno abbiamo assistito ad una accelerazione del processo digitalizzazione. Questo trend, insieme al rapido aumento delle attività criminali online, ha contribuito a rendere la cybersecurity più importante che mai per garantire la sicurezza e la sostenibilità di Internet. Attraverso la sicurezza informatica è possibile raggiungere una trasformazione digitale efficace e sostenibile, elementi fondamentali soprattutto in un periodo storico segnato da una pandemia globale. Pertanto, la cooperazione internazionale volta a garantire uno sviluppo stabile e sicuro del cyberspazio è più importante che mai. A questo scopo partecipiamo molto spesso ad incontri in cui si riuniscono diverse community, e leader mondiali per discutere le problematiche attuali del cyberspazio e per poter spingere ad agire coloro che hanno potere decisionale sia nel settore pubblico che in quello privato.

Sosteniamo da sempre l’importanza della collaborazione internazionale all’interno del cyberspazio e promuoviamo iniziative comuni per la community globale di IT security, poiché riteniamo che questo sia l’approccio più adatto per proteggersi dalle minacce informatiche in continua evoluzione.

Condividiamo con la community mondiale di sicurezza la nostra expertise, la nostra conoscenza e le nostre scoperte tecniche, e collaboriamo con i vendor di sicurezza IT di tutto il mondo, con le organizzazioni internazionali e con le forze di polizia nazionali e regionali impegnate a contrastare il cyber crimine a livello globale.

Da diversi anni, ad esempio, collaboriamo con l’INTERPOL nella lotta congiunta contro il cyber crimine, mettendo al servizio dell’organizzazione risorse umane, formazione e dati di threat intelligence sulle più recenti attività criminali. Dal 2016, siamo inoltre impegnati a fianco della Polizia Olandese, Europol e Intel Security nel progetto No More Ransom, un’iniziativa di natura non commerciale il cui scopo è informare le persone sui pericoli dei ransomware, e nel contempo aiutare le vittime a recuperare i propri dati senza dover pagare i criminali. In questi anni, grazie a No More Ransom, abbiamo aiutato a recuperare i dati crittografati da 32 famiglie di ransomware e impedito la realizzazione di oltre 900 milioni di dollari di profitti illegali.

Costruire un dialogo a livello globale per costruire un ambiente ICT più stabile

Intervista ad Anastasiya Kazakova – Senior Public Affairs Manager, Kaspersky

A che punto è l’Europa nell’adozione di norme per la protezione di dati e privacy?

Possiamo affermare che L’Europa è uno dei mercati più maturi e avanzati in termini di regolamentazione della cybersecurity, protezione dei dati e privacy.

I vendor di cybersecurity seguono da vicino i dibattiti normativi e politici che riguardano l’Europa, per esempio il NIS 2.0, la proposta per l’EU CyberResilience Act o il Cybersecurity Act dell’inizio del 2007, che ha aperto la strada alla creazione dello European Cybersecurity Certification Scheme.

Inoltre, l’Unione Europea intende perseguire un transparency institutional framework e delle policy risk-based basate sull’evidenza, includendo il settore industriale, il mondo accademico e la società cibernetica.

Tutto ciò aiuta noi e gli operatori del settore a individuare le buone pratiche in atto ed esportarle nei mercati esteri, sia attraverso le consultazioni pubbliche o la presentazione di particolari progetti di legge, evidenziando come questi tipi di regolamenti possano essere d’aiuto anche in Europa.

 

Quali sono le ragioni che hanno spinto Kaspersky a occuparsi di cyber-diplomazia?

La ragione principale che ci spinge ad occuparci di cyber diplomazia è quella di voler raggiungere la stabilità nel cyberspace.

Durante la pandemia abbiamo assistito ad un’accelerazione della trasformazione digitale che oltre ad aver evidenziato i molti aspetti positivi che la tecnologia può offrire, ha messo in evidenza tutte le vulnerabilità presenti nelle aziende rendendole un obiettivo attraente per i criminali informatici. Abbiamo osservato, infatti, i loro tentativi di attacco a infrastrutture critiche e aziende in tutti i settori. Gli approcci adottati dai vari Paesi per rispondere a questi attacchi non sono mai armonizzati ma piuttosto molto frammentati. Ogni Paese stabilisce infatti cosa rientra nella definizione di infrastruttura critica in questa nuova realtà, come vada protetta, quali sono gli obblighi di sicurezza per gli operatori, il settore privato e il mercato in generale, cosi come quale standard sarà utilizzato – uno standard nazionale, internazionale o un nuovo standard – o se verranno sottoposti a valutazioni di conformità. Tutta questa frammentazione non permette di garantire una buona protezione.

Kaspersky è già impegnata in iniziative multi-stakeholder proprio per prevenire questa frammentazione. Ad esempio, il Geneva Dialogue promosso dal governo svizzero e implementato da DiploFoundation, che riunisce i principali attori dell’industria per discutere su come garantire la sicurezza dei prodotti industriali, e il Paris Call, che analizza le lacune della policy di sicurezza della supply chain e le attività da mettere in pratica per aumentare la sicurezza degli utenti finali. La strada da fare è ancora lunga e speriamo di vedere degli sviluppi interessanti.

 

 

Consigli