La riflessione che ci consegna uno studio dell’Ibm appena pubblicato, lo X-Force Threat Intelligence Index evidenzia come ransomware ed exploit (le tecniche che sfruttano falle e difetti del software) abbiano insieme “imprigionato” le imprese gravando sulle catene di approvvigionamento globali in aggiunta ai problemi causati dalla pandemia. Ma se il phishing è stata la causa più comune dei cyberattacchi nell’ultimo anno, X-Force ha osservato un aumento del 33% negli attacchi causati dallo sfruttamento di vulnerabilità dei software non aggiornati: è questo il punto di ingresso preferito dai cybercriminali, causa del 44% degli attacchi ransomware nel 2021. Con gli attacchi ransomware gli aggressori hanno scommesso sull’effetto a catena che l’interruzione delle attività di imprese manifatturiere avrebbe causato agli approvvigionamenti a valle, spingendole a pagare il riscatto. Questo allarmante 47% degli attacchi al settore manifatturiero è stato causato da vulnerabilità che le organizzazioni vittime non avevano ancora corretto, o non potevano correggere, con patch di aggiornamento, le “toppe” informatiche, evidenziando la necessità di gestire prontamente le vulnerabilità del software.
Eppure sembrava che avessimo imparato dal mega attacco di Wannacry che nel 2017 aveva bloccato 300mila computer e l’intera Sanità inglese per una vulnerabilità Microsoft di cui l’azienda di Redmond aveva rilasciato le correzioni mesi prima. I dati analizzati da Ibm – attingendo da miliardi di datapoint che spaziano dalla rete ai dispositivi di endpoint detection, dai casi di risposta agli incidenti, al tracciamento dei kit di phishing e altro – compresi i dati forniti da Intezer permettono di individuare i tre punti problematici dello scenario considerato:
- Il Ransomware: rimane il principale metodo di attacco osservato nel 2021, con gruppi ransomware duraturi – rimangono in azione per circa 17 mesi in media – e che sono capaci di sopravvivere agli sforzi di smantellamento da parte delle autorità.
- Il Patching: X-Force rivela che per le aziende in Europa, Asia e Medio Oriente/Africa, le vulnerabilità non corrette da patch hanno causato circa il 50% degli attacchi nel 2021, evidenziando il maggior “vizio” delle aziende.
- Il Cloud: lo studio rivela un aumento del 146% di nuovo codice ransomware Linux e uno spostamento del target di attacco verso Docker, rendendo potenzialmente più facile per i cybercriminali fare leva sugli ambienti cloud per scopi malevoli.
Secondo Francesco Teodonno, Cybersecurity Leader IBM Italia, che ha commentato con noi questi dati, l’industria manifatturiera italiana deve imparare a gestire meglio gli attacchi di tipo supply chain per un motivo semplice e banale: “Più digitalizziamo le imprese più aumenteranno le aggressioni cybercriminali. Ad esempio – dice – il Cloud viene attaccato perché aumentano i volumi di traffico che viaggiano sul cloud, ed è come il ladro che agisce in metropolitana dove c’è un maggior numero di potenziali bersagli”.
Il problema della digitalizzazione a tappe forzate è in definitiva il problema della protezione di tanti punti di ingresso, non solo degli endpoint e dei server “Ma c’è anche dell’Internet of Things che aumenta la vulnerabilità complessiva del sistema industriale”, dice. Teodonno, potrebbe essere che finora ci siamo concentrati su modelli di difesa inadeguati? “I modelli di difesa vanno rivisti con l’approccio zero-trust, abbiamo ancora una security gestita a silos, però oggi i sistemi di attacco sono tanto sofisticati che bisogna avere una vista integrata per capire cosa sta succedendo realmente. Giusto costruire un modello di difesa aziendale a comparti, ma poi ci vuole una regia unica per tutta l’azienda”.
Quali sono i problemi oggettivi, se ci sono? “Il budget sicuramente, la corretta gestione del software open source, il riutilizzo di piattaforme esistenti, e la difficoltà di individuare indicatori di compromissione (IoC) specifici, ma anche quello di formare competenze che devono avere l’obbiettivo di gestire i silos e di creare quella vista integrata”. Ce lo spieghi meglio, per favore: “Quando lavori con aziende che hanno cinquanta software diversi la sfida è l’integrazione. In Ibm stiamo lavorando quindi nella direzione della semplificazione e dell’integrazione, con l’acquisizione di RedHat e con il Cloud Pak for security che è una piattaforma di integrazione dove facciamo girare software Ibm e software non Ibm e che permette di creare un processo di sicurezza personalizzato sull’azienda ottimizzando gli asset disponibili”. E l’intelligenza artificiale? Non può aiutare nella prevenzione? “Cloud Pak ha dentro Watson for security, la ‘mente artificiale’ basata su algoritmi avanzati che aiutano i nostri ingegneri a distinguere le minacce reali da quelle che non lo sono”.
Parliamo della forza lavoro, qui c’è un problema culturale, quello degli skill disponibili, la banalizzazione delle competenze, e qualche volta le paghe insufficienti. Ma è vero che le aziende si rubano quelli bravi a vicenda? “Forse, purtroppo anche se la cyber è diventata un tema da Ceo, in termini di budget stiamo sempre bassi. Se facciamo un confronto con altri paesi vediamo che da noi anche quelli bravi vengono pagati il 30-40-50% in meno che all’estero”. Ma aggiunge. “È anche vero che per vincere le gare bisogna restare su valori di mercato che rispettano con difficoltà le skills che servono per davvero”. Insomma è il mercato che fa il prezzo. “Però non bisogna dimenticare che comunque il livello di skill è ancora basso, come nel caso di chi si occupa di OT security (le tecnologie operative per monitorare e controllare processi fisici, dispositivi e infrastrutture, nda)”. I soldi arriveranno, forse, andranno spesi bene legando il tema della digitalizzazione col tema della sicurezza, è d’accordo? “L’obbiettivo è avere delle infrastrutture resilienti. In Italia non abbiamo nulla da invidiare a nessuno su come si gestisce la cyber, ma è vero che siamo indietro sugli investimenti”. La scommessa allora, tanto per cominciare, sarà usare bene i pochi soldi del Pnrr allocati sulla cybersecurity.