Il 47% degli addetti alla sicurezza informatica ha dichiarato di aver sofferto di burnout o di forte stress negli ultimi 12 mesi. Di questi, il 69% (contro il 65% del 2021) degli intervistati ha preso in considerazione l’idea di lasciare il proprio lavoro, anche se le organizzazioni si stanno comunque impegnando per contrastare il fenomeno: più di due terzi degli intervistati, infatti, ha dichiarato che il proprio datore di lavoro ha implementato programmi di benessere aziendale per affrontare il burnout. Questi sono alcuni dei dati raccolti nell’ottavo rapporto annuale Global Incident Response Threat Report di Wmware, pubblicato in occasione del Black Hat Usa 2022, che che analizza nel dettaglio le sfide che devono affrontare i team di sicurezza, dalla pandemia, al burnout dei professionisti, ai cyberattacchi a sfondo geopolitico.
Aumento dei cyberattacchi dall’invasione dell’Ucraina
Secondo i risultati dello studio, il 65% degli addetti alla sicurezza informatica afferma che i cyberattacchi sono aumentati dopo l’invasione dell’Ucraina da parte della Russia. Il rapporto, inoltre, fa luce sulle minacce emergenti, come deepfake e attacchi alle Api, con i criminali informatici che prendono di mira gli stessi incident responder.
“Per eludere i controlli di sicurezza, oggi i criminali informatici stanno introducendo nei loro metodi di attacco anche i deepfake“, ha dichiarato Rick McElroy, principal cybersecurity strategist di VMware. “Secondo il nostro report, due intervistati su tre hanno rilevato l’utilizzo di deepfake dannosi come parte di un attacco, con un aumento del 13% rispetto allo scorso anno e l’e-mail a rappresentare il metodo di trasmissione più comune. Oggi i criminali informatici non si limitano più a utilizzare video e audio manipolati nelle campagne di disinformazione o nelle influence operations. Il loro nuovo obiettivo è sfruttare la tecnologia deepfake per ottenere l’accesso e compromettere le organizzazioni”.
Altri risultati chiave del rapporto fanno luce sul predominio degli attacchi ransomware, spesso sorretto e amplificato dalle collaborazioni dei gruppi di criminalità informatica sul dark web. Il 57% degli intervistati si è imbattuto in attacchi di questo tipo negli ultimi 12 mesi, e due terzi (66%) hanno riscontrato la presenza di programmi di affiliazione e/o partnership tra gruppi di ransomware, con i principali cartelli informatici che continuano a estorcere denaro alle organizzazioni attraverso tecniche di doppia estorsione, aste di dati e ricatti.
I “movimenti laterali” degli hacker
Con la proliferazione dei carichi di lavoro e delle applicazioni, inoltre, il 23% degli attacchi compromette la sicurezza delle Api. I principali tipi di attacchi alle Api includono l’esposizione dei dati (42% degli intervistati nell’ultimo anno), gli attacchi Sql e Api injection (rispettivamente 37% e 34%) e gli attacchi Denial-of-Service distribuiti (33%).
I cosiddetti “movimenti laterali” (una tecnica utilizzata dagli hacker per spostarsi progressivamente da un punto di ingresso compromesso al resto della rete mentre cercano dati sensibili o altre risorse di alto valore da sottrarre) sono stati rilevati nel 25% di tutti gli attacchi, con i criminali informatici che hanno utilizzato qualsiasi mezzo, da host di script (49%) e archiviazione di file (46%) a PowerShell (45%), a piattaforme di comunicazione aziendale (41%) e .net (39%) per sondare le reti. Un’analisi della telemetria all’interno di Wmware Contexta, un cloud di threat intelligence full-fidelity integrato nei prodotti di sicurezza VMware, ha rilevato che nei soli mesi di aprile e maggio 2022, quasi la metà delle intrusioni conteneva un evento di movimento laterale.
Le risposte agli incidenti
“Per difendersi dalla progressiva estensione della superficie di attacco, i team di sicurezza hanno bisogno di un livello adeguato di visibilità su carichi di lavoro, dispositivi, utenti e reti per rilevare, proteggere e rispondere alle minacce informatiche”, ha dichiarato Chad Skipper, global security technologist di VMware. “Se i team di sicurezza prendono decisioni basate su dati incompleti e imprecisi, viene inibita loro anche la capacità di implementare una strategia di sicurezza granulare e i loro sforzi per rilevare e bloccare gli attacchi laterali sono ostacolati da un contesto limitato dei loro sistemi”.
Nonostante lo scenario attuale decisamente turbolento e le crescenti minacce descritte nel report, gli addetti alla risposta agli incidenti stanno reagendo: l’87% dichiara di essere in grado di interrompere le attività dei criminali informatici molto spesso (37%) o a volte (50%), e di farlo utilizzando anche nuove tecniche. Tre quarti degli intervistati (75%) dichiara infatti di utilizzare le patch virtuali come meccanismo di emergenza. In ogni caso, maggiore è la visibilità che i difensori hanno sull’attuale superficie di attacco, più saranno attrezzati per affrontare l’attuale panorama di minacce.