La cybersecurity si è evoluta molto negli ultimi anni, sia dal punto di vista della tipologia, sia della complessità degli attacchi.
Se prima erano basati su network e connettività, ora tendono a basarsi su minacce malware. Un cambiamento basato sulle differenti motivazioni di chi compie l’attacco che ora è interessato a trarre il massimo profitto, e il malware è un oggetto che consente di automatizzare molti passaggi di un attacco che altrimenti dovrebbero essere attuati manualmente e che può consentire una più rapida ed efficace massimizzazione del profitto.
Parallelamente, gli attacchi sono divenuti più complessi, introducendo anche capacità di evasione. All’inizio l’attacco informatico, semplice o composto, non aveva coscienza di dove fosse in azione, ora ha assunto uno stato di consapevolezza. Infatti, oggi l’attacco, sia che sia stato perpetrato tramite malware o tramite tecnologia manuale, possiede una consapevolezza creata per cercare di eludere e bypassare i sistemi di sicurezza che sono posti a protezione dell’organizzazione.
In generale, le minacce possono ricondursi a due categorie principali: opportunistiche o mirate. Le prime creano un danno immediato relativamente basso dal punto di vista economico che però è immediatamente percepibile. Si tratta di minacce generiche, che non sono specificamente indirizzate a un’organizzazione o un individuo, ma sono, nel caso di un ransomware, create nel modo più smart, intelligente ed elusivo possibile, con l’obiettivo raggiungere quante più organizzazioni o persone possibili, con l’obiettivo di ottenere il massimo guadagno. Le minacce ‘targeted’, o mirate, sono invece dirette a una specifica organizzazione o individuo, e in questo caso si tratta di minacce che non creano un problema nell’immediato, ma arrecano un danno molto più importante nel lungo periodo e sono molto più difficili da individuare. Raramente hanno come obiettivo la modifica, la manipolazione o la distruzione dei dati; di solito mirano all’esfiltrazione di dati o informazioni e cercano di mantenere la persistenza. Di solito chi compie un attacco mirato intende spiare l’avversario (e nella storia abbiamo vari esempi: stuxnet, duku, flame 2) e, proprio per persistere nel tempo utilizza tecniche atte a mantenere la minaccia silenziosa e nascosta per il maggior tempo possibile.
Per combattere queste minacce occorre innanzitutto essere pronti al fatto che le difese possono essere evase, e agire sul fronte della mitigazione. Non esiste la sicurezza al 100%, ma oggi ci si può avvicinare il più possibile affidandosi ai servizi gestiti. Questo principalmente perché chi è attaccato è un essere umano e anche chi attua l’attacco è un essere umano, non una macchina, e l’unico processo che può funzionare è un processo gestito da un essere umano. Intelligenza artificiale o machine learning sono componenti che si inseriscono in questo processo per supportare il lavoro e le competenze degli analisti.
“Defence belongs to Humans”. Questo il credo che guida l’approccio alla sicurezza di Yoroi, azienda italiana fondata da Marco Ramilli, che fornisce servizi gestiti di sicurezza attraverso un approccio innovativo, che unisce intelligenza tecnologica e umana. Il Defence Center è la piattaforma tecnologica di Yoroi che protegge i clienti dell’azienda dagli attacchi informatici, mentre un team di specialisti effettua un’analisi costante delle minacce per mettere in campo contromisure tempestive e identificare nuove potenziali modalità di attacco. Yoroi ha sede a Bologna e Cesena ed è stata definita da Hakin9.org come una delle più straordinarie aziende create in Europa. www.yoroi.company
