Nel panorama in continua evoluzione della sicurezza informatica, i difensori si troveranno ad affrontare un altro anno di sfide. Gli attori delle minacce continuano a perfezionare le loro tattiche, tecniche e procedure (TTP), dimostrando adattabilità e rapidità nell’iterazione di catene di attacco nuove e complesse. Al centro di questa evoluzione c’è un cambiamento cruciale: i cybercriminali ora privilegiano l’identità rispetto alla tecnologia. Anche se le TTP specifiche e le tecnologie prese di mira possono cambiare, una costante rimane: gli esseri umani e le loro identità sono gli anelli più colpiti della catena di attacco.
I recenti casi di attacchi alla supply chain sono un esempio calzante di questo cambiamento, mostrando come gli avversari si siano spostati dallo sfruttamento delle vulnerabilità del software a quelle umane attraverso social engineering e phishing. In particolare, l’uso innovativo dell’intelligenza artificiale generativa, e soprattutto la sua capacità di migliorare le email di phishing, esemplifica il passaggio alla manipolazione del comportamento umano e non allo sfruttamento delle debolezze tecnologiche.
Riflettendo sul 2023 appena trascorso, appare evidente che gli attori delle minacce alla sicurezza possiedano capacità e risorse per adattare le loro tattiche in risposta all’aumento delle misure di sicurezza come l’autenticazione multi-fattore (MFA). Guardando a questo anno, la tendenza suggerisce che le minacce continueranno a ruotare intorno all’ individuo, costringendo i difensori ad adottare un approccio diverso per interrompere la catena di attacco.
Quindi, cosa porterà il futuro?
In Proofpoint abbiamo elaborato alcune previsioni per per la sicurezza informatica per i prossimi 12 mesi, cercando di mettere in luce ciò che i team di sicurezza potrebbero affrontare e le implicazioni conseguenti.
1. Furti digitali: i casinò sono solo la punta dell’iceberg
I criminali informatici stanno prendendo sempre più di mira i componenti della supply chain digitale, con particolare attenzione ai fornitori di sicurezza e identità. Tattiche aggressive di social engineering, comprese le campagne di phishing, sono sempre più diffuse. Il gruppo Scattered Spider, responsabile degli attacchi ransomware ai casinò di Las Vegas, ha mostrato quanto possano essere sofisticate. Il phishing dei dipendenti dell’help desk per ottenere le credenziali di accesso e l’aggiramento dell’MFA tramite codici OTP (one-time password) stanno diventando pratiche standard. Queste tattiche si sono estese agli attacchi alla supply chain, compromettendo gli identity provider (IDP) per accedere a preziose informazioni sui clienti. Per il 2024 si prevedono la replica e l’adozione diffusa di queste tattiche aggressive di social engineering, ampliando la portata dei tentativi di compromissione iniziale al di là dei tradizionali dispositivi edge e di trasferimento di file.
2. Generative AI: un’arma a doppio taglio
La crescita esplosiva di tool di intelligenza artificiale generativa come ChatGPT, FraudGPT e WormGPT porta con sé promesse e pericoli, ma non ci saranno catastrofi per quanto riguarda la sicurezza informatica. Se i modelli linguistici di grandi dimensioni hanno conquistato la scena, il timore di un uso improprio ha spinto il presidente degli Stati Uniti a emettere un ordine esecutivo nell’ottobre del 2023. Al momento, gli attori delle minacce stanno ottenendo ritorni economici con altre attività. Perché preoccuparsi di reinventare il modello quando funziona benissimo? Ma modificheranno le loro TTP quando il rilevamento inizierà a migliorare in quelle aree.
D’altro canto, un numero sempre maggiore di fornitori inizierà a inserire intelligenza artificiale e modelli linguistici di grandi dimensioni nei propri prodotti e processi per migliorare le offerte di sicurezza. In tutto il mondo, guardiani della privacy e clienti chiederanno alle aziende tecnologiche policy responsabili in materia di IA, e inizieremo a vedere la pubblicazione delle prime dichiarazioni sul tema. È lecito aspettarsi sia fallimenti spettacolari che policy di IA responsabile.
3. Mobile Device Phishing: la forte ascesa delle tattiche omni-canale
Una tendenza degna di nota per il 2023 è stata il rapido aumento del phishing su dispositivi mobili, con una minaccia che si ritiene aumenterà ancora di più il prossimo anno. Gli attori delle minacce stanno strategicamente reindirizzando le vittime verso interazioni mobili, sfruttando le vulnerabilità insite nelle relative piattaforme. L’abuso conversazionale, compreso lo smishing, ha registrato una crescita esponenziale. Le campagne multi-touch mirano ad attirare gli utenti dai desktop ai dispositivi mobili, utilizzando tattiche come i codici QR e le chiamate vocali fraudolente. Questo non solo rende gli attacchi di phishing più efficaci sui dispositivi mobili, ma complica anche il rilevamento da parte dei team di sicurezza aziendali.
4. Open-source e generative AI: la vita è più facile per gli sviluppatori di malware
Gli sviluppatori di malware stanno sfruttando strumenti open-source e intelligenza artificiale generativa, rendendo le tecniche di programmazione avanzate accessibili a un pubblico più ampio. Di conseguenza, il malware in grado di eludere sandbox e strumenti di rilevamento e risposta degli endpoint (EDR) sta diventando sempre più diffuso. L’accessibilità di software gratuiti e open-source, come SysWhispers facilita l’integrazione di capacità avanzate di elusione del rilevamento in vari progetti di malware. Questa democratizzazione abbassa la barriera d’ingresso per gli sviluppatori meno esperti, contribuendo alla proliferazione di sofisticate famiglie di malware.
5. Violazioni incentrate sull’identità: il tallone di Achille
Gli attacchi basati sull’identità domineranno le violazioni, sfruttando vulnerabilità radicate nel comportamento umano e oscurate da una visibilità limitata. La convinzione tradizionale che gli attaccanti puntino su vulnerabilità ed esposizioni comuni (CVE) sta perdendo importanza, tanto che sarà l’identità a rappresentare la nuova vulnerabilità. Le aziende devono spostare l’attenzione dalla fortificazione dell’infrastruttura alla protezione delle credenziali archiviate, dei cookie di sessione, delle chiavi di accesso e alla risoluzione delle configurazioni errate, in particolare quando si tratta di account privilegiati (che ora includono anche gli IDP). L’anello umano nella catena di attacco richiede difese rapide e innovative.
In conclusione, il 2024 metterà i difensori di fronte a una sfida formidabile, poiché gli attori delle minacce affinano le loro strategie per sfruttare l’elemento umano. Per contrastare queste minacce in evoluzione, dovranno adottare strategie proattive e adattive, riconoscendo che il fattore umano rimane un anello critico nella catena della difesa IT. Se il campo di battaglia si trasforma, una difesa resiliente che affronti le sfide multiformi degli attacchi basati sull’identità, le minacce generative guidate dall’intelligenza artificiale e il phishing da dispositivi mobili è essenziale per proteggere la frontiera digitale e creare una maggiore attenzione alla rottura della catena di attacco.
A cura di Patrick Joyce, Global Resident Chief Information Security Officer (CISO) presso Proofpoint
