In occasione del Black Hat USA 2022, VMware, Inc. (NYSE: VMW) ha pubblicato l’ottavo rapporto annuale Global Incident Response Threat Report, che analizza nel dettaglio le sfide che devono affrontare i team di sicurezza, dalla pandemia, al burnout dei professionisti, ai cyberattacchi a sfondo geopolitico. Secondo i risultati dello studio, il 65% degli addetti alla sicurezza informatica afferma che i cyberattacchi sono aumentati dopo l’invasione dell’Ucraina da parte della Russia. Il rapporto, inoltre, fa luce sulle minacce emergenti, come deepfake e attacchi alle API, con i criminali informatici che prendono di mira gli stessi incident responder.
“Per eludere i controlli di sicurezza, oggi i criminali informatici stanno introducendo nei loro metodi di attacco anche i deepfake”, ha dichiarato Rick McElroy, principal cybersecurity strategist di VMware. “Secondo il nostro report, due intervistati su tre hanno rilevato l’utilizzo di deepfake dannosi come parte di un attacco, con un aumento del 13% rispetto allo scorso anno e l’e-mail a rappresentare il metodo di trasmissione più comune. Oggi i criminali informatici non si limitano più a utilizzare video e audio manipolati nelle campagne di disinformazione o nelle influence operations. Il loro nuovo obiettivo è sfruttare la tecnologia deepfake per ottenere l’accesso e compromettere le organizzazioni”.
Altri risultati chiave del rapporto includono:
- Il burnout dei professionisti della sicurezza rimane un problema critico. Il 47% degli addetti alla sicurezza ha dichiarato di aver sofferto di burnout o di forte stress negli ultimi 12 mesi (dato in leggero calo rispetto al 51% dello scorso anno). Di questi, il 69% (contro il 65% del 2021) degli intervistati ha preso in considerazione l’idea di lasciare il proprio lavoro. Le organizzazioni si stanno comunque impegnando per contrastare il fenomeno: più di due terzi degli intervistati ha dichiarato che il proprio datore di lavoro ha implementato programmi di benessere aziendale per affrontare il burnout.
- Gli attori ransomware oggi incorporano strategie di estorsione informatica. Il predominio degli attacchi ransomware, spesso sorretto e amplificato dalle collaborazioni dei gruppi di criminalità informatica sul dark web, non si è ancora arrestato. Il 57% degli intervistati si è imbattuto in attacchi di questo tipo negli ultimi 12 mesi e due terzi (66%) hanno riscontrato la presenza di programmi di affiliazione e/o partnership tra gruppi di ransomware, con i principali cartelli informatici che continuano a estorcere denaro alle organizzazioni attraverso tecniche di doppia estorsione, aste di dati e ricatti.
- Le API sono il nuovo endpoint e rappresentano la prossima frontiera per gli aggressori. Con la proliferazione dei carichi di lavoro e delle applicazioni, il 23% degli attacchi compromette la sicurezza delle API. I principali tipi di attacchi alle API includono l’esposizione dei dati (42% degli intervistati nell’ultimo anno), gli attacchi SQL e API injection (rispettivamente 37% e 34%) e gli attacchi Denial-of-Service distribuiti (33%).
- I movimenti laterali sono il nuovo campo di battaglia. Sono stati rilevati nel 25% di tutti gli attacchi, con i criminali informatici che hanno utilizzato qualsiasi mezzo, da host di script (49%) e archiviazione di file (46%) a PowerShell (45%), piattaforme di comunicazione aziendale (41%) e .NET (39%) per sondare le reti. Un’analisi della telemetria all’interno di VMware Contexa, un cloud di threat intelligence full-fidelity integrato nei prodotti di sicurezza VMware, ha rilevato che nei soli mesi di aprile e maggio 2022, quasi la metà delle intrusioni conteneva un evento di movimento laterale.
“Per difendersi dalla progressiva estensione della superficie di attacco, i team di sicurezza hanno bisogno di un livello adeguato di visibilità su carichi di lavoro, dispositivi, utenti e reti per rilevare, proteggere e rispondere alle minacce informatiche”, ha dichiarato Chad Skipper, global security technologist di VMware. “Se i team di sicurezza prendono decisioni basate su dati incompleti e imprecisi, viene inibita loro anche la capacità di implementare una strategia di sicurezza granulare e i loro sforzi per rilevare e bloccare gli attacchi laterali sono ostacolati da un contesto limitato dei loro sistemi”.
Nonostante lo scenario attuale decisamente turbolento e le crescenti minacce descritte nel report, gli addetti alla risposta agli incidenti stanno reagendo: l’87% dichiara di essere in grado di interrompere le attività dei criminali informatici molto spesso (37%) o a volte (50%), e di farlo utilizzando anche nuove tecniche. Tre quarti degli intervistati (75%) dichiara infatti di utilizzare le patch virtuali come meccanismo di emergenza. In ogni caso, maggiore è la visibilità che i difensori hanno sull’attuale superficie di attacco, più saranno attrezzati per affrontare l’attuale panorama di minacce.
Per ulteriori informazioni sull’evoluzione del panorama delle minacce e per avere raccomandazioni e consigli attuabili per i team di sicurezza, è possibile scaricare il rapporto completo qui.
Metodologia
VMware ha condotto un sondaggio online sulle tendenze attuali del panorama delle minacce emergenti e della risposta agli incidenti nel giugno 2022. Al sondaggio hanno partecipato 125 professionisti della cybersecurity e dell’incident response di tutto il mondo. Le percentuali di alcune domande superano il 100% dal momento che agli intervistati è stato chiesto di selezionare tutte le domande. Le percentuali di tutte le domande potrebbero non raggiungere il 100% a causa degli arrotondamenti. Per accedere al report dello scorso anno, visita il link Global Incident Response Threat Report: Manipulating Reality.
