Nel contesto in continua evoluzione della security aziendale, si apre un nuovo anno che introduce una varietà molto dinamica di minacce emergenti. Con la "stagione delle previsioni" in pieno svolgimento, è fondamentale riflettere sul panorama della sicurezza informatica nel 2023. L'anno appena passato è stato caratterizzato da importanti sviluppi, con l'avvento di rigorose normative informatiche e la convergenza tra IA generativa, ingegneria sociale e ransomware.

Ripercorriamo insieme il 2023 analizzando cinque tendenze e minacce prominenti che hanno plasmato il panorama delle minacce informatiche e che sono destinate ad avere un impatto su tutte le aziende nel 2024.

Ripercorriamo il 2023: le tendenze e le minacce informatiche

L'evoluzione e la rivoluzione dell'IA generativa

Il 2023 sarà ricordato come l'anno in cui l'intelligenza artificiale (IA) ha conquistato l'attenzione pubblica, inaugurando opportunità e generando rischi mai visti prima. Il rilascio di applicazioni basate sull'IA generativa, come ChatGPT, evidenzia il potenziale dell'IA e del machine learning (ML) nel rivoluzionare il modo di operare delle organizzazioni. A settembre, il team Zscaler ThreatLabz ha condotto un'analisi su IA/ML e sulle tendenze legate a ChatGPT tra le imprese nel corso del 2023, e il risultato è stata l'individuazione di traiettorie ascendenti nel traffico e nell'utilizzo di queste tecnologie.

Tuttavia, questa adozione ha anche altre implicazioni: gli aggressori sfruttano gli strumenti di IA per potenziare e automatizzare le campagne di phishing, creare malware estremamente elusivi e ridurre i tempi di sviluppo delle minacce su tutta la linea. I responsabili della sicurezza e i leader delle imprese si trovano di fronte a un nuovo bivio; da un lato, hanno il compito di gestire con delicatezza i vantaggi ottenibili grazie ai progressi dell'IA, e dall'altro di affrontare i problemi derivanti dalla tutela contro le minacce basate su questa tecnologia.

I ransomware dilagano, ancora una volta

L'impatto pervasivo dei ransomware ha avuto ampia risonanza nel corso del 2023. Una ricerca condotta da ThreatLabz ha rivelato un aumento del 37% degli attacchi ransomware, accompagnato da una richiesta media di riscatto alle aziende pari a 5,3 milioni di dollari e un pagamento medio superiore 100.000 dollari. Il 2023 ha visto inoltre l'ascesa del Ransomware as a Service (RaaS, o ransomware come servizio), un modello di business in cui gli autori o i gruppi di ransomware vendono o affittano i propri servizi sul dark web. Il gruppo della famiglia di ransomware BlackCat, o ALPHV, ha contribuito significativamente a questa preoccupante tendenza, e ad esso sono stati attribuiti molteplici attacchi di alto profilo lanciati contro i casinò.

Nel 2023 sono diventati molto più sofisticati anche i gruppi di ransomware, e ThreatLabz ha osservato un incremento degli attacchi di estorsione senza crittografia. L'assenza della crittografia consente agli aggressori di eliminare i cicli di sviluppo e il supporto della decifrazione e di esfiltrare silenziosamente i dati prima di presentare le richieste di riscatto.

L'attacco 0-day del ransomware Clop allo strumento di trasferimento file MOVEit ha rappresentato il più grande furto di dati del 2023, colpendo 83 milioni di individui e quasi 3.000 organizzazioni. Questa operazione di hacking è servita a ricordare chiaramente che la catena di approvvigionamento rimane una vulnerabilità critica nella sicurezza aziendale.

Ingegneria sociale sempre più sofisticata

Se in passato gli attacchi di ingegneria sociale erano volti a sfruttare le vulnerabilità umane, oggi, con la diffusione dell'IA, questi attacchi sono diventati molto più pericolosi. L'IA ha infatti migliorato la sofisticatezza e l'efficacia delle comuni tattiche di ingegneria sociale, come le truffe di phishing e lo smishing; in particolare, nel 2023 c'è stata una virata verso gli attacchi di vishing (phishing vocale). L'uso delle comunicazioni vocali per ingannare le vittime è risultato particolarmente efficace per ScatteredSpider, la versione affiliata di BlackCat, a danno dell'industria del gaming. Data la natura in costante evoluzione degli attacchi basati sull'ingegneria sociale a cui abbiamo assistito nel 2023, prevediamo che i team di rilevamento e difesa si troveranno di fronte a nuove sfide molto insidiose.

La caduta delle VPN e dei firewall

Le minacce informatiche e le tendenze del 2023 inviano un messaggio chiaro alle organizzazioni, che devono necessariamente rivoluzionare le proprie strategie di sicurezza per rimanere al passo con i tempi e adottare un'architettura zero trust. Le architetture legacy basate sul perimetro, come le reti private virtuali (VPN) e i firewall tradizionali, non solo estendono la superficie di attacco, ma aggravano anche le sfide per le organizzazioni, che si trovano ad affrontare minacce sempre più sofisticate e la crescente richiesta di utilizzare il cloud.

Nel 2023 si è registrato un aumento delle vulnerabilità delle VPN e quasi un' organizzazione su due ha riferito di aver subito attacchi diretti alle VPN.

Con il 92% delle organizzazioni che sta considerando un approccio zero trust, lo sta già implementando o ha in programma di farlo, il fatto che lo zero trust sia diventato una priorità nel 2023 è un segnale incoraggiante.

Strumenti aziendali sotto attacco

Nel 2023 gli autori, i gruppi e le famiglie di minacce hanno preso di mira i principali fornitori di strumenti per le aziende. Questi incidenti evidenziano la crescente vulnerabilità di una catena di approvvigionamento digitale più estesa e la natura interconnessa degli strumenti aziendali cruciali per le operazioni quotidiane. Indipendentemente dal movente, che si tratti di motivazioni finanziarie, furto di credenziali preziose o persino interessi geopolitici nel caso degli attacchi lanciati dagli Stati nazionali, l'attenzione rivolta a questi strumenti sottolinea la necessità per le organizzazioni di estendere il proprio protocollo di sicurezza informatica al di là delle proprie mura aziendali. La soluzione? Un programma avanzato per la gestione del rischio generato dagli utenti terzi.

Previsioni per il 2024: IA, RaaS, MiTM (e molto altro)

Molte delle tendenze e delle minacce di maggior impatto dello scorso anno persisteranno, si evolveranno e plasmeranno il panorama della sicurezza aziendale nel 2024. Esploriamo cinque previsioni che dovrebbero essere considerazioni prioritarie per le organizzazioni e i responsabili della sicurezza.

Previsione n. 1: gli attacchi alimentati dall'IA generativa

La ricognizione, lo sfruttamento e gli attacchi di phishing basati sull'IA generativa aumenteranno di volume. Ci sono buone ragioni per ritenere che l'IA sarà anche quest'anno in cima alla lista delle previsioni degli esperti di sicurezza. Dal momento che contribuiscono anche a ridurre le competenze necessarie per creare nuove minacce, gli strumenti di GenAI e i Large Language Models (LLM) rappresenteranno le sfide del 2024. L'IA consente infatti agli hacker di automatizzare diverse attività su larga scala, dall'identificazione delle risorse esposte, come firewall, VPN e VDI, alla compilazione semplificata di elenchi di vulnerabilità note o alla creazione di sofisticate e-mail di phishing.

Il livello di scalabilità consentito dall'automazione offerta dell'IA continuerà senza dubbio ad aumentare l'efficienza e la portata delle attività dannose durante quest'anno. Le segnalazioni di versioni dannose di ChatGPT circolate nel dark web nel 2023, come WormGPT, indicano due tendenze preoccupanti: il potenziale sviluppo di nuovi LLM dannosi senza alcun vincolo etico, e l'emergere del loro utilizzo nelle campagne di minacce. Dal suggerimento di idee di attacco all'automazione dei processi di sviluppo ed esecuzione, questi strumenti di IA hanno il potenziale per far avanzare drasticamente le minacce informatiche nel giro di pochi mesi.

Il 2024 è un anno di elezioni per gli Stati Uniti, ed è quindi imperativo garantire la resilienza delle infrastrutture critiche contro la disinformazione causata dall'IA e altri attacchi elusivi.

Le organizzazioni di ogni tipo dovranno essere più vigili e adottare misure di sicurezza proattive, da una formazione aggiornata dei dipendenti in tema di sicurezza, che tenga conto dell'ingegneria sociale e delle minacce specifiche dell'IA, alle richieste ai fornitori affinché offrano servizi di sicurezza informatica basati sull'IA. Dobbiamo combattere il fuoco con il fuoco e utilizzare tecniche di IA generativa, machine learning e deep learning per proteggere dati, dispositivi e reti dalle minacce basate sull'IA.

Previsione n. 2: l'innovazione dei ransomware come servizio

Il ransomware come servizio continuerà a evolversi e a incrementare il volume degli attacchi riusciti. Nel 2024, il modello RaaS alimenterà ulteriormente la crescita della criminalità informatica e darà potere ai gruppi criminali meno abili. Inoltre, dobbiamo prevedere una nuova ondata e una crescente prevalenza di broker dell'accesso iniziale simili a Scattered Spider e specializzati nel fornire l'accesso non autorizzato alle reti target. Gli attacchi senza crittografia continueranno a essere una tattica strategica molto popolare utilizzata dagli operatori dei ransomware per eludere il rilevamento; questo imporrà alle organizzazioni di concentrarsi sul rilevamento delle attività anomale, spingendosi oltre l'individuazione dei modelli tipici associati ai ransomware basati sulla crittografia.

Nell'affrontare le minacce e le tendenze in evoluzione dei ransomware, le organizzazioni devono dare priorità a strategie di protezione zero trust complete che coprano ogni fase della catena di attacco, dalla compromissione iniziale all'esecuzione.

Previsione n. 3: l'incremento degli attacchi di tipo man-in-the-middle

La mancata implementazione di un'architettura zero trust comporterà un aumento degli attacchi di tipo Man in the Middle (MiTM). Le minacce MiTM continueranno a rappresentare una preoccupazione significativa nel corso del 2024, che sarà ulteriormente aggravata dai toolkit di Phishing as a Service; questi kit di strumenti renderanno accessibili gli attacchi MiTM più sofisticati a una gamma molto più ampia di utenti malintenzionati. Si tratta di una tattica che colpisce gli utenti di un server o di un sistema specifico e acquisisce i dati in transito, come credenziali di autenticazione o cookie, imitando i servizi online tramite server proxy.

I rischi associati agli attacchi di phishing MiTM (accesso non autorizzato, furto dei dati e compromissione delle informazioni critiche) richiedono lo zero trust e misure di sicurezza avanzate. Senza un'architettura zero trust basata su proxy, un'ispezione TLS completa e un'autenticazione a più fattori (MFA) FIDO2, le organizzazioni rimarranno esposte alle vulnerabilità presenti nei canali di comunicazione e nell'autenticazione degli utenti. Nel 2024 sarà dunque imperativo dare priorità a queste misure di sicurezza.

Previsione n. 4: gli attacchi alla catena di approvvigionamento sugli ecosistemi e gli ambienti di sviluppo basati sull'IA generativa

Gli attacchi alla catena di approvvigionamento prenderanno di mira gli ecosistemi vulnerabili dell'IA generativa. Con la sempre maggiore interconnessione delle catene di approvvigionamento e attacchi sempre più sofisticati, tutta la supply chain sarà sottoposta a maggiori rischi.

Gli aggressori adotteranno nuovi metodi per sfruttare strategicamente i punti deboli di vari componenti spingendosi oltre i tradizionali vettori di attacco. Con le organizzazioni che integreranno sempre più componenti IA nelle loro catene di approvvigionamento, gli LLM e l'IA faranno sempre più parte delle considerazioni sulla sicurezza associate alla fornitura. Senza un'adeguata protezione, una catena di approvvigionamento basata sull'IA può diventare un bersaglio degli aggressori, i quali cercano di compromettere i dati di training dell'IA, manipolare gli aggiornamenti, inserire algoritmi dannosi, eseguire attività di prompt engineering o sfruttare le vulnerabilità come punto di ingresso per compromettere i dati o i sistemi delle organizzazioni.

Le organizzazioni devono riconoscere l'importanza della sicurezza della catena di approvvigionamento nel garantire la continuità aziendale e la resilienza complessiva e dare la priorità agli investimenti per tutelarsi dalle conseguenze di una compromissione. L'eliminazione della superficie di attacco rivolta a Internet sarà fondamentale, e l'implementazione di controlli di sicurezza zero trust per fermare il movimento laterale e le attività di comando e controllo sarà determinante per raggiungere questo scopo. In breve, le imprese devono adottare un approccio olistico per tutelare non solo le applicazioni IA interne, ma anche quelle dei fornitori.

Previsione n. 5: gli aggressori risponderanno alle normative della SEC

Gli attacchi si evolveranno in risposta alle normative informatiche imposte dalla Securities and Exchange Commission (SEC) degli Stati Uniti. Anticipando l'impatto delle nuove normative della SEC, che impongono la divulgazione delle violazioni sostanziali, è probabile che gli aggressori affineranno ulteriormente i loro già avanzati metodi furtivi. Ci sarà da aspettarsi una maggiore attenzione alle strategie elusive, con la messa in atto di sofisticate tecniche di elusione e cifratura per prolungare l'accesso non rilevato. Inoltre, gli aggressori tenderanno a prendere di mira con maggiore frequenza i sistemi non materiali, per navigare senza essere osservati, raccogliere informazioni e accrescere con discrezione i propri privilegi. Nel tentativo di eludere gli obblighi di divulgazione immediata, potremmo assistere a un aumento dello sfruttamento delle vulnerabilità di terze parti e della catena di approvvigionamento. In considerazione di tutto questo, con gli aggressori che si adatteranno alle nuove normative, il futuro panorama delle minacce potrebbe dettare uno spostamento verso approcci ancora più strategici e discreti.

Le normative informatiche della SEC determineranno cambiamenti strategici anche nei team di sicurezza. Nel 2024, gli obblighi per la segnalazione tempestiva degli incidenti materiali e i report annuali sulla gestione del rischio informatico porteranno a maggiore collaborazione interfunzionale. Come si prepareranno le organizzazioni alla procedura di reportistica? Dispongono già di una difesa e una governance della sicurezza sufficientemente avanzate? Queste domande, e le relative implicazioni legali, porteranno necessariamente all'allineamento dell'ambito informatico con quello aziendale. Per molte aziende, questo significa che i CISO e i responsabili della sicurezza lavoreranno più che mai a stretto contatto con i CEO, i team legali e i consigli di amministrazione per sviluppare processi di trasparenza e rafforzare il profilo di sicurezza della propria organizzazione.

Con il nuovo anno, i team di sicurezza avranno molto da fare. Dando la priorità a investimenti destinati a un'architettura zero trust, controlli di sicurezza basati sull'IA, formazione dei dipendenti e pianificazione strategica, sarà possibile massimizzare la resilienza e proteggersi al meglio dalle minacce in evoluzione. Zscaler Zero Trust Exchange contrasta gli attacchi avanzati attraverso l'ispezione TLS/SSL, l'isolamento del browser e i controlli degli accessi basati su policy, blocca il movimento laterale con connessioni dirette da utente ad app e previene la perdita di dati con l'ispezione approfondita. Richiedi una dimostrazione personalizzata per scoprire il modo in cui Zscaler può aiutarti a soddisfare le esigenze di sicurezza della tua organizzazione.

Segui Zscaler ThreatLabz su X (Twitter) e consulta il nostro blog di ricerca sulla sicurezza, per non perdere gli ultimi aggiornamenti sulle minacce informatiche e sulle ricerche sulla sicurezza. Il team di ricerca sulle minacce Zscaler ThreatLabz monitora costantemente l'intelligence sulle minacce proveniente dal più grande security cloud inline del mondo e condivide i suoi risultati con la più estesa community di sicurezza.