In occasione del Black Hat USA 2022, VMware, Inc. (NYSE: VMW) ha pubblicato l’ottavo rapporto annuale Global Incident Response Threat Report, che analizza in profondità le sfide affrontate dai team di sicurezza tra interruzioni pandemiche, burnout e attacchi informatici a sfondo geopolitico. Secondo i risultati del rapporto, il 65% dei difensori afferma che i cyberattacchi sono aumentati dopo l’invasione dell’Ucraina da parte della Russia. Il rapporto fa luce anche sulle minacce emergenti, come i deepfakes, gli attacchi alle API e i criminali informatici che prendono di mira gli stessi incident responders.
“Quando i team di sicurezza prendono decisioni basate su dati incompleti e imprecisi, ciò inibisce la loro capacità di implementare una strategia di sicurezza granulare, mentre i loro sforzi per rilevare e fermare gli attacchi laterali sono ostacolati dal contesto limitato dei loro sistemi”.
“I criminali informatici stanno incorporando i deepfakes nei loro metodi di attacco per eludere i controlli di sicurezza”, ha dichiarato Rick McElroy, principal cybersecurity strategist di VMware. Due intervistati su tre nel nostro report hanno visto l’utilizzo di deepfake dannosi come parte di un attacco, con un aumento del 13% rispetto allo scorso anno, e l’e-mail come metodo di consegna principale”. I criminali informatici sono andati oltre l’utilizzo di video e audio sintetici semplicemente per operazioni di influenza o campagne di disinformazione. Il loro nuovo obiettivo è utilizzare la tecnologia deepfake per compromettere le organizzazioni e ottenere l’accesso al loro ambiente”.
Altri risultati chiave del rapporto sono:
- Il burnout dei cyber-professionisti rimane un problema critico. Il 47% dei rispondenti agli incidenti ha dichiarato di aver sofferto di burnout o di stress estremo negli ultimi 12 mesi, in leggero calo rispetto al 51% dello scorso anno. Di questo gruppo, il 69% (contro il 65% del 2021) degli intervistati ha preso in considerazione l’idea di lasciare il proprio lavoro come conseguenza. Tuttavia, le organizzazioni si stanno impegnando per contrastare questo fenomeno: più di due terzi degli intervistati ha dichiarato che il proprio posto di lavoro ha implementato programmi di benessere per affrontare il burnout.
- Gli attori del ransomware incorporano strategie di estorsione informatica. La predominanza degli attacchi ransomware, spesso sostenuta dalle collaborazioni dei gruppi di criminalità elettronica sul dark web, non si è ancora arrestata. Il 57% degli intervistati si è imbattuto in attacchi di questo tipo negli ultimi 12 mesi e due terzi (66%) hanno riscontrato programmi di affiliazione e/o partnership tra gruppi di ransomware, dato che i principali cartelli informatici continuano a estorcere denaro alle organizzazioni attraverso tecniche di doppia estorsione, aste di dati e ricatti.
- Le API sono il nuovo endpoint e rappresentano la prossima frontiera per gli aggressori. Con la proliferazione dei carichi di lavoro e delle applicazioni, il 23% degli attacchi compromette la sicurezza delle API. I principali tipi di attacchi alle API includono l’esposizione dei dati (riscontrata dal 42% degli intervistati nell’ultimo anno), gli attacchi SQL e API injection (rispettivamente 37% e 34%) e gli attacchi Denial-of-Service distribuiti (33%).
- Il movimento laterale è il nuovo campo di battaglia. Il movimento laterale è stato riscontrato nel 25% di tutti gli attacchi, con i criminali informatici che hanno sfruttato qualsiasi cosa, dagli host di script (49%) e l’archiviazione di file (46%) a PowerShell (45%), piattaforme di comunicazione aziendale (41%) e .NET (39%) per rovistare all’interno delle reti. Un’analisi della telemetria all’interno di VMware Contexa, un cloud di threat intelligence full-fidelity integrato nei prodotti di sicurezza VMware, ha scoperto che nei soli mesi di aprile e maggio del 2022, quasi la metà delle intrusioni conteneva un evento di lateral movement.
- “Per difendersi dall’ampliamento della superficie di attacco, i team di sicurezza hanno bisogno di un livello adeguato di visibilità su carichi di lavoro, dispositivi, utenti e reti per rilevare, proteggere e rispondere alle minacce informatiche”, ha dichiarato Chad Skipper, global security technologist di VMware. “Quando i team di sicurezza prendono decisioni basate su dati incompleti e imprecisi, ciò inibisce la loro capacità di implementare una strategia di sicurezza granulare, mentre i loro sforzi per rilevare e bloccare gli attacchi laterali sono ostacolati dal contesto limitato dei loro sistemi”.
Nonostante il panorama turbolento e le crescenti minacce descritte nel rapporto, i risponditori agli incidenti stanno reagendo: l’87% dichiara di essere in grado di interrompere le attività di un criminale informatico a volte (50%) o molto spesso (37%). Per farlo, utilizzano anche nuove tecniche. Tre quarti degli intervistati (75%) affermano di utilizzare le patch virtuali come meccanismo di emergenza. In ogni caso, maggiore è la visibilità che i difensori hanno sull’attuale superficie di attacco, più saranno attrezzati per affrontare la tempesta.
