Gli attacchi criptati rimangono un problema significativo per i Paesi di tutto il mondo, con gli Stati Uniti, l’India e il Giappone che hanno registrato i maggiori aumenti di attacchi negli ultimi 12 mesi. Inoltre, il Sudafrica ha registrato un notevole aumento degli attacchi TLS/SSL rispetto al 2021. “Mentre le organizzazioni maturano le loro difese informatiche, gli avversari diventano sempre più sofisticati, in particolare nell’uso di tattiche evasive”, ha dichiarato Deepen Desai, CISO e VP Security Research and Operations di Zscaler.
“Le potenziali minacce continuano a nascondersi nel traffico criptato, favorite da modelli as-a-service che riducono drasticamente le barriere tecniche. È fondamentale che le aziende adottino un’architettura cloud-native zero trust che consenta di ispezionare in modo coerente tutto il traffico Internet e di mitigare efficacemente questi attacchi”, ha proseguito Desai.
Il malware è il re tra i criminali informatici
Sebbene i criminali informatici nascondano una varietà di tattiche di attacco nel traffico crittografato, il malware continua a essere il più diffuso. Gli script e i payload dannosi utilizzati durante la sequenza di attacco costituiscono quasi il 90% delle tattiche di attacco crittografato bloccate nel 2022. Questa categoria comprende il ransomware, che rimane una delle principali preoccupazioni dei CISO, dato che gli attacchi ransomware sono aumentati dell’80% rispetto all’anno precedente. Mentre le difese diventano più complesse, gli aggressori hanno continuato a evolvere le loro tecniche, creando nuove varianti di malware più difficili da individuare e in grado di aggirare le tecnologie basate sulla reputazione. Le famiglie di malware più diffuse che il team di Zscaler ThreatLabz ha osservato abusare dei canali criptati includono ChromeLoader, Gamaredon, AdLoad, SolarMarker e Manuscrypt.
I soliti sospetti lasciano spazio a un nuovo arrivato
I cinque Paesi più bersagliati dagli attacchi criptati sono Stati Uniti, India, Sudafrica, Regno Unito e Australia. Il Sudafrica è un nuovo arrivato nell’elenco, salito in cima alla classifica nel 2022 dopo aver scalzato la Francia dalla top-five del 2021. Anche il Giappone (613%), gli Stati Uniti (155%) e l’India (87%) hanno registrato un aumento significativo degli obiettivi rispetto all’anno precedente.
Il settore manifatturiero e quello dell’istruzione continuano a produrre il rischio maggiore
Non tutti i settori vengono presi di mira dagli attacchi criptati allo stesso ritmo, e le aziende che adottano soluzioni di sicurezza tradizionali cadono vittime più spesso di altre. Quest’anno, il settore manifatturiero ha registrato un aumento del 239% di questo tipo di attacchi, soppiantando la tecnologia come tipo di azienda più bersagliata nel 2022. Il settore manifatturiero rimane un bersaglio interessante per i criminali informatici a causa delle trasformazioni significative avvenute negli ultimi anni, tra cui l’adozione di nuove misure di sicurezza per gestire il COVID-19 e di infrastrutture e applicazioni per contrastare i problemi della catena di approvvigionamento. Tuttavia, l’adozione di nuove applicazioni, prodotti e servizi ha aumentato la superficie di attacco per le aziende manifatturiere, lasciandone molte aperte a nuove vulnerabilità che dovranno essere affrontate in futuro. Il settore più vicino che ha registrato il maggior incremento di attacchi è stato quello dell’istruzione, con un aumento del 132% rispetto all’anno precedente. L’istruzione rimane un obiettivo notevole per il secondo anno consecutivo, con un aumento del 50% degli attacchi dal 2020 al 2021. Settori come l’istruzione e l’industria manifatturiera traggono i maggiori vantaggi dall’architettura zero trust, che consente l’ispezione di tutto il traffico Internet per identificare attività sospette e mitigare il rischio crescente di attacchi criptati. Una nota positiva è che nel 2022 gli attacchi contro le organizzazioni governative e il commercio al dettaglio sono diminuiti rispettivamente del 40% e del 63%. Il settore retail ha subito un’impennata degli attacchi criptati nel 2021, in quanto gli aggressori hanno approfittato delle tendenze dell’e-commerce guidate da una pandemia, ma nell’ultimo anno si sono normalizzati. Le forze dell’ordine di tutto il mondo hanno perseguito i criminali informatici che hanno preso di mira questi settori critici, rendendoli meno attraenti per i gruppi di hacker in cerca di denaro facile. I criminali informatici continuano a evolvere le loro tattiche per evitare il rilevamento e sfuggire ai team di sicurezza informatica. Oggi la maggior parte degli attacchi sfrutta la crittografia SSL o TLS, che richiede molte risorse per essere ispezionata su scala, e che è preferibile utilizzare un’architettura proxy cloud-native. Sebbene i firewall tradizionali supportino il filtraggio dei pacchetti e l’ispezione stateful, i loro limiti di risorse li rendono poco adatti a questo compito. Le organizzazioni hanno quindi la necessità di implementare architetture cloud-native che supportino l’ispezione completa del traffico crittografato in linea con i principi di zero-trust.
Raccomandazioni
Le aziende che desiderano ridurre al minimo il rischio di attacchi criptati dovrebbero considerare le seguenti raccomandazioni come parte della loro strategia di adozione:
- Utilizzare un’architettura cloud-native basata su proxy per decifrare, rilevare e prevenire le minacce in tutto il traffico crittografato su scala.
- Sfruttare una sandbox guidata dall’intelligenza artificiale per mettere in quarantena gli attacchi sconosciuti e bloccare il malware paziente zero.
- Ispezione di tutto il traffico, sempre, sia che l’utente sia a casa, in sede o in viaggio, per garantire a tutti una protezione costante contro le minacce crittografate.
- Terminate ogni connessione per consentire a un’architettura proxy in linea di ispezionare tutto il traffico, compreso quello crittografato, in tempo reale, prima che raggiunga la destinazione, per prevenire ransomware, malware e altro ancora.
- Proteggere i dati utilizzando criteri granulari basati sul contesto, verificando le richieste di accesso e i diritti in base al contesto.
- Eliminare la superficie di attacco collegando gli utenti direttamente alle applicazioni e alle risorse di cui hanno bisogno, mai alle reti.
