Watchguard | Previsioni cyber 2022

Come ogni anno, in questo periodo WatchGuard rilascia le sue previsioni per la sicurezza informatica dei prossimi 12 mesi. Questa volta gli esperti WatchGuard hanno identificato 6 previsioni che riportiamo di seguito.

Per ognuna di esse, sul sito www.watchguard.com sono disponibili anche dei video in cui Corey Nachreiner (CSO) e Marc Laliberte (Senior Security Analyst), protagonisti di una parodia di “Weekend Update” – uno sketch del Saturday Night Live che commenta notizie fittizie – vanno più a fondo per ognuna di queste previsioni.

Ecco la lista della 6 cyber predictions di WatchGuard per il 2022.

Gli attacchi ai dispositivi mobili sponsorizzati dagli stati potrebbero avere un effetto a cascata nel cybercrime

Il malware mobile esiste certamente, specialmente sulla piattaforma Android, ma non è ancora arrivato alla stessa scala di diffusione del malware tradizionale per PC. In parte, ciò è dovuto al fatto che i dispositivi mobili sono stati progettati con un meccanismo sicuro (vs. secure boot) fin dall’inizio, rendendo molto più difficile creare minacce “zero-touch” che non richiedono l’interazione della vittima. Tuttavia, esistono gravi vulnerabilità remote contro questi dispositivi, anche se più difficili da trovare.

Per i cyberteam sponsorizzati dagli stati i dispositivi mobili rappresentano un target molto accattivante, sia per le loro feature che per le informazioni che contengono. Ne consegue che i gruppi che vendono le loro competenze alle organizzazioni supportate dai governi sono i maggiori responsabili della crescita di gran parte delle sofisticate minacce aventi come obiettivo i dispositivi mobili, come il recente spyware Pegasus. Sfortunatamente, come nel caso di Stuxnet, quando queste minacce più sofisticate vengono alla luce, le organizzazioni criminali ne traggono insegnamenti, copiando le tecniche di attacco.

Per il prossimo anno prevediamo un incremento in attacchi cybercriminali sofisticati ai dispositivi mobili per via degli attacchi ai dispositivi mobili sponsorizzati dagli Stati che hanno iniziato chiaramente a venire alla luce.

La stampa parlerà degli hacker che prendono di mira lo spazio

Mentre governi e privati tornano ad accelerare la loro “corsa allo spazio” e visto il recente focus della ricerca in cybersecurity sulle vulnerabilità dei satelliti, crediamo che sia molto probabile che la stampa, nel 2022, si occuperà di un “attacco hacker nello spazio”.

Di recente, infatti, gli attacchi ai satelliti hanno catturato l’attenzione della community della cybersecurity sia tra i ricercatori che nell’ambito di importanti conferenze come DEF CON. Sebbene i satelliti possano sembrare così distanti e quindi fuori dalla portata di gran parte delle minacce, i ricercatori hanno scoperto che possono comunicare con i satelliti usando un’attrezzatura di soli 300 dollari. Inoltre, confidando che la distanza e l’oscurità rappresentassero una difesa, i satelliti più datati non integrano affatto i moderni controlli di sicurezza.

Nel frattempo, le aziende private hanno dato il via alla loro corsa allo spazio, il che aumenterà di molto la superficie attaccabile in orbita. Società come Starlink stanno lanciando, ad esempio, migliaia di satelliti. Se a questi due trend aggiungiamo il valore dei sistemi orbitanti per stati, economie e società, il sospetto che i governi abbiano già iniziato le loro campagne di cyber difesa nello spazio è più che fondato. Non c’è da sorprendersi se, un giorno non molto lontano, i titoli delle testate parleranno di un “attacco allo spazio”.

L’SMSishing colpirà le piattaforme di messaggistica

Il phishing basato su testi, noto con il nome “SMSishing”, è cresciuto esponenzialmente nel corso degli anni. Esattamente come è avvenuto con il social engineering tramite email, all’inizio era caratterizzato da messaggi ‘esca’ senza destinatari specifici, che venivano diffusi a grandi gruppi di utenti, poi è evoluto in testi più mirati e travestiti da messaggi inviati da conoscenti, magari anche dal proprio capo.

Parallelamente, si sono evolute anche le piattaforme più comuni per l’invio di messaggistica. Gli utenti, in particolare i professionisti, hanno compreso l’aspetto poco sicuro degli SMS in chiaro grazie al NIST, a diverse violazioni avvenute ai danni di carrier e alla consapevolezza della lacunosità degli standard carrier, come il Signaling System 7 (SS7). Di conseguenza, molti hanno spostato la loro messaggistica aziendale su app alternative come WhatsApp, Facebook Messenger o persino Teams o Slack.

C’è poco da fare: dove ci sono utenti legittimi, lì ci sono anche cybercriminali. Stiamo quindi assistendo all’aumento di report su attacchi tramite messaggi spear SMSishing malevoli e destinati a piattaforme di messaggistica come WhatsApp. Avete ricevuto un messaggio WhatsApp dal vostro CEO, in cui vi veniva richiesto di configurare un account per un progetto a cui sta lavorando? Forse dovreste chiamare o contattare il vostro capo tramite altri mezzi di comunicazione, per verificare che l’autore del messaggio sia veramente lui!

Per il 2022 ci attendiamo il raddoppio dei messaggi di phishing mirati su molte piattaforme di messaggistica.

L’autenticazione passwordless fallirà nel lungo termine senza MFA

È ufficiale. Windows è accessibile senza più nessuna password! Mentre festeggiamo la totale eliminazione delle password a vantaggio dell’autenticazione online, crediamo anche che l’attuale focus ininterrotto sull’autenticazione a fattore singolo per i login Windows non faccia altro che replicare gli errori del passato. Windows 10 e 11 consentiranno ora di configurare autenticazioni interamente passwordless, usando opzioni come Hello (autenticazione biometrica di Microsoft), un token hardware Fido oppure un’e-mail con una password monouso (OTP).

Se da una parte elogiamo Microsoft per questo coraggioso passo, crediamo che tutti i meccanismi di autenticazione a fattore singolo siano la scelta sbagliata e ripetano i vecchi errori. L’autenticazione biometrica non è un ostacolo insuperabile, infatti, sia i ricercatori che gli hacker hanno ripetutamente superato diversi meccanismi biometrici. Di certo la tecnologia sta migliorando, tuttavia anche le tecniche di attacco lo fanno (specialmente in un mondo di social media, fotogrammetria e stampa 3D). In generale, i token hardware sono un’altra opzione forte a fattore singolo, tuttavia la violazione a RSA ha dimostrato che non sono invincibili. Francamente poi, le e-mail con testo in chiaro con OTP sono veramente una cattiva idea.

L’unica soluzione robusta per la convalida dell’identità digitale è l’autenticazione multifattore (MFA). Secondo WatchGuard, Microsoft (e altri) potrebbero realmente risolvere questo problema rendendo l’MFA obbligatoria e semplice in Windows. Sebbene Hello possa essere usato come semplice fattore di autenticazione, le aziende dovrebbero imporre agli utenti di affiancarlo ad altre opzioni, come un’approvazione push inviata tramite un canale criptato al proprio cellulare (senza testi né e-mail in chiaro).

Prevediamo che l’autenticazione passwordless di Windows decollerà nel 2022, tuttavia ci aspettiamo che hacker e ricercatori trovino i modi per bypassarla, a confermare che non abbiamo imparato nulla dalle lezioni del passato.

Le aziende aumenteranno le coperture assicurative contro gli attacchi cyber nonostante i costi stiano lievitando

Sin dal successo strabiliante dei ransomware iniziato nel lontano 2013, gli assicuratori di cybersecurity hanno realizzato che i costi che coprono i clienti da queste minacce sono sensibilmente aumentati. Infatti, d’intesa con un report di S&P Global, il tasso di perdita dei cyber assicuratori è aumentato per il terzo anno consecutivo di ben 25 punti nel 2020, attestandosi a più del 72%. Ne è risultato un aumento dei premi delle singole polizze cyber pari al 28,6% nel 2020, corrispondente a 1,62 miliardi di dollari americani. Di conseguenza, hanno ampiamente aumentato i requisiti di cybersicurezza per i clienti. E non è solo lievitato il prezzo dell’assicurazione: ora, gli assicuratori analizzano attentamente e verificano attivamente la sicurezza informatica dei clienti prima di fornire loro una copertura.

Nel 2022, se non avrete messo in campo la giusta protezione, inclusa l’autenticazione multifattore (MFA) per l’accesso remoto, sarà impossibile ottenere una cyber assicurazione al prezzo che volete. Esattamente come accade per altri regolamenti e standard di conformità, questo nuovo focus degli assicuratori su security e auditing porterà le aziende, nel 2022, a migliorare le loro difese.

Lo Zero Trust si diffonderà 

Sin dagli albori della loro carriera, la maggior parte dei professionisti della sicurezza informatica ha sempre avuto il principio del privilegio minimo scolpito nel DNA. Fornire agli utenti il livello minimo di accesso necessario per svolgere la loro professione è per molti una best practice inoppugnabile. Sfortunatamente, alle best practice non corrisponde una loro ampia adozione, almeno non per intero. Nel corso degli ultimi anni, o meglio decenni, abbiamo visto quanto facilmente gli hacker possano modificare e aumentare il loro livello di accesso sfruttando le aziende che non rispettano i principi basilari della sicurezza.

Recentemente, una “moderna” architettura di sicurezza IT ha acquisito popolarità con il nome di “Zero Trust”. L’approccio Zero Trust alla sicurezza fondamentalmente si riduce alla “presupposizione di una violazione.” In altre parole, si suppone che un hacker abbia già compromesso uno dei vostri asset o utenti e si progetta la rete e la sicurezza in modo che limiti letteralmente la loro capacità di muoversi lateralmente e raggiungere sistemi più critici. Avrete sicuramente sentito termini come “microsegmentazione” e “identità asserita” nelle discussioni sull’approccio Zero Trust. Ma chiunque abbia un minimo di esperienza nel settore, riconoscerà che questa architettura così di moda è costruita sui principi di sicurezza (ormai di lunga data) di una forte verifica dell’identità e del minimo privilegio.

Non stiamo affermando che l’architettura Zero Trust sia un concetto vuoto o inutile: al contrario, è esattamente l’approccio che le aziende avrebbero dovuto avere sin dagli albori della rete. Prevediamo, in sostanza, che nel 2022 la maggior parte delle società metterà finalmente in atto alcuni dei più antichi concept di sicurezza su tutte le reti, dando a questo approccio il nome “Zero Trust”.

Qui potete consultare anche i video dedicati a ciascuna di queste previsioni e rivedere le previsioni di WatchGuard degli anni passati per verificare cosa si è effettivamente realizzato e cosa no!