
Cybersecurity: report ENISA 2021
23 Novembre 2021
Cybersecurity – report Enisa 2021
—(Fonte e immagini ENISA)
A ottobre 2021 è stato pubblicato il nono report ENISA, l’Agenzia Europea della Cybersecurity.
L’obiettivo del report è quello di delineare un panorama dello stato della cybersecurity, identificando quelle che sono le principali minacce e le principali tecniche di attacco, nonché suggerire misure di prevenzione e mitigazione.
Le tendenze evidenziate in maniera riassuntiva sono:
- Il ransomware è stato la minaccia principale nel biennio 2020-2021
- Le organizzazioni governative stanno intensificando le loro attività
- I criminali informatici sono sempre più motivati grazie ai guadagni che ricavano dalla loro attività
- La criptovaluta è il metodo più comune di pagamento
- Prendono piede linguaggi di programmazione nuovi che stanno sostituendo il più classico Malware
- Ad inizio 2021 si è verificato un record delle attività di cryptojacking (uso di dispositivi di altre persone per sottrarre criptovaluta)
- il Covid 19 è ancora l’esca principale per le truffe tramite mail
- Il settore sanitario ha subito un’impennata di attacchi
- Le campagne DOS (Distributed Denial of Service) sono sempre più mirate e persistenti
- Nel biennio 2020-2021 si è osservato un picco di incidenti dovuti ad errore umano, tanto che la maggior parte delle violazioni è andata a buon fine proprio per questi errori
Di seguito si propone un estratto degli aspetti di cybersecurity di maggior interesse.
I settori maggiormente colpiti da attacchi di cybersecurity
I 3 settori maggiormente colpiti da attacchi cyber sono:
- pubbliche amministrazioni/enti governativi
- i service provider (fornitori di servizi digital)
- pubblico generico (no target specifico)
- settore sanitario
(dati aprile 2021-luglio 2021 – fonte e immagine ENISA)
Cybercriminali e social engineering
Il social engineering resta una delle tecniche più utilizzate per far leva sull’emotività degli utenti e indurli in trappole pericolose.
Il Covid 19 ha fornito un pretesto per adescare persone in cerca di notizie sulla pandemia, sulle cure, sulle vaccinazioni. Molti criminali si sono finti figure mediche competenti o hanno attaccato le figure in smart working. Il settore sanitario ha subito un notevole aumento degli attacchi ransomware.
La pandemia ha inoltre costretto molte aziende a migrare verso il cloud in maniera repentina, senza pianificazione e senza poter prevedere misure di cybersecurity adeguate o quanto meno sufficienti. Un’ottima occasione per i cybercriminali che hanno sfruttato a loro vantaggio le debolezze dei sistemi. I settori con maggiori criticità sono risultati essere quelli della sanità, dei trasporti e dell’energia.
Ransomware
Il ransomware è una tecnica che prevede il blocco dei dati aziendali tramite criptografia. A seguito di pagamento di riscatto (solitamente tramite criptovaluta) questi dati vengono sbloccati e quindi restituiti. La metodologia sta però evolvendo con casi di sottrazione dei dati e con coinvolgimento allargato di clienti e partner delle vittime per massimizzare il danno.
Questo tipo di attacco è in crescita costante e tra maggio e giugno 2021 c’è stato un incremento ancora maggiore.

Gli attacchi di tipo Conti (quasi 13 milioni di Dollari) e REvil (12 milioni di Dollari) sono quelli più diffusi.

Raccomandazioni – come difendersi dai ransomware
L’approccio migliore contro questo tipo di attacchi resta la prevenzione e la predisposizione di sistemi di back up e ripristino rapido. Nello specifico ENISA riporta le seguenti principali raccomandazioni:
- Strategie di back up sicure e ridondate
- Gestione e controllo degli accessi, con livello di accesso differenziato
- Formazione e sensibilizzazione degli utenti verso la cybersecurity
- Separazione ambienti di sviluppo e produzione
- Condivisione di informazioni sugli incidenti con le autorità e il mercato
- Implementazione di piani di ripristino con test periodici di simulazione
- Implementazione di sistemi di sicurezza dedicati
- Monitoraggio costante dei sistemi, anche con test specifici
———————————————————————————————–
VALUTA IL TUO RATING DI CYBERSECURITY
———————————————————————————————–
Malware
Con malware si intende un software malevolo ideato per eseguire un’azione dannosa o un processo non autorizzato che avrà un impatto negativo sulla riservatezza, integrità o disponibilità di un sistema.
Esistono diverse tipologie di malware con scopi differenti:
- RAT (Remoto Accesso Trojan/Strumenti): malware che consentono il controllo remoto di un sistema infetto.
- Infostealer o Skimmer: sono progettati per acquisire informazioni sulla carta di credito.
- Le botnet: rete robotica di computer infettati da malware e controllato da server C&C.
- Trojan (bancario o mobile a seconda del target): sono spesso mascherati da software legittimo.
Il numero di azioni tramite malware è in costante diminuzione: tra il 2019 e il 2020 si è registrato mediamente un -50% mentre tra il 2020 e il 2021 c’è stato un ulteriore diminuzione del 22%. Questa purtroppo non rappresenta comunque una buona notizia poiché è aumentata la qualità di questi sistemi, che spesso usano PDF infetti per attaccare.
Raccomandazioni – come difendersi dal malware
Anche per quanto riguarda i malware, ENISA propone alcune raccomandazioni:
- Implementa il rilevamento del malware per tutti i canali in entrata/uscita (e-mail, server, rete, personal computer, dispositivi mobile,.)
- Ispezionare il traffico SSL/TLS consentendo al firewall di de-crittografare ciò che viene trasmesso da e verso siti Web, comunicazioni di posta elettronica e applicazioni mobili
- Stabilire interfacce tra le funzioni di rilevamento del malware e la sicurezza
- Simulare degli incidenti per stabilire capacità di risposta efficienti
- Utilizzare gli strumenti disponibili per l’analisi del malware per condividere informazioni sul malware e mitigazione del malware
- Sviluppare politiche di cybersecurity che specifichino i processi da seguire in caso di infezione
- Comprendere le capacità dei vari strumenti di sicurezza e sviluppare nuove soluzioni di sicurezza
- Identificare le lacune e applicare il principio della difesa in profondità
- Utilizzare il filtro della posta (o filtro antispam)
- Monitorare regolarmente i risultati dei test antivirus
- Utilizzare la gestione delle patch per l’infrastruttura dei container
- Utilizzare il monitoraggio dei registri utilizzando soluzioni di gestione degli incidenti e degli eventi di sicurezza
- Sistema di rilevamento delle intrusioni (registro log)
- Disabilitare o ridurre l’accesso alle funzioni di gestione automatizzata dei sistemi
Cryptojacking
Il cryptojacking è un’attività criminale che sfrutta i dispositivi di utenti ignari per potere generare criptovalute. Questo tipo di reato informatico è in notevole aumento e la motivazione potrebbe essere legata alla volatilità delle monete digitali. Il 2021 ha visto il record di questi tipo di attacchi con un aumento del 117% (primo quadrimestre 2021).
Il sistema di attacco ricorda quello del malware, ovvero l’installazione di codice infetto su un dispositivo. L’azione di download è spesso quella più rischiosa.
Raccomandazioni – come difendersi dal cryptojacking
Le raccomandazioni principali per le attività di cryptojacking sono:
- Monitorare l’utilizzo della batteria sui dispositivi (picchi anomali sono sospetti)
- Implementare comuni protocolli di crittografia
- Inserire nella lista nera gli indirizzi IP rischiosi e implementare le whitelist
- Installare programmi antivirus o plug-in del browser che bloccano i crypto-miner
- Impostare attività di cybersecurity e fare controlli periodici per rilevare anomalie di rete
- Implementare la gestione delle vulnerabilità e delle patch
- Utilizzare l’elenco di autorizzazioni per consentire l’esecuzione di eseguibili
- Monitorare e bloccare i comuni eseguibili di crittografia
- Investire nella sensibilizzazione e sulla formazione degli utenti
Phishing
Il phishing rimane uno degli strumenti principali per poter sottrarre dati come password e numeri di carte di credito. È inoltre tra le principali cause di violazione (36%).
- Il phishing tradizionale sfrutta lo strumento mail
- Lo spear-phishing è una versione più sofisticata del phishing che prende di mira specifiche organizzazioni o individui
- Il Whaling è un attacco di spear-phishing rivolto a utenti in posizioni elevate (dirigenti, politici ecc.)
- Lo Smishing, un termine derivato da una combinazione di “SMS” e “phishing”, utilizza gli SMS come veicolo
- Il vishing è una combinazione di “phishing” e “voce” che si verifica quando le informazioni vengono fornite tramite telefono utilizzando tecniche di ingegneria sociale (sistema molto in uso con gli anziani)
- La BEC è una truffa utilizzata per accedere all’account e-mail di un dipendente o di un dirigente di azienda per effettuare bonifici bancari in condizioni fraudolente (sempre tramite tecniche di social engineering)
Come già accennato, il Covid 19 ha agevolato questo tipo di truffe che risultano in aumento durante tutto il 2021.
Raccomandazioni – come difendersi dal phishing
La miglior difesa contro il phishing è senza dubbio la formazione e la presa di coscienza dei rischi da parte dei singoli utenti. In aggiunta ENISA suggerisce:
- Implementare filtri antispam sulla posta elettronica
- Mantenere le firme e le regole aggiornate
- Quando possibile, utilizzare un gateway di posta elettronica sicuro con manutenzione automatizzata dei filtri (anti-spam, anti-malware, filtri basati su criteri)
- Mettere in atto controlli sicurezza sul gateway di posta elettronica
- Implementare una politica di cybersecurity che gestisca gli accessi e limiti l’impatto di qualsiasi attacco
- Garantire che le e-mail provenienti dall’esterno dell’organizzazione siano riconoscibili
- Implementare l’autenticazione a più fattori per gli accessi ai vari account
- Verificare la durata della vita di un dominio (se è attivo da meno di un anno, potrebbe essere sospetto)
- Implementare degli standard per ridurre le e-mail di spam
- Utilizzare firme digitali o crittografia per comunicazioni sensibili
- Implementare il rilevamento di anomalie a livello di rete sia in entrata che in uscita
- Non fare clic su collegamenti casuali o scaricare allegati se non si è assolutamente sicuri della fonte di una e-mail
- Controllare il nome di dominio dei siti Web visitati per errori di battitura, in particolare per i siti Web sensibili (ad es. siti Web di banche)
- I cybercriminali di solito registrano domini falsi simili a quelli legittimi e li usano per “phishing” dei loro obiettivi. Prediligere connessioni HTTPS non è sufficiente
- Utilizzare password complesse e univoche per ogni servizio online
- Non usare sempre la stessa password
- Implementare filtri di contenuti per individuare allegati indesiderati, e-mail con contenuto dannoso, spam e indesiderati
- Evitare di cliccare e rispondere a nuovi link ricevuti in e-mail o SMS da mittenti sconosciuti
- Non inserire le proprie credenziali quando si seguono collegamenti di cui non si conosce la provenienza
Trend per settore
I settori maggiormente colpiti di attacchi di cybersecurity sono la finanza e le assicurazioni, pubblica amministrazione, sanità e informazione.
Nel settore finanziario, il 44% delle violazioni è causato da errori interni.
Per quanto riguarda la pubblica amministrazione, nel 70% dei casi viene utilizzata l’ingegneria sociale per trarre in inganno gli utenti.
Il settore sanitario è stato duramente colpito durante tutto il periodo della pandemia ed è tuttora un bersaglio privilegiato.

In genarle, nell’85% dei casi le truffe sono agevolate dall’errore di un utente che cede dati in maniera ingenua. I dati che cede sono tendenzialmente credenziali (60%) e dati anagrafici (50%).
Normalmente le persone vittime di attacchi e sottrazioni si rendono conto dell’errore piuttosto velocemente, nel giro di ore o pochissimi giorni.
Quasi l’80% degli attacchi informatici ha come scopo il guadagno, ovvero rubare denaro da carte di credito o conti bancari. Al secondo posto, come scopo di attacco, c’è lo spionaggio, con furto di proprietà intellettuale o informazioni riservate. Anche il furto di identità risulta un’attività in aumento, con conseguenti denunce da parte delle vittime che risiedono in larga parte negli USA.
DDos
Gli attacchi DDos sono pensati per bloccare i sistemi e sono sempre più frequenti. Nell’ultimo periodo hanno come target la piccola impresa poiché risulta più vulnerabile rispetto alle aziende più grandi e strutturate. Nei primi tre mesi del 2021, gli attacchi DDos sono aumentati del 40% rispetto al quarto trimestre del 2020.
Supply Chain
Dall’analisi degli attacchi di cybersecurity si rileva che sono in notevole aumento quelli che coinvolgono l’intera catena dei fornitori. Si stima che nel 2021 quadruplicheranno rispetto al 2020. Il 58% di questi mirano ad ottenere l’accesso ai dati (clienti, dati personali e proprietà intellettuale) e circa il 16% all’accesso a dati personali.
Raccomandazioni
Considerando i trend sopra evidenziati le raccomandazioni generali sono:
- Sviluppare e mantenere un piano di formazione e sensibilizzazione sulla cybersecurity
- Coinvolgere il team nella gestione del rischio
- Limitare i privilegi di accesso degli utenti all’indispensabile
- Revocare i privilegi di accesso per chi non è più in organico
- Predisporre un team per la risposta alle emergenze
- classificare i dati sensibili/personali e applicare misure per crittografarli
- Investire su strumenti che consentano di rilevare e contrastare le minacce
- Implementare politiche per la gestione delle password
- Mantenere la sicurezza dei sistemi anche fuori sede
- Archiviare i dati solo su risorse IT sicure
- Utilizzare strumenti di scansione per individuare malware e vulnerabilità
- Predisporre piani di business continuity e procedure per reagire prontamente agli attacchi o saper ripristinare i sistemi in breve tempo
Disinformazione e Misinformazione
L’accesso alle informazioni, oggi, è incredibilmente rapido e dinamico. Un tempo si aspettava il TG per avare le ultime notizie, oggi siamo circondati da news e pop up che vogliono comunicarci o chiederci qualcosa.
Tutti possono pubblicare il loro pensiero o la loro notizia e questo è molto rischioso se pensiamo al fenomeno delle fake news (notizie false). Manipolare un messaggio è estremamente facile e non sempre, chi lo legge, è in grado di capire la validità della fonte.
Si parla sempre più spesso di Disinformazione e Misinformazione
- Disinformazione: sono attacchi che creano volontariamente una notizia falsa per indirizzare il pensiero degli utenti, portare ad azioni guidate, screditare aziende e personaggi, minare la solidità di alcune realtà, etc..
- Misinformazione: è un attacco non intenzionale con condivisione di notizie inesatte o false
Vulnerabilità e bug
Le vulnerabilità dei sistemi e i bug non risolti mantengono un ruolo fondamentale nell’ambito della cybersecurity. Nel 2020 il NIST ha ricevuto più di 18.000 segnalazioni di CVE (Common Vulnerabilities and Exposures) che rappresentano le vulnerabilità ed esposizioni comuni.
Nel 2020 si è registrato un picco di malware IoT, sfruttando dispositivi non sicuri e senza patch.
I dati dicono anche che spesso le vulnerabilità esposte dalle aziende sono piuttosto vecchie, nel 20% dei casi risalgono addirittura al 2010. Questo indica che le aziende non investono sulla sicurezza e soprattutto sulle attività di patch su vulnerabilità già note.
L’80% delle organizzazioni che ha subito un attacco risulta essere vittima di una vulnerabilità derivante da software di terze parti.
Conclusioni
I dati riportano una realtà che vive sempre più di dati e di digitale e che di conseguenza sta mostrando un aumento delle attività criminali nel mondo digital. I guadagni facili e le fragilità dei sistemi e delle reti aziendali costituiscono un’opportunità senza precedenti per i cybercriminali.
È necessario un cambio di mentalità e una nuova coscienza aziendale. Non è più possibile pensare alla cybersicurezza come ad un aspetto di secondo piano, da “mettere a budget il prossimo anno”. È necessario capire che la protezione dei propri dati deve essere una priorità assoluta. I nostri dati sono il nuovo petrolio e l’interesse a sottrarli è in aumento.
SCARICA IL REPORT ENISA 2021
- Chiara Van Zeyl -