Cybersecurity: report enisa 2022

Festeggiando la decima edizione del suo report, l’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha pubblicato a novembre 2022 l’ENISA Threat Landscape 2022 (ETL), un documento fondamentale per comprendere il panorama delle minacce alla cybersecurity, i trend registrati nel corso del tempo e i principali attori che si collocano dietro gli attacchi.

Il panorama delle minacce informatiche

Ransomware e malware

Già protagonista del report ENISA 2021, questo tipo di attacco continua ad essere una delle principali sfide della cybersecurity e, ad essere ancora più allarmante, è il fatto che circa il 60% delle organizzazioni colpite possa aver pagato il riscatto.

Per quanto riguarda i malware, questi attacchi alla riservatezza, integrità o disponibilità dei sistemi sono tornati a crescere dopo un calo vissuto durante la pandemia.

Social Engineering Threats

In tale categoria rientrano una serie di attività che cercano di sfruttare l’errore o il comportamento umano per accedere a determinate informazioni o sistemi. Ad essere maggiormente rilevanti nel report sono i casi di furto di identità e, soprattutto, di phishing, il quale si è evoluto verso nuove tecniche quali spear-phishing, whaling, smishing e vishing.

Threats against data

Si tratta di minacce in crescita proporzionale al totale dei dati prodotti, che vengono presi di mira con l’obiettivo di accedere, manipolarli e divulgarli senza autorizzazione. Principalmente si fa riferimento a data breach e data leak, dove i primi possono verificarsi a seguito di un cyber attacco, mentre i secondi consistono in una perdita o un’esposizione non intenzionale di dati.

Threats against availability

Questa categoria comprende due diverse tipologie di minacce alla “availability” descritte nel report ENISA. La prima si verifica quando l’utente non è in grado di accedere a dati, sistemi o altre risorse (Denial of Service), generalmente riferita ai Distributed Denial of Service; mentre la seconda si riferisce all’incapacità di accedere ad internet (Internet threats).

In merito ai Denial of Service, il report segnala come nel luglio 2022, sulla piattaforma Prolexic, si sia verificato il più grande attacco DDoS mai lanciato in Europa. Ad allarmare è poi il fatto che questo tipo di attacchi si sta spostando verso le reti mobili e l’Internet of Things, con impatti sempre più devastanti.

Disinformation e misinformation

I social media e, più in generale, l’enorme disponibilità di informazioni online, hanno permesso alla disinformazione di proliferare. Il report ENISA evidenzia come non solo essa venga prodotta su larga scala anche da istituzioni e agenzie di informazione, ma si affermi sempre di più anche la “Disinformation-as-a-Service”, in cui la disinformazione viene fornita come un vero e proprio servizio da parte di professionisti pagati per creare false notizie e manipolare le informazioni.

Inoltre, la disinformazione si lega sempre più all’intelligenza artificiale, sfruttando bot che simulano il comportamento umano.

Supply-chain attacks

Un attacco alla supply chain si compone di due elementi: un primo attacco al fornitore, poi utilizzato per avere accesso ai suoi asset e perseguire quindi un secondo attacco ai suoi clienti o ad altri fornitori. Si tratta di un fenomeno in forte crescita, tanto che il World Economic Forum riporta che il 39% delle organizzazioni sono state colpite da un incidente informatico di terze parti.

Vulnerabilità zero-day

La nuova risorsa su cui i cyber-criminali fanno leva sembrano essere gli zero-day exploit, cioè programmi che sfruttano vulnerabilità zero-day dei software, non note o non gestite da chi li ha sviluppati. Nel 2021, le zero-day vulnerabilities registrate sono state 66, una cifra record per questo tipo di vulnerabilità, resa ancora più allarmante dal fatto che nel periodo coperto dal report ETL lo sfruttamento di questi fenomeni è stata la principale causa di incidenti di sicurezza.

Di seguito si riportano alcuni grafici che rendono immediatamente comprensibile l’andamento temporale dei principali incidenti verificatisi tra il luglio 2021 e il luglio 2022, mappati nel report ENISA.

                                             

Fonte dati: ETL 2022 (N.B. i grafici non sono direttamente comparabili tra loro in termini di numerosità, in quanto si hanno differenti valori sull’asse delle ordinate).

Le raccomandazioni di Enisa

Oltre ad individuare il panorama delle minacce, l’ENISA offre anche una serie di raccomandazioni per affrontarle e prevenirle. Vediamo quindi quelle che sono le principali raccomandazioni dell’Agenzia:

• Definire una strategia di mitigazione e un piano di risposta agli incidenti, partendo dalla mappatura degli asset (asset inventory) e dall’analisi dei rischi.
• Svolgere verifiche e audit per individuare le vulnerabilità, sia interne che sui soggetti terzi, anche all’interno di un sistema di Cyber Supply Chain Risk Management.
• Controllare la gestione e il trasferimento dei file per evitare che dati personali o informazioni sensibili escano dalla rete aziendale e siano accessibili a soggetti non autorizzati.
• Implementare una strategia di backup sicura e ridondante, testandola regolarmente.
• Assicurare che l’infrastruttura Internet sia sicura, eseguendo scansioni delle vulnerabilità e installando aggiornamenti e patch di sicurezza.
• Applicare i principi del minimo privilegio e della separation of duties, assicurando parallelamente una corretta configurazione degli accessi e la sicurezza dei criteri di definizione delle password e della MFA.
• Monitorare i log, anche attraverso SIEM (Security Incident and Event Management), e i processi di rilevazione delle anomalie.
• Promuovere la security awareness e la formazione delle proprie risorse, educandole alla cybersecurity. In questo modo le persone potranno sviluppare uno spirito critico che permetta loro di riconoscere i segnali di un attacco e le fonti di disinformazione.
• Gestire i dati personali e le informazioni sensibili in modo appropriato, prevedendo anche procedure per affrontare i data breach, tenendo conto di quanto previsto dalla normativa privacy.
• Prestare attenzione nell’utilizzo delle email e degli altri canali di comunicazione.
• Definire una normativa che limiti il proliferare della disinformazione e punisca i suoi responsabili.
• Integrare la cybersecurity con gli strumenti di sicurezza fisica.

Il Trend degli attori e il loro target

I cosiddetti “cyber threat actors” sono le entità che si collocano dietro gli attacchi, e con cui la cybersecurity si trova a combattere quotidianamente. Il report ETL 2022 si sofferma su tali attori per analizzarne le motivazioni e i comportamenti, proprio come accade per i criminali “tradizionali”, in modo tale da sviluppare dei meccanismi di difesa e risposta efficaci.

Le principali categorie di attori sono:

1. State-sponsored actors: questo tipo di attori sfrutta soprattutto vulnerabilità critiche (come le sopracitate zero-day) per condurre attacchi che si inseriscono all’interno delle strategie politico-militari dei governi, come vedremo meglio in relazione al conflitto tra Russia e Ucraina. Ciò che il report ENISA sottolinea è che le operazioni cyber sono ormai una priorità per gli stati, divenuti veri e propri mandanti dei threat actors che rivolgono i loro attacchi soprattutto alla supply-chain.
2. Cybercrime actors: come già anticipato, i cyber-criminali dimostrano un crescente interesse alla supply chain, coniugando queste operazioni a campagne ransomware, in modo tale da incrementare l’impatto dell’attacco. Inoltre, la diffusione del cloud offre crescenti opportunità per i criminali, che possono sfruttare le vulnerabilità delle infrastrutture e dei sistemi.
3. Hacker-for-hire actors: ad avere un successo crescente sono gli operatori del mercato “Access-as-a-Service”, i cui clienti, soprattutto di natura statale, sono interessati ad acquisire i loro servizi e le loro capacità tecniche, portando a un vero e proprio outsourcing delle operazioni cyber.
4. Hacktivists: rispetto all’anno precedente, le attività degli hacktivisti come Anonymous e TeamOneFirst hanno vissuto una crescita nel periodo di riferimento coperto dal report, stimolati anche dal conflitto russo-ucraino.

Le vittime degli attacchi cyber

Dal report ENISA emerge come principali vittime di questi attori appartengono alla pubblica amministrazione, ai governi e ai fornitori di servizi digital. Vale poi la pena di citare anche il settore sanitario e finanziario tra quelli che hanno subito un gran numero di attacchi, il primo, in particolare, è noto essere particolarmente vulnerabile. Ad essere stato invece vittima di ransomware è il settore industriale, e in particolar modo l’industria manifatturiera.

Il grafico sottostante offre una panoramica generale sui settori colpiti nel periodo considerato dall’ETL 2022.

% di settori colpiti per numero di incidenti (luglio 2021-luglio 2022). Fonte dati ETL 2022

L’impatto che questi incidenti hanno sulle loro vittime può essere di diverso tipo: reputazionale, digitale, economico, fisico e sociale.

Tuttavia, la reale portata del danno provocato dalla maggior parte degli incidenti continua ad essere ignota perché sono le stesse vittime a non riuscire a stimarla o a non voler rilevare tali informazioni, ostacolando le attività di analisi che la cybersecurity cerca di portare avanti per comprendere le minacce esistenti.

L’influenza della geopolitica

La già citata guerra tra Russia e Ucraina dimostra ancora una volta come la cybersecurity sia enormemente influenzata dal contesto globale, all’interno del quale i cyber-criminali cercano di sfruttare le opportunità offerte dalle dinamiche geopolitiche.

Nel report ENISA 2022 si evidenzia infatti come i gruppi di cyber-criminali abbiano scelto di schierarsi con una o l’altra parte del conflitto, muovendosi all’interno di una nuova dimensione di guerra ibrida, combattuta anche dietro a degli schermi e non più solo sui campi di battaglia.

Lo scenario geopolitico ha dato il via a una nuova era di cyberwarfare, e gli attori che lo popolano dovranno tenere conto del fatto che, anche quando la guerra russo-ucraina sarà finita, le attività di hacktivism continueranno a giocare un ruolo fondamentale.

 

Conclusioni e riflessioni

In generale, il trend che emerge dal report ETL 2022 è che gli attacchi informatici sono in aumento, sia in termini di numerosità che di impatto: i ransomware continuano ad essere una minaccia diffusissima alla cybersecurity e i DDoS sono sempre più grandi e complessi, divenendo vere e proprie armi nella cyberwarfare. Infatti, come abbiamo visto, il contesto geopolitico non fa altro che alimentare il threat landscape ben descritto dal report ENISA.

La rischiosità degli scenari individuati, insieme con gli altri dati del 2022 disponibili, ci devono portare a riflettere sul fatto che le minacce cyber hanno un impatto su ciascuno di noi, sulle nostre aziende e le nostre istituzioni. Per questo motivo è fondamentale, come sottolineato dalle raccomandazioni del report stesso, attivare delle strategie di prevenzione, protezione e contrasto. Queste dovranno basarsi in primis sui risultati delle analisi dei rischi, individuando misure di sicurezza potranno ispirarsi anche a quanto previsto da standard internazionali come la ISO 27001 o alle linee guida provenienti da istituzioni come il NIST.