Le strategie di sviluppo tecnologico delle software house attive in campo sicurezza sono strettamente collegate a come varia lo scenario degli attacchi da una parte e, dall'altra, delle esigenze delle imprese. Sullo sfondo, mette in evidenza Bitdefender, c'è anche una importante evoluzione culturale che sta mettendo in primo piano i pericoli nella gestione delle informazioni critiche.

Il "rischio tecnologico" è entrato nell'agenda delle organizzazioni internazionali, come ad esempio il World Economic Forum, e si stima che entro il 2021 il costo globale delle violazioni informatiche raggiungerà i seimila miliardi di dollari. Per questo si sta man mano diffondendo il concetto che, da parte delle aziende, un approccio tradizionale basato sulla difesa passiva/reattiva non sia sufficiente. Serve invece una "situational awareness" che valuti costantemente il livello di rischio in atto e provveda a contenerlo.

Questa evoluzione le aziende la vedono concretamente nelle normative di nuova concezione, come il GDPR. "Sono le norme che ora cambiano lo scenario - sottolinea Denis Cassinerio, Regional Sales Director di Bitdefender Italia - concentrandosi sulla data breach come elemento chiave e aggiungendo elementi che le aziende hanno spesso trascurato: tempo di reazione, reporting, valutazione di impatto prima (PIA) e dopo".

Una concezione più moderna della sicurezza IT è d'altronde necessaria perché il panorama delle minacce in rete non si fa certo più semplice per le aziende, semmai il contrario. La "commoditizzazione" delle minacce-simbolo del 2017 - i ransomware - aumenta il livello medio di attenzione, anche perché per scatenare un attacco ransomware oggi basta sfruttare le offerte as-a-Service del Dark Web.

Soprattutto, però, i ransomware sono diventati una forma di attacco decisamente più pericoloso per le aziende di quanto non lo fosse per il mondo consumer. Oggi un attacco ransomware verso un'azienda di solito è mirato e non mira a ottenere un riscatto ma a bloccarne l'operatività. Limitarlo è difficile perché il vettore di attacco non è il classico spam o il phishing, il malware penetra in azienda attraverso botnet create magari molto tempo prima e che vengono "affittate" per penetrare anche un solo computer. Da qui l'infezione di propaga lateralmente a tutta la rete.


Per chi vuole guadagnare denaro con attacchi informatici la strada più popolare adesso è quella del cryptojacking: infettare un gran numero di PC - e meglio ancora server o macchine virtuali nei datacenter - con malware che fa mining di criptovalute. L'attaccante riceve il frutto economico del mining e ha inoltre un guadagno ulteriore indiretto: non sostiene alcuna spesa per il mining, perché usa le risorse dell'azienda attaccata.

Dal punto di vista delle imprese l'elemento più preoccupante è che le infezioni da cryptojacking colpiscono sempre più spesso i datacenter. Si sono infatte dimostrate vulnerabili le piattaforme di virtualizzazione come Docker, quelle di orchestration come Kubernetes e quelle di CI/CD come Jenkins. Che quest'ultimo possa essere un vettore di attacco è particolarmente preoccupante: in quanto piattaforma di Continuous Integration/Delivery è il mezzo ideale per i supply chain attack e per attacchi che mirino a sottrarre una proprietà intellettuale importante come il codice software.