Le minacce informatiche si fanno sempre più subdole e le tecniche di attacco si evolvono in direzioni sempre più difficili da monitorare, da quantificare e anche da intercettare. Questo diventa particolarmente vero e pericoloso in due diversi ambiti che, secondo le previsioni sulle minacce pubblicate da Kaspersky, saranno tra i bersagli principali del 2022. Parliamo di organizzazioni industriali e supply chain.

Nel 2021 i ricercatori di Kaspersky hanno scoperto una nuova serie di campagne spyware in rapida evoluzione, che ha già attaccato più di 2.000 enterprise nel settore industriale in tutto il mondo con l’obiettivo di rubare credenziali aziendali. Tra i paesi nel mirino dei criminali informatici, l’Italia si posiziona al nono posto: complessivamente, il 4,2% di tutti gli attacchi rilevati sono stati bloccati su computer italiani. A differenza di molte campagne spyware tradizionali, questi attacchi si distinguono per il numero limitato di obiettivi e la durata breve dei sample dannosi. In particolare, in Italia i settori più colpiti da queste fughe di dati sono stati l’industria manifatturiera e il settore food & beverage.

Ovviamente anche i ransomware, grandi protagonisti del panorama di cybersecurity del 2021, hanno perfezionato il loro arsenale concentrandosi su un minor numero di attacchi rivolti a organizzazioni industriali di alto profilo e usufruendo di un intero ecosistema sotterraneo che supporta le attività dei gruppi criminali. Il settore industriale continuerà sicuramente ad essere oggetto di interesse da parte dei cybercriminali anche nel corso del 2022 e gli attacchi rivolti ai sistemi ICS diventeranno sempre più difficili da rilevare e prevenire automaticamente.

Supply chain attack

Altrettanto pericolose e talvolta sottovalutate sono le minacce rivolte alla supply chain. Sono sempre più frequenti gli attacchi che colpiscono le aziende tramite i fornitori con cui collaborano. I dati aziendali, infatti, vengono generalmente condivisi con più terze parti che includono service provider, partner, fornitori e filiali. Pertanto, le aziende devono tenere in considerazione non solo i rischi di sicurezza informatica che interessano la loro infrastruttura IT, ma anche quelli che possono provenire dall'esterno.

Secondo un recente sondaggio di Kaspersky, un terzo (28%) delle grandi aziende europee ha subito attacchi che coinvolgevano dati condivisi con i fornitori con un impatto finanziario di circa 2 milioni di dollari. Un recente esempio di alto profilo include Sunburst, che è stato utilizzato per compromettere numerose organizzazioni pubbliche e private in tutto il mondo. Questi attacchi si dimostrano particolarmente redditizi per i cybercriminali in quanto forniscono molte informazioni importanti su possibili obiettivi. Infatti, secondo le previsioni degli esperti di Kaspersky, gli attacchi alla supply chain saranno un trend in crescita anche nel 2022.Fabio Sammartino, Head of Pre-Sales di Kaspersky

Proprio per questo motivo, nel momento in cui le organizzazioni valutano le esigenze di sicurezza informatica per la loro attività, dovrebbero prendere in considerazione il rischio di una violazione che coinvolge i dati condivisi con i fornitori, soprattutto tenuto conto della gravità delle conseguenze. Le aziende dovrebbero classificare i propri fornitori in base al tipo di lavoro che svolgono e alla complessità dell'accesso che ricevono (se trattano dati e infrastrutture sensibili o meno) e applicare i requisiti di sicurezza di conseguenza.

Questo vuol dire che nel caso di trasferimento di dati o informazioni sensibili andrebbe richiesta ai fornitori tutta la documentazione e le certificazioni (come SOC 2) in modo da confermare il livello di condivisione che può essere messo in atto. In casi molto delicati, sarebbe anche consigliabile condurre un audit di conformità preliminare di un fornitore prima di firmare qualsiasi contratto.

Una difesa efficace

L’intensificarsi delle minacce e la sempre maggiore complessità di alcune infrastrutture sta diventano una vera sfida per i team IT, che non sempre riescono ad avere piena visibilità su ciò che accade all’interno della rete aziendale. Per proteggersi, le aziende dovranno adottare un approccio sempre più proattivo, adattando costantemente i loro controlli di sicurezza al panorama di minacce in continua evoluzione e l'unico modo per stare al passo con questi cambiamenti è costruire un efficace programma di Threat Intelligence.

La TI è già una componente chiave delle operazioni di sicurezza di qualsiasi azienda, indipendentemente da dimensioni e area geografica. Secondo una nostra recente indagine qualitativa condotta su un campione di quattordici realtà italiane medio-grandi che operano in diversi settori come manufacturing, telco, servizi e retail, l’adozione di servizi di Threat Intelligence si sta intensificando. L’opinione comune è che questi servizi consentano di aumentare la visibilità complessiva sulle cyber minacce e di rispondere in tempi utili per evitare danni irreparabili.

Per rendere più semplici ed efficaci tutte quelle attività di indagine e risposta alle minacce cosi come le operazioni di sicurezza IT per tutti i team che si occupano di sicurezza aziendale e di incident response, Kaspersky offre CyberTrace, una piattaforma centralizzata di Threat Intelligence che permette ai team di sicurezza di condurre ricerche complesse su tutti gli Indicatori di Compromissione (IoC), di analizzare i rilevamenti ottenuti da eventi precedentemente esaminati e di misurare l'efficacia dei feed integrati grazie anche all’utilizzo di una matrice di intersezione dei feed.