ENISA Threat Landscape Report: aumentano le spese in sicurezza ma non diminuisce l’esposizione ad attacchi

Se sia perché ci si affretta a comprare tecnologia senza una strategia di integrazione ragionata accrescendo le interfacce e aumentando la superficie esposta, come ha fatto notare Omar Abbosh, CSO di Accenture, durante il Cybertech 2017 di Roma, o se sia dovuto ad un mercato della sicurezza informatica ancora troppo segmentato o se manchi ancora consapevolezza, capacità e/o competenze, non è chiaro. Forse dipende da tutte queste varianti insieme, ma proprio per questi motivi è necessario abbandonare un assetto meramente reattivo e muoversi verso azioni di concreta prevenzione.

I trend maggiori del 2017

L’ENISA ha evidenziato sette tendenze principali rispetto al panorama degli attacchi occorsi nel periodo di osservazione:

1. Cresce costantemente la complessità degli attacchi e la sofisticazione delle azioni dannose.
2. Tutte le minacce fanno un uso avanzato della tecnica di offuscamento nascondendo le proprie tracce.
3. Le infrastrutture che abilitano attacchi malevoli “evolvono” verso un modello multiuso completo di anonimizzazione, crittografia ed evasione del rilevamento (favorendo il malware-as-a-service)
4. La principale motivazione della minaccia è rappresentata dalla monetizzazione dei cybercriminali che approfittano dell’anonimato offerto dall’uso delle valute digitali.
5. Gli attori malevoli sponsorizzati da Stati (State Sponsored attackers n.d.r.) sono fra le entità più onnipresenti e maligne del cyberspazio e costituiscono una delle principali preoccupazioni dei difensori.
6. La guerra informatica sta entrando nel cyberspazio creando preoccupazioni crescenti per gli operatori delle infrastrutture critiche, specialmente in alcune aree.
7. Competenze e capacità sono le principali preoccupazioni per le organizzazioni e la necessità di programmi di formazione e curricula adeguati sembra quasi senza risposta.

Ognuno dei temi qui sintetizzati è stato evidenziato a partire dall’analisi e trattazione estesa delle singole tipologie di minaccia: malware, phishing, spam, attacchi di negazione del servizio (Denial of service n.d.r.), ransomware, botnet, insiders (attaccanti interni alle organizzazioni n.d.r.), violazione intenzionale sui dati (data breaches n.d.r.), furto di identità, sottrazione di informazioni (information leakage n.d.r), exploit kits, attacchi web-based (che fanno uso di sistemi abilitati per il web e servizi come i browser, i siti, i componenti di servizi web e applicazioni n.d.r.), attacchi diretti ad applicazioni web, servizi web e app mobile, attacchi riconducibili a furti, danneggiamenti, perdita di dati e danni fisici, spionaggio a mezzo cyber.

Le raccomandazioni

La finalizzazione dell’analisi è costituita da una serie di raccomandazioni di natura politica, di business e legata agli ambiti della ricerca e della formazione.

Si auspica che l’ambito legislativo tenga conto del cyberspazio e delle problematiche di sicurezza per poter elaborare interventi di legge e strategie di difesa appropriati e transnazionali. A questo proposito viene riconosciuto cruciale anche un orientamento alla formazione specifica per i legislatori su questi temi. Nell’ambito del business si suggerisce di riaffermare l’utilità della cyberthreat intelligence unitamente allo sviluppo di strumenti che la automatizzino e la possano far evolvere verso l’inclusione di elementi di intelligenza tattica e strategica senza frammentazioni come avviene oggi, ma tentando una integrazione con le attuali tecnologie di sicurezza e protezione. È necessario stabilire inoltre modelli di maturità delle informazioni sulle minacce comprensivi di indicatori capaci di misurare l’andamento della strategia di attenuazione del rischio in una organizzazione, mediante l’analisi e la misura degli effetti dell’uso delle informazioni sulle minacce.

Infine nel campo della ricerca è necessario comprendere tutti i nuovi trend di attacco per anticipare le difese oppure adottare approcci innovativi come l’intelligenza artificiale e il machine learning per potenziare questa capacità.

Ma in generale la ricerca dovrebbe supportare gli interventi legali e legislativi, le pratiche e i metodi di gestione e protezione propri della sicurezza informatica. Infine l’educazione e la formazione devono essere più mirate al tema della sicurezza informatica e allo stesso tempo devono poter abbracciare più discipline, poiché una strategia e una tattica di risoluzione di livello statuale, aziendale, pubblico, privato non può passare da approccio meramente tecnologico ma sono necessarie competenze e conoscenze più ampie che permettano di guardare alla minaccia informatica come una sfida più estesa che applicandosi all’ambito digitale ha ripercussioni su quasi ogni area della attuale società civile. E protezione e difesa non dovrebbero perdere il confronto.