Trionfo del Malware di scarsa qualità, attacchi industrializzati su scala planetaria contro bersagli multipli e Stati come attori della minaccia queste le tre maggiori evidenze coniugate ad un panorama italiano ancora troppo fragile.
È uscito il nuovo Rapporto Clusit 2018 sull’analisi annuale della minaccia effettuata mediante analisi da fonti OSINT, dai contributi del Security Operations Center (SOC) di FASTWEB, dalle segnalazioni della Polizia Postale e dalle Comunicazioni del CERT Nazionale e del CERT-PA. Per commentarne le fonti, i contenuti e soprattutto capire cosa fare, abbiamo intervistato Andrea Zapparoli Manzoni, membro del board del Clusit, curatore del rapporto, ed esperto di Cybersecurity.
Come è formato il campione dei dati su cui è basato il rapporto e da quante fonti di dati è costituito?
Il campione è formato in modo diversificato e analizzato in modo ancora diverso. Si parte da un centinaio di siti e fonti specializzati in cybersecurity secondo quattro macrofamiglie: blog di ricercatori, come quelli di Andrea Draghetti o Marco Ramilli, siti di news da seguire, siti che si occupano di fare statistiche e analisi di data breach e i siti dei Cert nazionali, ad esempio i siti inglesi e polacchi sono molto prolifici. In aggiunta, periodicamente sono analizzati i bilanci pubblici delle aziende in cui ci sono voci di costi per perdite e ripristino del sistema informatico. Infine, da una rete di contatti personali emergono informazioni ulteriori. L’analisi dei dati viene eseguita continuamente. Siamo a circa 95 attacchi gravi al mese. Quindi almeno una volta alla settimana bisogna rianalizzare il set di attacchi. Sottolineo l’esistenza di una deformazione del campione per i fenomeni che più difficilmente diventano di dominio pubblico: spionaggio ed infowarfare che quindi sono sottorappresentati. Quindi, riassumendo i dati sono tutti presi da fonti aperte, tutti relativi ad attacchi riusciti tanto da fare notizia e da quest’anno abbiamo voluto anche aggiungere l’analisi degli impatti.
Infatti, anche se il cybercrime ha impatti medi, spionaggio e cyberwarfare, che sono meno rappresentati, causano più danni. Lo scopo nei prossimi anni è fare confronti fra le severity con i dati su diversi anni. Abbiamo analizzato 1127 attacchi e complessivamente il DB è arrivato a 7700 eventi e i trend che emergono sono ragionevoli secondo il campione considerato. In aggiunta, grazie a Fastweb, abbiamo anche i dati derivanti dalle sue sonde sulla rete che permettono di osservare un certo numero di anomalie, rappresentative di tentati attacchi, di cui una parte bloccata ed una fetta vista passare (sonde di traffic sniffing n.d.r.). Sono tipi di dati network centrici, con pochi eventi a livello 7 della pila ISO-OSI (International Organization for Standardization-Open Systems Interconnection, stabilisce l’architettura logica di una rete di calcolatori su sette strati, di cui l’ultimo livello è lo strato di presentazione dei dati, tipicamente una interfaccia utente n.d.r.)
Al posto dei “lone wolf” ormai vigono gli attacchi industrializzati, come si legge nel rapporto, su scala planetaria e verso bersagli multipli. Come ci si difende da questo “sparare nel mucchio”?
Gli attacchi sono industrializzati perché sia il cybercrime, sia lo spionaggio in termini di complessità hanno “una potenza di fuoco” diversa dagli anni passati. Questa grande economia parallela ha bisogno di operare su larga scala. Inevitabilmente si creano gruppi ad assetto variabile, associazioni temporanee a delinquere che permettono loro di ridurre i rischi e di collaborare senza conflitti in funzione dei mega soldi attesi. Hanno tanti bersagli in parallelo, perché conviene sparare contro tutti costantemente dalla mattina alla sera, meramente per motivi probabilistici.
Poi c’è un altro aspetto: secondo la legge dei ritorni decrescenti (andamento gaussiano degli investimenti per cui inizialmente e fino ad un certo punto si ricava più di quanto si investa e da un punto della curva investire di più non conviene n.d.r.) agli attaccanti ancora conviene investire poco per avere grandi e cospicui ritorni, poiché oggi è come sparare sulla croce rossa ed è quasi sempre tutto guadagno. Per questo sono incentivati a fare le cose sempre più in grande.