Il cyberspionaggio torna al centro dell'attenzione

L'affaire Leonardo è su tutti media e ha riportato l'attenzione su una realtà spesso protagonista di romanzi e film. Lo spionaggio informatico è una minaccia concreta e costante per organizzazioni pubbliche e private. Il furto di segreti industriali e governativi è un'attività altamente redditizia e le cyberspie sono tecnicamente avanzate, pazienti e determinate.
Utilizzando i dati dei Verizon Business Data Breach Investigations Report (DBIR), gli esperti del Verizon Threat Research Advisory Center (VTRAC) hanno realizzato il Verizon Cyber-Espionage Report (CER). Il rapporto analizza le ultime sette edizioni del DBIR (dal 2014 al 2020) e si concentra sulla natura unica del cyberspionaggio, prendendo in esame gli autori degli attacchi e le azioni che intraprendono, nonché le capacità specifiche di cui i team di sicurezza IT hanno bisogno per rilevare questi attacchi e difendersi da essi.

Cyberspionaggio: dati e strategie
Analizzando le tipologie di violazioni più diffuse, si evince che quelle determinate da motivazioni finanziarie sono le più comuni (con un range che varia tra il 67-86% nel periodo preso in esame), mentre quelle riconducibili al cyberspionaggio hanno numeri relativamente più bassi (tra il 10-26%). Tuttavia, non per questo sono meno dannose o preoccupanti; per loro stessa natura questi attacchi sono più invasivi e violenti rispetto agli altri. Mentre le violazioni motivate da scopi finanziari hanno maggiori probabilità di essere scoperte proprio a causa della perdita di denaro che determinano e segnalate anche a seguito di politiche normative, i dati rubati con una violazione di spionaggio informatico sono spesso estremamente importanti in termini di segretezza e sensibilità e criticità per le aziende.

Non sorprende che fra i settori maggiormente presi di mira vi siano quello pubblico (31%) seguito dal manifatturiero (22%) e da quello dei professionisti (11%), probabilmente perché detengono i segreti e le informazioni più desiderati dagli hacker.
Rispetto alle altre tipologie di violazioni, gli attacchi di cyberspionaggio differiscono nelle tattiche utilizzate, nell'abilità e nella pazienza delle cyberspie. Malware (90%), social engineering (83%) e hacking (80%) sono le principali strategie messe in campo dai criminali per le loro attività di spionaggio informatico. Ciò differisce rispetto a quanto accade prendendo in esame tutte le tipologie di violazioni: in questo caso l'hacking (56%) è la tattica dominante seguita da malware (39%) e social engineering (29%). Perché questa differenza? Le motivazioni possono essere rintracciate nel processo lento, metodico e prolungato che caratterizza queste strategie, che si adatta perfettamente alla complessità degli attacchi di spionaggio informatico.

Gli attacchi perpetrati dalle cyberspie impiegano mesi o anni per essere scoperti, molto più di quanto accade per gli altri tipi di violazione, aspettando spesso nell'ombra finché non è il momento di colpire.
Raccomandazioni per il futuro
Il Cyber-Espionage Report riporta anche alcune raccomandazioni su come le organizzazioni possono difendersi e riprendersi da tali attacchi. In particolare:
- I dipendenti sono la prima linea di difesa. Il social engineering, o phishing, è un metodo comune utilizzato dalle cyberspie per ottenere l'accesso a sistemi sensibili; è fondamentale che i dipendenti intraprendano una formazione regolare in materia di sicurezza informatica.
- Rafforzare la sicurezza perimetrale. Questa (intesa ad esempio come segmentazione della rete) assieme a una più solida capacità di gestione degli accessi (ad esempio utilizzando restrizioni need-to-know) può mitigare gli attacchi di cyberspionaggio.

- Una concreta strategia di Managed Detection e Response (MDR) può smascherare gli indicatori di compromissione sulla rete e sugli endpoint. I componenti essenziali dell'MDR includono le tecnologie SIEM (Security Information and Event Management), l'intelligence sulle minacce, l'analisi del comportamento di utenti ed enti (UEBA) e le funzionalità di ricerca delle minacce, nonché le integrazioni con le tecnologie di rilevamento e risposta degli endpoint (EDR), di rilevamento e risposta di rete (NDR) e antifrode.
- Prevenire il furto o la perdita di dati (DLP) può impedire che i dati sensibili vengono sottratti attraverso una backdoor.
- L'ottimizzazione dell'intelligence sulle minacce informatiche per aiutare a riconoscere gli indicatori di compromissione, il miglioramento di tattiche, tecniche e procedure e l'implementazione di un solido piano di risposta agli incidenti sono tutte strategie importanti per combattere il cyberspionaggio.

"Il crimine informatico opera sotto molte forme e su scale differenti, ma combatterlo e prevenirlo è sempre ugualmente importante", commenta John Grim, principale autore del Verizon Cyber-Espionage Report. "Il nostro obiettivo è che quello di condividere la nostra esperienza e i dati relativi allo spionaggio informatico per aiutare le aziende e i governi ad adattare le loro strategie di sicurezza IT per renderle più efficaci. Le difese, i piani di rilevamento e risposta dovrebbero essere testati regolarmente e ottimizzati per affrontare di petto le minacce informatiche. Ciò è particolarmente importante per le violazioni di cyberspionaggio, che in genere coinvolgono minacce avanzate che prendono di mira dati specifici e operano in modo da evitare il rilevamento e impedire alle organizzazioni di attuare una risposta efficace".