Oggi, Microsoft sta rilasciando un nuovo rapporto annuale, chiamato Rapporto sulla difesa digitale, che copre le tendenze della sicurezza informatica dello scorso anno. Questo rapporto chiarisce che gli attori delle minacce sono aumentati rapidamente in sofisticazione nell’ultimo anno, utilizzando tecniche che li rendono più difficili da individuare e che minacciano anche gli obiettivi più scaltri. Ad esempio, gli attori dello stato nazionale si stanno impegnando in nuove tecniche di ricognizione che aumentano le loro possibilità di compromettere obiettivi di alto valore, i gruppi criminali che prendono di mira le aziende hanno spostato la loro infrastruttura nel cloud per nascondersi tra i servizi legittimi e gli aggressori hanno sviluppato nuovi modi per setacciare Internet per i sistemi vulnerabili al ransomware.
Oltre agli attacchi che diventano più sofisticati, gli attori delle minacce mostrano chiare preferenze per determinate tecniche, con notevoli cambiamenti verso la raccolta delle credenziali e il ransomware, nonché una crescente attenzione ai dispositivi Internet of Things (IoT). Tra le statistiche più significative su queste tendenze:
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Nel 2019 abbiamo bloccato oltre 13 miliardi di messaggi dannosi e sospetti, di cui oltre 1 miliardo erano URL impostati con lo scopo esplicito di lanciare un attacco di credenziali di phishing.
Il ransomware è il motivo più comune alla base dei nostri impegni di risposta agli incidenti da ottobre 2019 a luglio 2020.
Le tecniche di attacco più comuni utilizzate dagli attori dello stato-nazione nell’ultimo anno sono la ricognizione, la raccolta delle credenziali, il malware e gli exploit della rete privata virtuale (VPN).
Le minacce IoT sono in continua espansione ed evoluzione. La prima metà del 2020 ha visto un aumento di circa il 35% del volume totale degli attacchi rispetto alla seconda metà del 2019.
Dato il balzo in avanti nella sofisticazione degli attacchi nell’ultimo anno, è più importante che mai prendere provvedimenti per stabilire nuove regole della strada per il cyberspazio: che tutte le organizzazioni, siano esse agenzie governative o imprese, investano in persone e tecnologia per aiutare a fermare gli attacchi ; e che le persone si concentrino sulle basi, inclusa l’applicazione regolare di aggiornamenti di sicurezza, policy di backup complete e, soprattutto, l’abilitazione dell’autenticazione a più fattori (MFA). I nostri dati mostrano che l’attivazione dell’MFA da sola avrebbe impedito la stragrande maggioranza degli attacchi riusciti.
In questo post del blog riassumerò alcuni degli approfondimenti più importanti nel rapporto di quest’anno, compresi i relativi suggerimenti per persone e aziende.
I gruppi criminali stanno evolvendo le loro tecniche
I gruppi criminali sono abili e implacabili. Sono diventati esperti nell’evoluzione delle loro tecniche per aumentare le percentuali di successo, sia sperimentando diverse esche di phishing, adattando i tipi di attacchi che eseguono o trovando nuovi modi per nascondere il loro lavoro.
Negli ultimi mesi, abbiamo visto criminali informatici giocare con le loro tattiche e malware ben consolidati contro la nostra curiosità umana e il bisogno di informazioni. Gli aggressori sono opportunisti e cambieranno i temi dell’esca ogni giorno per allinearsi ai cicli di notizie, come si è visto nel loro uso della pandemia COVID-19. Sebbene il volume complessivo di malware sia stato relativamente costante nel tempo, gli avversari hanno utilizzato la preoccupazione mondiale per COVID-19 per progettare socialmente le esche intorno alla nostra ansia collettiva e al flusso di informazioni associate alla pandemia. Negli ultimi mesi, il volume degli attacchi di phishing a tema COVID-19 è diminuito. Queste campagne sono state utilizzate per rivolgersi in modo ampio ai consumatori, nonché per mirare specificamente a settori industriali essenziali come l’assistenza sanitaria.
Negli anni passati, i criminali informatici si sono concentrati sugli attacchi malware. Più recentemente, hanno spostato la loro attenzione sugli attacchi di phishing (~ 70%) come mezzo più diretto per raggiungere il loro obiettivo di raccogliere le credenziali delle persone. Per indurre le persone a rinunciare alle proprie credenziali, gli aggressori spesso inviano e-mail imitando le migliori marche. In base alla nostra telemetria di Office 365, i principali marchi falsificati utilizzati in questi attacchi sono Microsoft, UPS, Amazon, Apple e Zoom.
Inoltre, stiamo assistendo a campagne di attacco che vengono rapidamente modificate o trasformate per eludere il rilevamento. Il morphing viene utilizzato tra domini di invio, indirizzi e-mail, modelli di contenuto e domini URL. L’obiettivo è aumentare la combinazione di variazioni per rimanere invisibili.
Intermezzo promozionale ... continua la lettura dopo il box:
Gli attori dello stato-nazione stanno spostando i loro obiettivi
Gli stati-nazione hanno spostato i loro obiettivi per allinearli agli obiettivi politici in evoluzione nei paesi da cui provengono.
Microsoft ha osservato 16 diversi attori di stati-nazione che prendono di mira i clienti coinvolti negli sforzi di risposta globale al COVID-19 o utilizzano la crisi in esche a tema per espandere le loro tattiche di furto di credenziali e consegna di malware. Questi attacchi a tema COVID hanno preso di mira importanti organizzazioni sanitarie governative nel tentativo di eseguire ricognizioni sulle loro reti o persone. Sono state prese di mira anche le organizzazioni accademiche e commerciali coinvolte nella ricerca sui vaccini.
Negli ultimi anni c’è stata un’importante attenzione alle vulnerabilità nelle infrastrutture critiche. Sebbene dobbiamo rimanere vigili e continuare ad aumentare la sicurezza per le infrastrutture critiche, e sebbene questi obiettivi continueranno ad essere attraenti per gli attori dello stato-nazione, nell’ultimo anno tali attori si sono concentrati in gran parte su altri tipi di organizzazioni. In effetti, il 90% delle nostre notifiche di stato-nazione nell’ultimo anno sono state effettuate a organizzazioni che non gestiscono infrastrutture critiche. Obiettivi comuni hanno incluso organizzazioni non governative (ONG), gruppi di difesa, organizzazioni per i diritti umani e gruppi di riflessione incentrati su politiche pubbliche, affari internazionali o sicurezza. Questa tendenza potrebbe suggerire che gli attori dello stato-nazione abbiano preso di mira coloro che sono coinvolti nella politica pubblica e nella geopolitica, specialmente quelli che potrebbero aiutare a plasmare le politiche ufficiali del governo.La maggior parte dell’attività degli stati-nazione che abbiamo osservato lo scorso anno proveniva da gruppi in Russia, Iran, Cina e Corea del Nord.
Ogni attore dello stato-nazione che monitoriamo ha le proprie tecniche preferite e il rapporto descrive in dettaglio quelle preferite per alcuni dei gruppi più attivi.
Il ransomware continua a crescere come una delle principali minacce
Il Dipartimento per la sicurezza interna, l’FBI e altri ci hanno avvertito del ransomware, in particolare del suo potenziale utilizzo per interrompere le elezioni del 2020. Quello che abbiamo visto supporta le preoccupazioni che hanno sollevato.
I file crittografati e persi e le minacciose richieste di riscatto sono ormai diventati la paura principale per la maggior parte dei team esecutivi. I modelli di attacco dimostrano che i criminali informatici sanno quando ci saranno blocchi di modifiche, come le vacanze, che avranno un impatto sulla capacità di un’organizzazione di apportare modifiche (come l’applicazione di patch) per rafforzare le loro reti. Sono consapevoli di quando ci sono esigenze aziendali che renderanno le organizzazioni più disposte a pagare i riscatti che a incorrere in tempi di inattività, ad esempio durante i cicli di fatturazione nei settori sanitario, finanziario e legale.
Gli aggressori hanno sfruttato la crisi COVID-19 per ridurre il tempo di permanenza all’interno del sistema di una vittima – compromettendo, esfiltrando i dati e, in alcuni casi, riscattando rapidamente – apparentemente credendo che ci sarebbe stata una maggiore disponibilità a pagare a seguito dell’epidemia. In alcuni casi, i criminali informatici sono passati dall’ingresso iniziale al riscatto dell’intera rete in meno di 45 minuti.
Allo stesso tempo, vediamo anche che bande di ransomware gestite da esseri umani eseguono ricerche massicce e ad ampio raggio su Internet, alla ricerca di punti di ingresso vulnerabili, mentre “incassano” l’accesso, in attesa di un tempo vantaggioso per il loro scopo.
Lavorare da casa presenta nuove sfide
Sappiamo tutti che COVID-19 ha accelerato la tendenza del lavoro da casa che era già ben avviata nel 2019.
Le politiche di sicurezza tradizionali all’interno del perimetro di un’organizzazione sono diventate molto più difficili da applicare su una rete più ampia composta da reti domestiche e altre reti private e risorse non gestite nel percorso di connettività. Mentre le organizzazioni continuano a spostare le applicazioni nel cloud, vediamo che i criminali informatici aumentano gli attacchi DDoS (Distributed Denial of Service) per interrompere l’accesso degli utenti e persino offuscare le infiltrazioni più dannose e dannose delle risorse di un’organizzazione.
È anche importante affrontare l’elemento umano come fondamentale per una forza lavoro sicura esaminando sfide come minacce interne e ingegneria sociale da parte di attori malintenzionati. In un recente sondaggio condotto da Microsoft, il 73% dei CISO ha indicato che la propria organizzazione ha riscontrato fughe di dati sensibili e fuoriuscita di dati negli ultimi 12 mesi e che prevede di spendere di più sulla tecnologia del rischio interno a causa della pandemia COVID-19.
Durante la prima metà del 2020, abbiamo assistito a un aumento degli attacchi basati sull’identità che utilizzano la forza bruta sugli account aziendali. Questa tecnica di attacco utilizza ipotesi sistematiche, elenchi di password, credenziali scaricate da violazioni precedenti o altri metodi simili per l’autenticazione forzata su un dispositivo o servizio. Data la frequenza con cui le password vengono indovinate, phishing, rubate con malware o riutilizzate, è fondamentale che le persone abbinino le password a una seconda forma di credenziali forti. Per le organizzazioni, abilitare l’AMF è un invito all’azione essenziale.
Un approccio comunitario alla sicurezza informatica è fondamentale
In Microsoft, utilizziamo una combinazione di tecnologia, operazioni, azioni legali e policy per interrompere e scoraggiare le attività dannose.
Come misura tecnica, ad esempio, stiamo investendo in una sofisticata intelligenza di clustering delle campagne in Microsoft 365 per consentire ai team del Security Operations Center (SOC) di mettere insieme queste campagne sempre più complesse dai loro frammenti. Cerchiamo anche di rendere più difficile il funzionamento dei criminali interrompendo le loro attività attraverso azioni legali . Agendo in modo proattivo per sequestrare la loro infrastruttura dannosa, i malintenzionati perdono visibilità, capacità e accesso a una serie di risorse precedentemente sotto il loro controllo, costringendoli a ricostruire. Dal 2010, la nostra unità per i crimini digitali ha collaborato con le forze dell’ordine e altri partner su 22 interruzioni di malware, con il risultato che oltre 500 milioni di dispositivi sono stati salvati dai criminali informatici.
Anche con tutte le risorse che dedichiamo alla sicurezza informatica, il nostro contributo sarà solo una piccola parte di ciò che è necessario per affrontare la sfida. Richiede che i responsabili delle politiche, la comunità imprenditoriale, le agenzie governative e, in ultima analisi, gli individui facciano davvero la differenza e possiamo avere un impatto significativo solo attraverso la condivisione di informazioni e partnership. Questo è uno dei motivi per cui nel 2005 abbiamo lanciato inizialmente il Security Intelligence Report di Microsoft, ed è uno dei motivi per cui abbiamo evoluto quel report in questo nuovo Report sulla difesa digitale. Ci auguriamo che questo contributo ci aiuti a lavorare tutti insieme meglio per migliorare la sicurezza dell’ecosistema digitale.
Tag: AI , intelligenza artificiale , sicurezza informatica , Rapporto sulla difesa digitale , sicurezza e-mail , IoT , apprendimento automatico , sicurezza di rete , phishing , ransomware , intelligence sulla sicurezza , strategie di sicurezza
https://blogs.microsoft.com/on-the-issues/2020/09/29/microsoft-digital-defense-report-cyber-threats/