IBM ha reso pubblica la nuova edizione (dodicesima) del report X-Force Threat Intelligence Index 2024 (che puoi scaricare QUI), con cui segnala una crisi mondiale legata all’identità digitale, lanciando un allarme riguardo alla crescita senza precedenti dello sfruttamento delle identità digitali degli utenti da parte dei criminali informatici con l’obiettivo di danneggiare le imprese di tutto il mondo.
Nel 2023 secondo IBM X-Force, la divisione di sicurezza di IBM Consulting, i criminali informatici hanno sperimentato la possibilità di accedere alle reti aziendali utilizzando account validi piuttosto che comprometterli. Un cambio di strategia che ha portato l’Europa a registrare un aumento del 66% degli attacchi basati sull’uso di identità legittime rispetto all’anno precedente.
Ed è proprio l’Europa ad aver costituito il principale bersaglio degli attacchi informatici a livello globale, con quasi un terzo di tutti gli incidenti concentrati nel continente. Dietro Nord America (28% degli incidenti) e Asia. Tra i paesi europei più colpiti nel corso del 2023 figurano il Regno Unito (27%), la Germania (15%), la Danimarca (14%), il Portogallo (11%), l’Italia (8%) e la Francia (8%).
L’X-Force Threat Intelligence Index si basa su osservazioni e intuizioni derivanti dal monitoraggio di oltre 150 miliardi di eventi in materia di cybersecurity che avvengono quotidianamente in più di 130 paesi. I dati sono inoltre stati raccolti e analizzati da diverse fonti interne ad IBM, tra cui IBM X-Force Threat Intelligence, Incident Response, X-Force Red e IBM Managed Security Services. Anche Red Hat Insights e Intezer hanno contribuito al report per il 2024.
I dati dell’X-Force Threat Intelligence Index 2024
Come accennato all’inizio, nel 2023 si è verificato un preoccupante aumento degli attacchi che sfruttano credenziali legittime per accedere ai sistemi aziendali. Identità digitali e e-mail si sono rivelate i principali punti deboli, coinvolte nel 30% delle violazioni di account validi e phishing. Quest’ultimo pur rimanendo uno dei principali vettori di infezione, ha registrato una diminuzione del 44% del volume rispetto al 2022.
I malware hanno rappresentato la tipologia di minaccia più diffusa, tanto che sono arrivati a coprire il 44% di tutti gli incidenti. Al secondo posto, l’uso di strumenti legittimi al 26% ed infine, l’accesso ai server al 15%. La crescente resistenza delle aziende ha invece portato gli attacchi ransomware a un calo di quasi il 12% rispetto al 2022 e influenzato le prospettive degli aggressori, che ora stanno spostando la propria attenzione sul furto di dati. Tuttavia, l’Europa ha subito la maggior parte degli attacchi ransomware a livello globale (26%). I tre fattori che hanno impattato maggiormente le organizzazioni europee sono stati raccolta di credenziali (28%), estorsione (24%) e fuga di dati (16%).
Quasi il 74% degli attacchi osservati ha mirato alle infrastrutture critiche, indicando un’alta concentrazione di attacchi verso settori vitali per l’economia e la sicurezza della regione. Peraltro, l’X-Force Threat Intelligence Index 2024 rivela che per quasi l’85% degli attacchi ai settori critici, la compromissione si sarebbe potuta limitare grazie all’applicazione di patch, all’autenticazione a più fattori oppure al principio del privilegio minimo.
Tra i settori più colpiti, il manifatturiero è stato il più esposto, con il 28% degli incidenti, seguito dal settore dei servizi professionali rivolti a imprese e consumatori che ha registrato il 25% degli attacchi, dai servizi finanziari e assicurativi e dal settore energetico che sono stati oggetto rispettivamente del 16% e del 14% delle minacce. Nel complesso, l’Europa ha registrato la percentuale più alta di incidenti nel settore dell’energia al 43% e in quello finanziario e assicurativo al 37%.
Identità digitale: è crisi a livello globale
Nell’X-Force Threat Intelligence Index 2024, IBM parla di una crisi globale legata alle identità digitali che è destinata a precipitare, poiché i criminali informatici hanno trovato una strada più agevole attraverso lo sfruttamento di account validi, con miliardi di credenziali compromesse che si scovano sul Dark Web.
Nel 2023 X-Force ha visto gli aggressori investire sempre di più in tattiche volte a ottenere le identità degli utenti, con un aumento del 266% dei furti di dati, progettati per carpire informazioni riconducibili all’identità personale, come e-mail, credenziali di social media e app di messaggistica, dati bancari o di portafogli di criptovalute e altro ancora.
Questa facilità di accesso per i malintenzionati rende d’altro canto estremamente difficile per le aziende individuare comportamenti illegittimi e richiede una risposta costosa. Secondo X-Force, gli attacchi più gravi che coinvolgono account validi richiedono ai responsabili della cybersecurity misure di risposta più complesse del 200%, rispetto alla media degli incidenti.
Di conseguenza, i tempi di ripristino dalle violazioni subite si allungano come dimostrato dal Cost of a Data Breach Report 2023 di IBM per cui le violazioni causate da credenziali rubate o compromesse hanno richiesto circa 11 mesi per essere rilevate e recuperate: il ciclo di vita della risposta più lungo rispetto a qualsiasi altro vettore di infezione.
Guardando al prossimo futuro, lo scenario è tutt’altro che promettente perché le minacce legate all’identità continueranno a crescere mentre i cybercriminali sfruttano l’intelligenza artificiale generativa per perfezionare le loro tattiche. Già nel 2023, X-Force ha osservato oltre 800.000 post relativi all’AI e ai GPT nei forum del Dark Web, evidenziando un crescente interesse e coinvolgimento dei criminali informatici in queste tecnologie avanzate.
L’AI attira l’interesse dei criminali informatici
Secondo l’analisi di IBM X-Force, nel momento in cui una singola tecnologia di AI generativa raggiungerà circa il 50% di quota di mercato o quando il mercato si ridurrà a tre o meno tecnologie dominanti, l’Intelligenza artificiale potrebbe diventare una superficie di attacco matura, suscitando ulteriori investimenti in nuovi strumenti da parte dei criminali informatici.
Affinché i criminali informatici possano ottenere un ritorno sugli investimenti dai loro attacchi, le tecnologie nel mirino devono essere ampiamente diffuse tra le organizzazioni globali. Analogamente a quanto accaduto in passato con i ransomware e la diffusione dei server Windows, le frodi BEC e l’adozione di Microsoft 365, o il cryptojacking e il consolidamento del mercato Infrastructure-as-a-Service, è probabile che questo modello si estenda anche all’AI.
Nonostante l’AI generativa si trovi attualmente in una fase preliminare rispetto al mercato di massa, è cruciale che le aziende proteggano i propri modelli di intelligenza artificiale prima che i criminali informatici li prendano di mira. Le aziende devono comprendere che l’infrastruttura sottostante rappresenta un potenziale punto di accesso ai loro modelli di AI, che non richiede tattiche particolarmente innovative da parte dei cybercriminali per essere sfruttato. Ciò sottolinea l’importanza di adottare un approccio olistico alla sicurezza nell’era dell’AI generativa, come indicato nell’IBM Framework for Securing Generative AI.
“Sebbene l’attenzione riservata agli attacchi ingegnerizzati dall’AI sia maggiore rispetto ai problemi di sicurezza più noti e basilari, sono questi ultimi ad essere ancora oggi i più diffusi”, ha affermato Charles Henderson, Global Managing Partner, IBM Consulting e Head of IBM X-Force. “Le identità compromesse vengono utilizzate ripetutamente contro le aziende, un problema che è destinato ad acuirsi poiché gli aggressori utilizzeranno l’AI per ottimizzare le loro tattiche.”
IBM X-Force: strategie di difesa per le aziende
Basandosi su questa ricerca, IBM X-Force ha sviluppato per le imprese alcune linee guida per neutralizzare gli attacchi.
Anzitutto dovrebbero valutare l’implementazione di soluzioni volte a mitigare i danni causati da una violazione della sicurezza dei dati, limitando il raggio d’azione della stessa, vale a dire l’impatto potenziale dell’evento in seguito alla compromissione di particolari utenti, dispositivi o dati. Questo implica l’adozione di un approccio a privilegi minimi, la segmentazione della rete e la creazione di una “identity fabric” che estenda le moderne funzionalità di sicurezza, rilevamento e risposta anche a contesti in cui sono presenti applicazioni e sistemi obsoleti.
In secondo luogo, occorre effettuare stress-test degli ambienti e sviluppare un piano di incident response. Il che significa coinvolgere servizi di hacking per testare l’ambiente e individuare le vulnerabilità che i criminali informatici potrebbero sfruttare per accedere alla rete e lanciare attacchi. È essenziale, per ridurre i tempi di risposta, rimedio e recupero da un attacco, anche disporre di piani di incident response personalizzati per l’ambiente specifico, che dovrebbero essere regolarmente aggiornati e includere una risposta inter-organizzativa, incorporare gli stakeholder al di fuori dell’IT e testare le linee di comunicazione tra i team tecnici e la leadership aziendale.
Un’altra raccomandazione è quella di concentrarsi su alcuni principi chiave per garantire una corretta e sicura adozione dell’AI: proteggere i dati di addestramento sottostanti, garantire la sicurezza dei modelli, del loro utilizzo e della loro logica. È altresì fondamentale proteggere l’infrastruttura che interagisce con i modelli di intelligenza artificiale. IBM ha recentemente introdotto un Framework for Securing Generative AI completo, progettato per aiutare le aziende a definire le priorità di difesa in base ai rischi e al potenziale impatto.
Articolo originariamente pubblicato il 23 Feb 2024