Gli attacchi informatici continuano ad aumentare, ma preoccupano soprattutto la crescita della gravità degli impatti e la sempre crescente centralità dell’Europa.
Le principali evidenze che emergono nel Rapporto Clusit di marzo 2022, presentato in questi giorni, fanno pensare ad un nuovo anno da affrontare con la guardia molto alta verso le minacce cyber.
Condividiamo il commento del Presidente Clusit, Davide Faggioli:
“I dati che abbiamo raccolto relativi al 2021 rappresentano l’evoluzione che ci attendavamo. I casi gravi aumentano, e l’Europa è sempre più al centro degli attacchi dei cyber criminali. Il dato più negativo di tutti ritengo che sia l’aumento importante della severità media degli attacchi, circostanza che comporta danni sempre maggiori e conseguenze sempre più devastanti per le aziende che subiscono le aggressioni. La situazione geopolitica purtroppo non aiuta. Dobbiamo aspettarci un anno molto, molto difficile”.
La cybersecurity nel mondo nel 2021
Nel 2021, gli attacchi informatici a livello mondiale sono stati il 10% in più rispetto al 2020 e gli attacchi gravi sono cresciuti del 32% rispetto 2018: se nel 2018 si verificavano 130 attacchi gravi al mese, adesso se ne verificano 171.
L’impatto medio degli attacchi è infatti sempre più grave: nel 2021 quasi l’80% degli attacchi ha avuto una severity critica o alta rispetto al 56% del 2020.
Guardando alla distribuzione geografica, gli attacchi verso il continente americano sono invariati, mentre gli attacchi verso realtà in Europa sono passate dal 15% al 22% e verso l’Asia dal 10% al 12%.
In compenso vediamo scendere l’incidenza degli attacchi gravi verso bersagli con sedi in diversi continenti.
Le perdite derivanti dalla continua evoluzione del cybercrime sono state stimate, a livello mondiale, ad un miliardo di miliardi di dollari nel 2020 e sei miliardi di miliardi nel 2021, praticamente 4 volte il PIL italiano.
Secondo gli esperti CLUSIT, i dati stessi parlano ormai da soli e dimostrano come non sia più possibile ignorare il problema della cybersecurity e rimandare gli investimenti necessari per adottare le contromisure adeguata a contrastare la minaccia.
Profilo degli attaccanti
Il cybercrime è stata la tipologia di attaccanti più diffusa nel 2021, pari all’86% del totale e in crescita del 16% rispetto al 2020.
Cyber Espionage e Information Warefare, oggi più spesso difficili da distinguere tra loro, rappresentano il 13% del totale, rispetto al 16% del 2020, legato principalmente allo spionaggio relativo a vaccini e cure Covid-19.
Le categorie più colpite dagli attacchi informatici
La categoria più colpita nel 2021 torna ad essere “Government” avendo subito il 15% del totale degli attacchi, mentre il settore “ICT”, si mantiene al secondo posto con il 14% degli attacchi.
Al terzo posto, con il 13%, c’è la categoria “Multiple Targets”, ossia “gli attacchi gravi compiuti in parallelo dallo stesso gruppo di attaccanti contro numerose organizzazioni appartenenti a categorie differenti. L’incidenza di questa categoria è diminuita del 31,7% rispetto al 2020, ma non è una buona notizia: infatti la riduzione osservata verso i target multipli si è trasformata in una crescita di attacchi gravi e mirati verso bersagli specifici, ovvero maggiore premeditazione e valutazione strategica da parte degli attaccanti.
Al quarto posto c’è l’Healthcare sempre con il 13% del totale seguita da altre 6 categorie merceologiche tra il 9 e il 4% (che sommate rappresentano il 32% degli attacchi rilevati) dimostrando ancora una volta che gli attaccanti si muovono a tutto campo e che tutti sono potenziali bersagli.
Tecniche di attacco e severity
I malware sono stati la tecnica più diffusa nel 2021, pari al 41% del totale, mentre al secondo posto ci sono state le tecniche “sconosciute”. Gli attacchi basati sulle “Vulnerabilità” di software e sistemi si trovano al terzo posto, in crescita del 60% rispetto al 2020, ed evidenziano ancora una volta l’importanza di un puntuale monitoraggio dei log di software e sistemi e di una efficace strategia di gestione e installazione degli aggiornamenti.
Seguono il Phishing/Social Engineering (-32%) e le Tecniche Multiple (+20%).
La percentuale in diminuzione del Phishing/Social Engineering non deve tuttavia trarre in inganno, in quanto si tratta di tecniche di “approccio delle vittime” ancora molto attive, anche in attacchi con tecniche multiple, e in continua evoluzione, tuttavia il “peso specifico” è diminuito rispetto ad altre tecniche in quanto, anche nel phishing le organizzazioni criminali si stanno orientando ad attacchi mirati ad impatto più elevato piuttosto che a campagne massive e numericamente più pesanti.
La severity degli attacchi cybercrime è un dato rilevante e preoccupante considerare.
Infatti, nel 2021 gli attacchi con impatti gravi sono sensibilmente aumentati, Critici e Alti sono l’80% del totale, evidenziano il cambio di strategia degli attaccanti, che, come abbiamo già richiamato in precedenza, prediligono vittime selezionate e attacchi preparati e premeditati con buoni ritorni economici.
In particolare, anche il dettaglio della severity di attacchi malware e Vulnerabilità, i più diffusi del cybercrime, evidenzia un incremento degli attacchi ad impatto critico.
Sicurezza informatica in Italia: tendenze e misure da adottare
Riguardo il contesto italiano sono stati analizzati i dati rilevati dal SOC (Security Operations Center) di Fastweb, che ha registrato un aumento di eventi di sicurezza del 16% rispetto al 2020, oltre 42 milioni.
I settori più colpiti in Italia sono Finance/Insurance e PA, insieme corrispondono al 50% dei casi, al terzo posto c’è l’Industria, che ha subito il 18% dei casi nel 2021, una crescita molto consistente rispetto al 7% del 2020.
Il numero di server compromessi rilevati nel 2021 è cresciuto del 58%, con una crescita evidente di malware e botnet, anche su dispositivi mobili.
Tra le tecniche di attacco rimane sempre in primo piano l’email, mentre diventano sempre più frequenti gli attacchi che mirano a software e applicazioni web che vengono rilevati attraverso Web Application Firewall.
Entrambi queste tipologie di attacco sono critiche perchè possono nascondere un duplice obiettivo, possono essere infatti utilizzate per realizzare l’attacco vero e proprio, ma possono anche essere attività preparatorie utilizzate per raccogliere informazioni sul bersaglio designato che possano aiutare a rendere più efficace un attacco informatico mirato. In entrambi i casi, pertanto, anche la semplice condivisione di informazioni, percepite come non rilevanti nè riservate, potrebbero celare un elevato livello di rischio per la privacy e la sicurezza dei dati e dei sistemi.
Gli attacchi zero-day, che sfruttano vulnerabilità dei software non ancora note, hanno invece una tendenza costante rispetto al 2020 ma continuano a destare preoccupazione in quanto originando da vulnerabilità sconosciute, non sono rilevabili dai sistemi di protezione e possono agire indisturbati fino al raggiungimento dell’obiettivo dell’attacco.
CONCLUSIONI
Nel 2021 sono stati rilevati ancora 46.000 server e device privi di livelli minimi di protezione, che quindi espongono quotidianamente servizi e dati al rischio di attacco.
Tuttavia, rispetto al 2020 c’è stata una diminuzione del 18%, a conferma che le aziende stanno progressivamente trasformando la postura di cybersecurity e incrementando le linee difensive, anche riservando sempre più attenzione ai servizi esposti ad internet, integrando sistemi di monitoraggio e notifica degli eventi anomali e pianificando la sicurezza dello smartworking per garantire l’accesso sicuro ai dati da remoto.
In generale, alcuni dati sembrano confermare che la consapevolezza di utenti, aziende e organi amministrativi rispetto alle minacce cyber, ai rischi ed ai possibili impatti di un attacco stia crescendo e che sempre più aziende e organizzazioni hanno attivato percorsi di formazione ed educazione dei dipendenti alla cybersecurity awareness.
Si stanno dunque facendo passi avanti e questa è una buona notizia, ma sono ancora moltissime le aziende e le organizzazioni che non hanno adottato soluzioni di sicurezza informatica perché non conoscono il pericolo o non ritengono che possa riguardarle.
A queste aziende consigliamo di non sottovalutare il rischio e di agire subito, perché tutte le premesse indicano che il 2022 sarà un altro anno caldo sul fronte della criminalità informatica e sarà sempre più difficile scampare al rischio di essere attaccate.