Cybersecurity, le storie più interessanti del 2022

In questo periodo dell’anno gli esperti di cyber security consultano la sfera di cristallo cercando di anticipare le tendenze 2023, il che è molto utile ma ancora più importante è analizzare ciò che è successo durante l’anno appena conclusosi al fine di realizzare delle previsioni corrette e soprattutto imparare dagli errori commessi.

Cyber-crime e vulnerabilità non possono più essere ignorati

L’elevato numero di eventi catastrofici nel mondo della sicurezza informatica sono segnali d’allarme che impongono di fare maggiore attenzione. Cyber attacchi come Stuxnet, che ha distrutto una parte significativa degli impianti nucleari iraniani nel 2010; Industroyer, che nel 2016 ha causato l’interruzione di parte della rete energetica ucraina; l’attacco ransomware del 2021 al Colonial Pipeline che ha portato al blocco di parte dell’approvvigionamento di carburante diretto alla costa orientale degli Stati Uniti; e la scoperta, un anno fa, del gruppo di vulnerabilità Log4Shell nella libreria di log open source Log4j della Apache Software Foundation (ASF), sono da monito e servono a porre l’attenzione sull’importanza della corretta implementazione e mantenimento dell’infrastruttura IT.

Eppure, ogni volta, finita la tempesta di titoli sui giornali e placatosi il panico generale, si tende a tralasciare la problematica della cyber insicurezza.

Anche se molto a rilento, questa forma di indolenza si accinge finalmente a scomparire come si evince dalle parole di Michael White, technical director and principal architect del Synopsys Software Integrity Group “Penso che il richiamo all’attenzione, sotto forma di regole e norme, è ormai notevole… Le norme sulla sicurezza dei prodotti, sia in settori specifici come la sanità, l’automotive, l’energia, che in vasti territori come Regno Unito e Unione Europea, con l’avvento anche degli Stati Uniti, significano che non si possono più ignorare tali segnali d’allarme…Adesso qualcuno deve apporre la propria firma attestando che l’organizzazione ha seguito tutte le “raccomandazioni” e le conseguenze per il mancato rispetto del regolamento sono molto chiare”.

Attacchi ransomware ancora in aumento

Ormai, il ransomware suona come una vecchia notizia: secondo la società di sicurezza CrowdStrike, il primo attacco risale a ben 33 anni fa. In quel caso, le vittime hanno dovuto inviare a una casella postale panamense quello che oggi corrisponde alla misera somma di 189$, ma il ransomware continua a evolversi arrivando a diventare una piaga globale che succhia ogni anno almeno 20 miliardi di dollari alle sue vittime e rendendosi, anno dopo anno, protagonista indiscusso delle principali notizie di cyber security, o di mancata sicurezza, da ormai più di un decennio.

L’analisi di Statista evidenzia dei numeri allarmanti; entro la fine dell’anno ci saranno probabilmente più di 472 milioni di attacchi ransomware, significa circa 15 cyber attacchi al secondo. Come tristemente dimostrato lo scorso anno, gli attacchi informatici possono causare caos e interruzioni di servizi indispensabili quando colpiscono infrastrutture critiche, creando il mal funzionamento e bloccando l’approvvigionamento di beni essenziali come cibo, carburante, trasporti, servizi pubblici, assistenza sanitaria, istruzione e così via.

Ciò che sorprende maggiormente è che i metodi per ridurre al minimo i rischi legati al ransomware sono da tempo conosciuti. Si sa, da sempre, che i motivi principali per cui questi attacchi hanno successo sono la mancanza di sicurezza del software e nei sistemi informatici, oltre alla scarsa capacità degli utenti/dipendenti di riconoscere le tecniche di social engineering che diventano di giorno in giorno sempre più sofisticate.

Rebecca Herold, CEO di Privacy & Security Brainiacs, ha evidenziato come troppe organizzazioni, invece di creare software più sicuri, utilizzare la crittografia end-to-end, creare procedure di backup e ripristino più efficaci e insegnare ai dipendenti come individuare i tentativi di phishing, decidano “o di correre il rischio, sperando di non essere presi di mira, o di acquistare un’assicurazione cyber presumendo, di solito erroneamente, che questa copra tutti i costi derivanti da un attacco ransomware… I criminali informatici adorano questo tipo di ingenuità”.

SBOM: Acronimo dell’anno

Il Software Bill of Materials (SBOM) è la distinta base, un documento contenente l’elenco di tutti gli elementi, comprese le librerie di terze parti utilizzate all’interno del software, e poiché si estende a tutta la supply chain del prodotto, comprese le dipendenze open source (molto spesso infatti le applicazioni si affidano ad altri software per funzionare), è indispensabile in ottica di risk management e sicurezza delle organizzazioni.

E’ stato Joe Biden, Presidente degli Stati Uniti, a sottolineare nel 2021 l’importanza che l’integrità delle supply chain del software riveste in ottica di sicurezza del sistema Paese attraverso il decreto “Executive Order on Improving the Nation’s Cyber security”, arrivando così a sensibilizzare un’ampia platea di addetti operanti nell’industria della sicurezza informatica. Questo rappresenta uno degli accadimenti più significativi nell’ambito della sicurezza software.

SBOM è l’acronimo dell’anno perchè gli esperti lo hanno riconosciuto come elemento fondamentale e indispensabile per migliorare la sicurezza del software in quanto consiste in un inventario di tutto ciò che è presente nella catena di approvvigionamento di un prodotto software, come l’origine di un componente, chi lo ha creato, chi lo sta mantenendo (o meno), se contiene vulnerabilità o conflitti di licenza noti etc. La distinta base del software aiuta così le organizzazioni a conoscere cosa c’è nel software che stanno utilizzando e se ha bisogno di essere aggiornato.

Vulnerabilità in costante aumento

Ogni anno vengono scritte sempre più linee di codice – due anni fa eravamo arrivati a 2,8 trilioni – e poiché è scritto da esseri umani imperfetti, è facile dedurre che anche esso sia imperfetto. Ciò determina un aumento delle vulnerabilità del software di anno in anno.

Secondo Statista, nel 2022 si è raggiunto un nuovo record, sono state aggiunte più di 22.500 vulnerabilità all’elenco Common Vulnerabilities and Exposures (CVE).

A condizionare gran parte dello scorso anno ci sono state le vulnerabilità di Log4Shell, scoperte alla fine del 2021 ma evidenti già da prima, hanno continuato a influenzare negativamente il 2022 e rimangono tuttora una minaccia notevole per le organizzazioni che non sono riuscite ad installare gli aggiornamenti perché, come spesso accade, nemmeno sanno che Log4j è sepolto da qualche parte nella supply chain del loro software.

Questa vulnerabilità ci ha travolti determinando in noi la consapevolezza che il software open source, in grado di offrire vantaggi multipli a sviluppatori e utenti, soffre anch’esso di problemi di sicurezza e non è né più né meno sicuro di qualsiasi altro software.
Forti delle lezioni apprese in passato e visto l’uso ormai massiccio del software open source, una buona condotta da adottare in questo nuovo anno sarebbe quella di monitorarlo e tenerlo aggiornato con l’ausilio di SBOM dettaglaiti.

IoT utilizzato come arma

L’Internet of Things (IoT), che conta un numero globale di 13,1 miliardi di dispositivi, è ormai in procinto di raddoppiare la popolazione mondiale che raggiunge i 7,8 miliardi di persone. Ormai definita Internet of Everything, rappresenta la più grande superficie di attacco mai vista poiché sia i fornitori che gli acquirenti di questa tipologia di oggetti sono più interessati alle loro funzionalità e tendono a tralasciare l’aspetto della sicurezza.

Nell’ultimo anno, una nuova tendenza minaccia il mondo dell’IoT. Il rischio non è più soltanto quello di veder compromesso il proprio dispositivo “intelligente” con l’obiettivo di rubare i soldi o l’identità della vittima.

Rebecca Herold osserva una maggiore frequenza dell’utilizzo dei prodotti IoT da parte dei criminali con il fine di “rintracciare e dare la caccia a vittime mirate”. Secondo Vice, presso otto dipartimenti di polizia negli Stati Uniti sono stati segnalati 50 casi di donne che affermavano di aver ricevuto notifiche di essere state seguite da dispositivi che non gli appartenevano.

“Tutti i tipi di GPS possono servire a questo scopo…Nel corso del 2022 sono state segnalate sempre più situazioni di questo tipo e questi dispositivi saranno sempre più utilizzati per scopi dannosi finché non verranno implementati sistemi di cyber security e di protezione della privacy”, afferma Harold.

La lacuna di competenze in ambito cyber security

Tra i temi più dibattuti della tech economy c’è quello dei licenziamenti.

Crunchbase segnala il taglio di 90.000 posti di lavoro da parte di più di 370 aziende avvenuto a metà dicembre, la lista riporta nomi come Netflix, Adobe, Meta, Cisco, Amazon e Salesforce.

La maggior parte di questi licenziamenti non ha colpito il settore della sicurezza informatica, che invece si trova a dover affrontare il problema opposto, un continuo gap di competenze.

Secondo il (ISC)2 “2022 Cyber security Workforce Study”, il gap è aumentato del 26,2% dal 2021, raggiungendo la cifra di 3,4 milioni. Nel 2021 è andata male e, come la maggior parte degli esperti aveva previsto, nel 2022 la lacuna di skills in ambito cyber security è ulteriormente aumentata e, visto il trend, quest’anno probabilmente andrà ancora peggio.

Sebbene lo studio abbia rilevato alcune tendenze incoraggianti, dichiarando che la grande maggioranza, il 72% delle organizzazioni prevede di aumentare il proprio personale per la sicurezza informatica durante il prossimo anno, si prevede però che la carenza continuerà e non solo a causa della mancanza di candidati qualificati.

Fino a quando questa situazione non migliorerà, le organizzazioni dovrebbero iniziare a colmare il vuoto applicando uno dei mantra degli esperti di sicurezza “la sicurezza è responsabilità di tutti”.

A cura di Taylor Armerding, Security Advocate, Synopsys Software Integrity Group

Profilo Autore

Taylor Armerding is a security advocate with the Synopsys Software Integrity Group, who focuses on building trust into software. He has written for CSO magazine, the Sophos blog Naked Security, and media outlets including Forbes, IB Times, Cyber Defense, Computer Weekly, SC Magazine, The Security Ledger, Security Boulevard, Information Week and Medium. He has covered topics including ransomware, data breaches, software security, GDPR, critical infrastructure, connected medical devices and the software supply chain.

Condividi sui Social Network:

Ultimi Articoli