L’arte della guerra informatica: Sun Tzu e la cybersecurity

Come applicare gli insegnamenti di Sun Tzu alla cybersicurezza.

Sun Tzu cercò di rivoluzionare il modo in cui veniva combattuta la guerra. E questo non è poco, considerando che nacque nel 544 A.C. e visse in un’epoca in cui la maggior parte delle guerre erano poco più che scontri feroci tra uno o più gruppi armati di asce, clave e bastoni appuntiti.

Sebbene non esistano molte informazioni sulla vita di Sun Tzu, sappiamo che era al servizio dell’allora sovrano del Regno di Wei in quella che oggi è la regione nordorientale della Cina. Era una generale e filosofo cinese che studiava gli aspetti psicologici della guerra, con un approccio completamente originale al conflitto armato nell’antica Cina.

Molti storici ritengono che il libro di Sun Tzu sia stato scritto per aiutare i generali che erano impegnati nei numerosi conflitti regionali. Oggi, dopo 2.000 anni e centinaia di guerre, il libro Arte della guerra di Sun Tzu è un bestseller. Il testo è diventato una sorta di stele di Rosetta della teoria militare, citato dagli studiosi e applicato ben oltre il campo di battaglia, con un’ampia diffusione nelle scuole di economia e ora anche nell’ambito della cybersecurity.

L’arte della cyberguerra: preparazione.

Adattare le tante citazioni famose di Sun Tzu alla cybersecurity è un esercizio piuttosto semplice. Ne abbiamo selezionate tre che potessero descrivere al meglio aspetti importanti della cybersicurezza: preparazione, pianificazione e conoscenza. Per quanto riguarda la preparazione, abbiamo riadattato questo suo monito famoso:

La guerra informatica è di vitale importanza per qualsiasi azienda. È una questione di vita o di morte, una strada che porta alla sicurezza o alla rovina.

Nonostante la formazione militare, Sun Tzu sosteneva che lo scontro diretto non è il metodo migliore per vincere le battaglie. Ma quando lo scontro è necessario, è saggio prepararsi accuratamente per ogni eventualità. Questa è la lezione tipicamente ignorata dalle aziende, che dopo una violazione grave si trovano ad affrontare multe, perdita di credibilità e critiche per aver trascurato la sicurezza della loro rete e per non essersi protette adeguatamente dai cyber criminali. Per prepararsi occorre non solo dotarsi della tecnologia più avanzata possibile, ma anche formare i propri dipendenti e portare la cybersicurezza all’attenzione di tutti.

L’arte della cyberguerra: pianificazione.

Per la pianificazione abbiamo valutato il modo in cui il concetto di “arte” è anche una fonte di saggezza per gli aggressori:

Il nemico non deve sapere dove intendi attaccare. Costringi il nemico a prepararsi contro possibili attacchi in molti punti diversi e fai in modo che distribuisca le sue difese in tante direzioni; così, le difese che dovrai affrontare in un qualsiasi momento saranno relativamente poche.

Questo adattamento si riferisce ad altri stratagemmi con cui Sun Tzu invita i suoi generali a non sottovalutare mai i propri nemici e a pianificare ogni possibilità. Lo stesso vale per i cyber criminali, che sceglieranno le battaglie più semplici per avere la certezza del successo. Pertanto, è opportuno pianificare le nostre difese come se avessimo già subito un attacco e una violazione.

L’arte della cyberguerra: conoscenza.

Sun Tzu consiglia di non prendere decisioni affrettate e dettate dalle emozioni, sottolineando l’importanza della conoscenza. Suggerisce ai capi di acquisire ddle maggiori conoscenze possibili nella preparazione di una battaglia, senza però limitarsi ai punti di forza e di debolezza del nemico.

Se conosci il nemico e conosci te stesso, nemmeno in cento battaglie ti troverai in pericolo. Se conosci te stesso, ma non il nemico, per ogni vittoria ottenuta subirai anche una sconfitta. Se non conosci te stesso né il nemico, soccomberai in ogni battaglia.

Questo consiglio è una citazione letterale che descrive accuratamente come dovrebbe funzionare la cybersicurezza. Le aziende devono massimizzare la potenza dell’intelligence sulle minacce fornendo al personale IT gli strumenti per valutare le analisi in tempo reale e trasformare ogni singolo dato in informazioni preziose. Il personale IT dovrebbe inoltre disporre dei mezzi per riuscire a prevedere tutto quello che può succedere e valutare la migliore strategia da adottare prima, durante e dopo una violazione.

Il segreto dell’arte della cyber guerra.

I teorici della guerra dibattono da tempo su come classificare la preparazione e l’esecuzione delle attività militari. Il generale Carl von Clausewitz è, insieme a Sun Tzu, uno dei più noti e rispettati pensatori in materia. Nel suo libro Von Kriege (Della guerra), pubblicato nel 1832, osserva che la preparazione della guerra deve essere scientifica, ma la conduzione di una battaglia è un’arte. Per la scienza studiamo la logistica, la tecnologia e altri elementi a seconda delle necessità. Per quanto riguarda il lato artistico, ci affidiamo al talento individuale e al coraggio per cogliere le opportunità che aumentano la probabilità di vittoria. Clausewitz riteneva inoltre che la guerra rientrasse nell’ambito della vita sociale, così come tutti i conflitti di grande interesse umano.

Queste definizioni sono valide anche per la guerra informatica. Consideriamo ad esempio le attività di business come una combinazione di scienza, arte e vita sociale. Le aziende che operano sul mercato analizzano accuratamente la concorrenza, creano dei modi per attirare la clientela e insistono sul coinvolgimento e l’interazione sociale. Perché non dovremmo, quindi, applicare lo stesso livello di attenzione e risorse alla nostra cybersicurezza? Probabilmente Sun Tzu sarebbe d’accordo con noi e, lisciandosi la barba, annuirebbe convinto.

Quest’anno, i cyber attacchi hanno già superato i volumi totali degli anni 2017, 2018 e 2019, come riportato nell’aggiornamento di metà anno del Rapporto SonicWall 2022 sul Cybercrime. Inoltre, ogni giorno compaiono nuovi vettori di attacco online. Senza un’adeguata preparazione, pianificazione e conoscenza, le aziende corrono un alto rischio di subire cyber attacchi devastanti.

Per maggiori informazioni sull’arte e sulla scienza, iscriviti al webinar MINDHUNTER 11, “L’arte della cyber guerra” e scopri dagli esperti come mantenere al sicuro la tua azienda nelle prossime battaglie informatiche.

Prestazioni sette volte eccellenti per SonicWall nei test di terze parti

Nei test ATD di ICSA Labs del 3° trimestre 2022, SonicWall ottiene 100% nel rilevamento delle minacce per il suo settimo trimestre consecutivo.

Il numero sette è spesso associato alla fortuna. Ma il settimo punteggio del 100% ottenuto da SonicWall nel rilevamento delle minacce nei test indipendenti di ICSA non ha niente a che vedere con la fortuna.

“SonicWall Capture ATP ha superato molto bene questo ciclo di test, rilevando il 100% di minacce prima sconosciute senza alcun falso positivo” ha certificato ICSA nel suo rapporto relativo ai test Advanced Threat Defense (ATD) svolti nel 3° trimestre del 2022.

Dal 20 luglio al 16 agosto 2022, un firewall SonicWall NSa 3600 di nuova generazione, dotato del servizio SonicWall Advanced Threat Protection (ATP) con la brevettata tecnologia Real-Time Deep Memory Inspection™ (RTDMI), è stato sottoposto a 28 giorni di test continui da parte della società di test indipendenti ICSA Labs.

Per misurare le capacità di rilevamento delle minacce della nostra tecnologia sono stati eseguiti 1.292 cicli di test in totale, di cui 672 composti da minacce nuove e poco note, tutte classificate correttamente come dannose da Capture ATP. Le restanti 620 erano applicazioni e attività innocue, e nessuna di queste è stata identificata in modo errato dalla soluzione SonicWall.

SonicWall si è distinta ancora una volta

Questa performance eccellente ha permesso a SonicWall di ottenere un punteggio perfetto nei test del 3° trimestre, ma questa non è una novità. Dal primo trimestre del 2021, i test trimestrali ATD di ICSA Labs hanno confermato che SonicWall offre la massima efficacia di sicurezza complessiva, con un tasso di rilevamento delle minacce del 100% e il numero più basso di falsi positivi. Questo ci ha permesso di ottenere sette punteggi consecutivi del 100% nel rilevamento delle minacce, di cui sei punteggi perfetti (senza falsi positivi).

Le prestazioni di SonicWall in questi cicli di test sono senza precedenti. Per quanto riguarda questo ciclo di test, SonicWall ha ottenuto il punteggio complessivo più alto tra i vendor che partecipavano al test, il tutto con una soluzione che offre il TCO migliore del settore.

Cosa sono i test ATD di ICSA?

I test standard Advanced Threat Defense (ATD) di ICSA Labs sono progettati per valutare la capacità delle soluzioni di sicurezza di rilevare le minacce nuove e avanzate che i prodotti di sicurezza tradizionali non sono probabilmente in grado di riconoscere. Le soluzioni di sicurezza idonee vengono esaminate ogni trimestre per un minimo di tre settimane. In questo periodo di tempo, ICSA Labs sottopone le soluzioni di sicurezza dalle minacce avanzate a centinaia di test. I cicli di test sono composti da una combinazione di minacce nuove, minacce poco note e applicazioni e attività innocue, progettate per valutare l’efficacia delle soluzioni nel rilevare queste minacce, senza classificare in modo errato gli elementi non dannosi.

Cosa sono Capture ATP e RTDMI?

I cicli di test di terze parti come questo sono sempre più importanti, man mano che i cyber attacchi diventano più sofisticati ed elusivi. In particolare gli attacchi sponsorizzati dagli stati hanno cambiato le regole del gioco, trasformando i “cybercriminali” in lavoratori a tempo pieno finanziati dal loro governo. Di conseguenza oggi vediamo un’ondata di attacchi complessi, perfezionati e in grado di oltrepassare le difese di molte organizzazioni.

Da questo emergono due principi basilari della moderna cybersecurity:  l’importanza della tecnologia di sandboxing per un vendor di soluzioni di sicurezza e il fatto che le tecnologie non sono tutte uguali.

SonicWall Capture Advanced Threat Protection (ATP) è un servizio sandbox multilivello progettato per contrastare le nuove forme di malware che utilizzano tattiche di evasione avanzate per eludere le tradizionali difese della rete. Questo servizio basato sul cloud, disponibile per i firewall e altre soluzioni SonicWall, è stato creato per fornire diversi ambienti in cui il codice dannoso può detonare in modo innocuo, senza produrre danni alla rete.

La tecnologia Real-Time Deep Memory Inspection (RTDMI™), brevettata da SonicWall e parte integrante di Capture ATP, utilizza tecniche proprietarie di ispezione della memoria, monitoraggio delle istruzioni della CPU e machine learning per riconoscere e mitigare in modo più efficiente gli attacchi finora sconosciuti agli esperti di cybersecurity, comprese le minacce che non mostrano alcun comportamento dannoso e si nascondono attraverso la crittografia. Questo tipo di attacchi non viene generalmente rilevato dalle sandbox tradizionali.

Grazie alle tecnologie di intelligenza artificiale e machine learning integrate, RTDMI diventa sempre più efficace. Per esempio, nel terzo trimestre 2022 ha scoperto 373.756 varianti di malware mai viste prima. Si tratta di un aumento del 20% dall’inizio dell’anno, e una media di 1.374 al giorno.

Il rapporto completo di ICSA Labs può essere scaricato qui. Per maggiori informazioni su SonicWall Capture ATP con RTDMI, visitare il nostro sito web.

Le informazioni sulle minacce del 3° trimestre 2022 mostrano un contesto in evoluzione nel 2022

Il terzo trimestre ha registrato meno ransomware e più attacchi di cryptojacking e IoT, ricordandoci che la preparazione è un aspetto fondamentale quando l’unica costante è il cambiamento.

Uno dei temi dominanti dell’aggiornamento di metà anno del Rapporto SonicWall 2022 sul Cybercrime è stato senza dubbio il cambiamento, dato che nella prima metà del 2022 abbiamo visto inversioni di tendenza, uno spostamento degli obiettivi e il diffondersi di nuove tecniche.

Allo stesso modo, il nostro aggiornamento sulle minacce del 3° trimestre presenta l’immagine di un mondo in trasformazione, dove i cambiamenti e le inversioni di tendenza che avevamo notato in luglio proseguono tra alti e bassi nell’ambiente sempre più volatile delle minacce informatiche.

Malware

Mentre il primo semestre del 2022 ha visto un aumento del volume di malware dell’11% da inizio anno rispetto al valore totale del 2021, questa crescita è rallentata nel 3° trimestre. Il volume di malware (circa 4 miliardi) è rimasto praticamente invariato rispetto a quello registrato nello stesso periodo nel 2021.

Questa andamento costante del volume di malware nasconde in realtà un enorme movimento. I paesi tradizionalmente più colpiti dal malware, come gli Stati Uniti e il Regno Unito, hanno continuato a registrare un calo dei volumi di malware, rispettivamente del 5% e del 25%.

Ma nel resto dell’Europa si è verificato un aumento costante degli attacchi malware, con un totale superiore del 3% rispetto allo stesso periodo del 2021.

Il maggior aumento si è visto tuttavia in Asia. Sebbene questa regione sia normalmente molto meno colpita dal malware rispetto al Nord America e all’Europa, il volume di attacchi alla fine del 3° trimestre ha raggiunto 603,4 milioni, pari a un incremento del 38% dall’inizio dell’anno. Pur non essendo paragonabile all’aumento che ha interessato l’Europa, questo è il valore che gli si è avvicinato maggiormente nei tempi recenti, e rappresenta una tendenza preoccupante man mano che ci avviciniamo alla fine dell’anno. 

Ransomware

Il volume di ransomware a livello globale ha continuato a diminuire nel terzo trimestre rispetto alle cifre totali del 2021. I 338,4 milioni di attacchi ransomware registrati nei primi tre trimestri del 2022 rappresentano un calo del 31% dall’inizio dell’anno, con una media di 1.013 tentativi di ransomware per cliente.

Queste cifre offrono lo spunto per due considerazioni: innanzitutto il ransomware sta diminuendo, ma non così drasticamente come all’inizio di quest’anno, il che potrebbe indicare una possibile inversione all’orizzonte.

In secondo luogo, sebbene il ransomware sia leggermente diminuito rispetto ai livelli vertiginosi del 2021, il volume registrato finora nel 2022 è ancora ampiamente superiore ai valori annuali complessivi degli ultimi cinque anni. E poiché le offerte di Ransomware-as-a-Service (RaaS) sono sempre più facilmente disponibili e i gruppi ransomware continuano a sviluppare nuovi metodi per colpire le loro vittime, è probabile che prima o poi tornerà ad aumentare nuovamente.

Despite decreases in ransomware volume, 2022 is still on track to be the second-highest year for ransomware in recent memory

Come nel caso del malware, anche per il ransomware abbiamo notato una grande volatilità delle tendenze a livello geografico. Gli Stati Uniti, che sono tipicamente l’epicentro del ransomware, hanno registrato un notevole calo di attacchi (-51%) nei primi tre trimestri del 2022. Al contrario, nel Regno Unito il ransomware è aumentato del 20% e in Europa gli attacchi globali sono cresciuti del 38% dall’inizio dell’anno, proseguendo lo spostamento geografico già rilevato nell’aggiornamento di metà anno.

L’aumento più considerevole è stato però registrato in Asia, dove il volume totale di ransomware è aumentato del 56% rispetto al 2021. In agosto, il volume mensile di ransomware ha raggiunto 2,61 milioni, una cifra oltre 10 volte superiore a quella rilevata in gennaio e il volume totale più alto dei tempi recenti. Di fatto, l’Asia ha subito nei primi nove mesi del 2022 lo stesso numero di attacchi dell’intero 2021, e quasi il doppio degli attacchi registrati nel 2019 e 2020 messi insieme.

“Il ransomware si è evoluto a una velocità allarmante, in particolare negli ultimi cinque anni – non solo in termini di volume, ma anche di vettori di attacco”, ha dichiarato Immanuel Chavoya, esperto di minacce emergenti di SonicWall. “Gli ultimi dati del 3° trimestre mostrano come i criminali informatici stiano diventando più abili nello sviluppo di ceppi evolutivi e più mirati nei loro attacchi”.

Cryptojacking

Dall’inizio del 2022, SonicWall ha registrato 94,6 milioni di attacchi di cryptojacking, ovvero un aumento del 35% rispetto al volume già altissimo osservato nello stesso periodo del 2021. I volumi totali di cryptojacking nei primi tre trimestri del 2022, pari al 97,5% del volume totale del 2021, lasciano presagire un altro anno da record.

Mentre l’aumento del 31% in Nord America ha alimentato in parte questa crescita improvvisa, gli aumenti a tre cifre in Europa (fino al 377%) e in Asia (fino al 160%) hanno decisamente contribuito a portare alle stelle i volumi di cryptojacking nel corso di quest’anno.

La disparità di queste tendenze indica uno sconvolgimento geografico simile a quello osservato per altri tipi di minacce. Tuttavia c’è stato un cambiamento anche per quanto riguarda i settori colpiti dagli attacchi: mentre il settore pubblico e dell’istruzione sono sempre stati il bersaglio principale dei tentativi di cryptojacking, nel terzo trimestre è stato il comparto finanziario a finire nel mirino dei criminali informatici, che hanno colpito sempre più spesso banche e società di trading per estrarre illegalmente criptovalute.

Malware IoT

Mentre altri tipi di minacce hanno mostrato un cambiamento di obiettivi a livello geografico, gli attacchi IoT sono semplicemente raddoppiati. L’aumento maggiore è stato registrato in Nord America, che già in passato aveva svolto la parte del leone per il malware IoT: qui gli attacchi sono aumentati del 200%. L’Asia ha visto un aumento (relativamente) inferiore, pari all’82%, mentre il cryptojacking in Europa è rimasto pressoché invariato rispetto al 2021.

Negli ultimi due anni le minacce erano aumentate, ma almeno in modo abbastanza prevedibile. Anni come il 2022, dove gran parte di questa prevedibilità è venuta a mancare, ci ricordano invece che la preparazione è fondamentale nel campo della cybersecurity.

Cybersecurity e metaverso: minacce virtuali e reali

Scoprite il punto di collisione tra metaverso e cybersecurity. I nostri esperti illustreranno le implicazioni che i recenti sviluppi tecnologici avranno per la società e le aziende.

Il termine metaverso è stato coniato dallo scrittore americano Neal Stephenson nel suo romanzo Snow Crash nel 1992. Da allora, futurologi e appassionati di cyberspace hanno utilizzato questo concetto per descrivere un’ampia gamma di mondi virtuali immersivi dove gli esseri umani svolgono attività di ogni genere, da incontri mondani e relazioni amorose a guerre e intrighi mortali su pianeti lontani.

Questa idea di un “altro mondo” accessibile attraverso i nostri computer ci accompagna da più di 60 anni. Descritta per la prima volta nelle storie di fantascienza scritte da Laurence Manning nel 1933, è tornata di grande attualità nel 1984 con il romanzo Neuromante di William Gibson. In seguito sono state scritte decine di lavori da altri autori, che hanno ispirato progetti cinematografici come i mondi oscuri di Matrix (1999) e quello più luminoso di Ready Player One, uscito nel 2018. Non vanno poi dimenticati numerosi giochi virtuali di successo come World of WarcraftMinecraft e Fortnite.

Nel frattempo, mentre il metaverso si divide in realtà aumentata (AR) e realtà virtuale (VR), la varietà di nuovi dispositivi digitali continua ad aumentare, dai semplici auricolari e dispositivi portatili fino a sedili con feedback aptico, vestiti, pedane per camminare e tapis roulant. Si prevede che le vendite di questi dispositivi raggiungeranno i 10 miliardi di dollari nel 2022. Inoltre, Statista ha recentemente pubblicato alcune previsioni che indicano una massiccia crescita delle vendite di cuffie e auricolari, con oltre 26 milioni di unità vendute entro il 2023. Secondo il servizio di ricerche di mercato globali Brainy Insights, il fatturato mondiale complessivo raggiungerà una cifra di quasi 1.000 miliardi entro il 2030.

Il punto di convergenza tra internet, metaverso e business

La definizione di “metaverso” si è inoltre perfezionata nel tempo, superando l’idea iniziale di costrutti tridimensionali dove persone reali, rappresentate da avatar animati, esplorano mondi virtuali e partecipano a sessioni di gioco multiplayer online. Oggi esistono progetti per mercati molto redditizi e tour interattivi. Oltre a questa evoluzione, ora abbiamo anche il “crypto metaverso”, dove gli utenti possono acquistare e gestire criptomonete e token unici da utilizzare per l’acquisto di servizi e prodotti, sia virtuali che reali. E questi sono solo alcuni esempi delle potenzialità commerciali del metaverso.

Per realizzare i sogni degli utenti, e con la prospettiva di enormi guadagni, aziende come Facebook/Meta Platforms e Microsoft/AltspaceVR stanno facendo grandi investimenti, mentre società di intrattenimento e produttori di videogiochi grandi e piccoli si affrettano a riempire di contenuti ogni spazio disponibile. Secondo una ricerca di McKinsey citata in un recente articolo di Axios, gli investimenti relativi al metaverso raggiungeranno i 120 miliardi di dollari nel 2022, con una spesa totale di 5.000 miliardi di dollari entro il 2030.

A questo punto del suo sviluppo, il metaverso dipende completamente da internet in termini di portabilità e versatilità. I creatori di questa miriade di mondi AR/VR, facilitati dalla rete globale di computer e server in continua crescita, devono solo concentrarsi a realizzare una piattaforma stabile e progetti straordinari. Gli utenti devono invece dotarsi delle connessioni più veloci possibili alla rete, perché nel metaverso la velocità è un fattore essenziale per ridurre il rischio di rallentamenti che possono rovinare l’esperienza di gioco. Ma è veramente tutto oro quel che luccica?

Il pericolo insito nei nostri sogni

Il metaverso realizza i sogni degli utenti, dei creatori di contenuti e dei grandi gruppi mediatici in modi nuovi ed entusiasmanti. Gli appassionati di blockbuster e show televisivi potranno godersi questi mondi in realtà aumentata/virtuale creati appositamente per loro. I progettisti più ambiziosi potranno creare luoghi in cui gli avatar interagiscono in mondi tridimensionali incredibili e scenari illimitati. Il metaverso non è solo la nuova frontiera di sviluppo per internet che strizza l’occhio alla fantascienza: ben presto sarà il nuovo campo in cui molte aziende vorranno investire denaro per i loro dispositivi e servizi.

Il sogno del metaverso non si limita al mondo dei giochi e dell’intrattenimento. Un numero sempre maggiore di studenti frequenta classi virtuali interattive, partecipando a lezioni e sessioni di formazione completamente immersive e stimolanti. Il metaverso è anche uno spazio per riunioni di lavoro, corsi di formazione aziendali, incontri familiari, visite virtuali di immobili, shopping online, fashion tour e anteprime di qualsiasi luogo di villeggiatura in cui gli sviluppatori riescono a installare una videocamera.

Ma questo sogno nasconde anche pericoli ormai familiari che riguardano la privacy, la sicurezza degli utenti (in particolare la dipendenza e l’abuso) e un elevato potenziale di rischio dovuto alla novità della tecnologia e alla mancanza di protocolli di sicurezza standard.

Oltre all’enorme quantità di dispositivi IoT esistenti, la realtà aumentata/virtuale (AR/VR) comporta l’uso di una nuova categoria di apparecchiature digitali che gli hacker e altri criminali informatici non tarderanno a sfruttare.

Il punto di collisione tra metaverso e cybersecurity

Quando la fantascienza diventa realtà, proviamo una grande ammirazione. Nonostante le critiche dei detrattori, il tempo ha dato ragione ai sognatori. I numerosi ostacoli che limitavano il metaverso, come la tecnologia e la mancanza di infrastrutture, stanno scomparendo. Ma ora abbiamo una nuova responsabilità, ovvero proteggere gli enormi investimenti e garantire la sicurezza di tutti.

Mentre gli attacchi ransomware sono diminuiti del 23% tra gennaio e giugno, secondo l’aggiornamento di metà anno del Rapporto SonicWall 2022 sul Cybercrime, gli attacchi realizzati quest’anno hanno già superato i volumi totali degli anni 2017, 2018 e 2019. Inoltre, tutti questi nuovi dispositivi IoT collegati a internet sono più vulnerabili di quanto pensiamo e offrono nuovi vettori di attacco ai criminali informatici: gli attacchi malware ai dispositivi IoT sono aumentati di oltre il 123% nel corso di quest’anno. In mancanza di una protezione aggiuntiva, le aziende e i loro clienti sono suscettibili di cyber attacchi devastanti, in particolare se i progettisti e i produttori non aderiscono a un protocollo unificato di cybersecurity per i loro dispositivi e servizi.

Questa è la vostra occasione per anticipare le nuove minacce. Registratevi a MINDHUNTER 10, “Cybersecurity e metaverso: minacce virtuali e reali” per scoprire dagli esperti come garantire una protezione completa sia nel mondo virtuale che nel mondo reale.

Perché il 5G deve iniziare con l’accesso sicuro alla rete

Il 5G offre enormi opportunità, ma comporta anche maggiori rischi. In attesa di questa tecnologia rivoluzionaria, ecco alcuni fattori da considerare per proteggere la vostra rete.

Il 5G, il più recente standard di connettività cellulare, ha portato le prestazioni wireless a nuovi livelli. Oltre a migliorare le velocità di throughput, l’efficienza e la latenza, il 5G sarà in grado di supportare un altissimo numero di dispositivi e connessioni simultanee.

L’architettura software-defined del 5G, inclusa la sicurezza 5G, introduce possibilità di utilizzo fino ad ora inimmaginabili. Il 5G è la prima generazione di tecnologia cellulare progettata pensando alla virtualizzazione e alla tecnologia basata sul cloud. Grazie alle tecnologie cloud, l’esecuzione del software può essere separata dall’hardware fisico specifico mediante approcci come il Software Defined Networking (SDN) e la Network Function Virtualization (NFV).

La sicurezza delle connessioni mobili si è notevolmente evoluta dai tempi del 4G, e l’attuale standard 5G offre numerose funzionalità di sicurezza avanzate, ad esempio per l’autenticazione degli utenti, la crittografia del traffico, la trasmissione sicura dei segnali e la privacy. Tuttavia, trattandosi di una tecnologia nuova e in evoluzione, non esiste ancora una definizione ufficiale del concetto di “sicurezza 5G”.

Mentre le reti 5G sono ancora in fase di implementazione ed espansione, l’introduzione di prodotti e servizi abilitati al 5G, ma non ancora testati e verificati, ha dato la possibilità ai cybercriminali di sfruttare a proprio vantaggio la nuova tecnologia e architettura.

Man mano che l’adozione del 5G procede, le organizzazioni hanno bisogno di maggiori livelli di sicurezza e affidabilità della rete per proteggere i loro utenti e le loro applicazioni critiche. Ecco alcune delle principali ragioni:

  • Il 5G favorisce la trasformazione digitale, ma offre anche opportunità ai cybercriminali.
  • La migrazione di applicazioni e funzioni di rete verso il cloud, combinata alla segmentazione della rete, crea nuove superfici di attacco.
  • Un numero sempre crescente di endpoint e l’adozione di nuove forme di lavoro distribuito o remoto ridefiniscono continuamente il perimetro di rete.
  • I problemi di visibilità della rete e delle minacce aumentano la superficie esposta agli attacchi, creando nuovi punti di ingresso per i cybercriminali.
  • Questo perimetro di sicurezza espanso e indefinito è difficile da controllare e monitorare.

5G e l’accesso sicuro alla rete

I team addetti alla sicurezza si trovano ad affrontare enormi sfide per proteggere le loro reti in vista del 5G, compresa l’implementazione di policy adeguate per utenti, dispositivi e applicazioni. Le aziende devono adottare modelli come l’accesso alla rete a fiducia zero ZTNA (Zero-Trust Network Access), che consente ai responsabili della sicurezza di impostare criteri di privilegio minimo e accesso granulare nonché l’autenticazione e autorizzazione di ogni utente e ogni dispositivo che si collega alla rete, in modo da ridurre significativamente le probabilità che i cybercriminali possano infiltrarsi nella rete.

La capacità del modello ZTNA di eliminare la fiducia implicita e richiedere la convalida per ogni richiesta di accesso è il nuovo metodo sicuro da adottare. Un framework Zero Trust garantisce la completa visibilità e il controllo dell’infrastruttura 5G, inclusi i dispositivi che si collegano, le interfacce di rete, le applicazioni e i carichi di lavoro. La sicurezza Zero Trust, combinata alla visibilità degli utenti e dei dispositivi, può aiutare le aziende a identificare e reagire velocemente a varie minacce di sicurezza.

Il modello ZTNA è sufficientemente flessibile da adattarsi a diversi sistemi. L’architettura Zero Trust del 5G è di tipo end-to-end, inclusa la rete di accesso radio, il trasporto e il nucleo, e si basa su livelli multipli. La sicurezza basata sugli elementi logici dell’architettura Zero Trust (come definiti dallo standard NIST SP 800-207) verifica l’attendibilità degli utenti e dei dispositivi, offrendo maggiore visibilità end-to-end e il controllo di ogni dispositivo che accede alla rete utilizzando un modello di implementazione cloud. Di seguito è illustrata l’architettura logica Zero Trust per il 5G (secondo lo standard NIST SP 800-207) utilizzabile dai sistemi basati su 3GPP:

This graphic illustrates zero trust architecture (zta) and policy components described in the article.

Insieme, il motore delle policy (PE) e l’amministratore delle policy (PA) formano il punto di decisione delle policy (PDP), che prende le decisioni applicate poi dal punto di applicazione delle decisioni (PEP). I framework di policy sono utilizzati nei sistemi basati su 3GPP per gestire l’accesso alle risorse in diversi domini di sicurezza.

Adottando i principi Zero Trust per la sicurezza del 5G, le aziende possono migliorare la sicurezza sotto diversi aspetti:

  • Privilegio minimo: consente un accesso preciso e basato sul contesto alle funzioni della rete 5G.
  • Convalida dell’identità: definisce l’identità per tutti gli utenti e dispositivi che richiedono l’accesso a risorse protette.
  • Segmentazione della rete: protegge i dati sensibili e le applicazioni critiche segmentando la rete, in modo da prevenire movimenti laterali.
  • Policy di sicurezza: implementa policy di sicurezza 5G precise per un controllo granulare dei dati e delle applicazioni.
  • Convalida continua: elimina il concetto di fiducia implicita e richiede la convalida di ogni fase di un’interazione digitale.
  • Protezione dei carichi di lavoro con funzioni di rete cloud-native (CNF): protegge le istanze CNF su cloud pubblici o privati per il loro intero ciclo di integrazione e distribuzione continua (CI/CD).
  • Monitoraggio e controllo: monitora tutte le interazioni tra utenti, dispositivi e funzioni di rete su vari livelli.

In conclusione, il modello ZTNA per il 5G offre alle aziende un’opportunità per ripensare il modo in cui proteggere utenti, applicazioni e infrastrutture, e per garantire che siano protetti in maniera scalabile e sostenibile per i moderni ambienti cloud, basati su SDN e open-source, in modo da rendere il percorso verso la trasformazione digitale più semplice ed efficiente.

Architettura di sicurezza: è meglio un’unica piattaforma o diverse soluzioni dedicate?

Indipendentemente dalla strategia di sicurezza che sceglierete, SonicWall offre un portafoglio di prodotti – tra cui firewall di nuova generazione, protezione degli endpoint, access point e molto altro – su misura per le esigenze della vostra organizzazione.

Nel dibattito se sia meglio adottare una piattaforma di cybersecurity tutto-in-uno o combinare insieme le migliori soluzioni del settore, la risposta è una sola: dipende. Le domande da porsi sono le seguenti: quanti strumenti potete permettervi di acquistare? Avete già un software specifico per la sicurezza? Disponete di risorse adeguate per gestire questi strumenti? Questo approccio è valido ancora oggi, dove un numero crescente di utenti lavora all’esterno delle aziende e la maggior parte dei servizi che utilizziamo è nel cloud?

In genere, un approccio “best-of-breed” consiste nell’acquistare diversi programmi di sicurezza separati, ciascuno dei quali è lo strumento migliore per la risoluzione di un problema specifico per la vostra situazione. Ad esempio, potreste scegliere SonicWall per il firewall di nuova generazione, un altro fornitore per gli endpoint di nuova generazione, un altro fornitore ancora per la correlazione dei log, e così via.

Sfide aziendali

Il lavoro ibrido e da remoto, con utenti che lavorano da ogni luogo e in qualsiasi momento, ha cambiato per sempre il panorama IT. Poiché oggi il 70% dei dipendenti lavora da remoto, la protezione degli endpoint è una componente essenziale per proteggere il perimetro aziendale.

Parallelamente a questo cambiamento, la pandemia del COVID-19 ha accelerato la trasformazione digitale, spingendo sempre più clienti a scegliere applicazioni cloud e SaaS.

Per le aziende è giunto il momento di rivedere la loro architettura di sicurezza.

Vantaggi e svantaggi dell’approccio con più soluzioni di sicurezza dedicate (best-of-breed)

Esaminiamo innanzitutto i vantaggi:

  • I prodotti di sicurezza sono più specifici e offrono quindi funzionalità migliori e maggiormente orientate alle vostre esigenze.
  • Questo approccio offre le caratteristiche migliori della categoria per la gestione e il monitoraggio dei rischi di sicurezza.
  • Le tecnologie di sicurezza sono più facili da disattivare in caso di necessità, rendendo le aziende più agili nel rispondere alle esigenze di mercato.
  • Minor rischio di vincolarsi a un unico fornitore, in quanto è possibile sostituire qualsiasi prodotto di sicurezza della propria architettura con quello di un altro fornitore.
  • Meno parti coinvolte nella decisione e gestione di una soluzione dedicata.

Questo approccio comporta però anche alcuni svantaggi significativi:

  • L’implementazione di una tecnologia di sicurezza con le soluzioni migliori della categoria per ogni livello è impegnativa. Quando si tratta di integrare le tecnologie di sicurezza di più fornitori nel livello di rilevamento e risposta alle minacce, l’interoperabilità diventa complicata.
  • Oggi l’architettura di sicurezza sta cambiando da un approccio di prevenzione a un modello di rilevamento e risposta basato sull’idea che i propri sistemi siano già stati compromessi. L’aggiunta delle tecnologie di sicurezza migliori della categoria per ogni problema aumenta i costi e complica la gestione.
  • La carenza di personale competente è un altro grande problema nel settore della cybersecurity che viene aggravato dall’approccio best-of-breed. Combinando diversi prodotti dedicati, aumenta la complessità e il bisogno di personale qualificato per gestire le operazioni di sicurezza.
  • Se le singole soluzioni non sono gestite adeguatamente, gli oneri di gestione possono aumentare in modo significativo – in particolare per le PMI. Senza contare che la gestione di prodotti diversi e le relazioni con i rispettivi fornitori possono richiedere un notevole investimento di tempo.

Vantaggi e svantaggi delle piattaforme di sicurezza di un unico fornitore

Ecco alcuni vantaggi dell’approccio basato su un’unica piattaforma di sicurezza:

  • Uno dei maggiori vantaggi di una piattaforma di sicurezza di un unico fornitore è l’integrazione delle operazioni: gli endpoint, la rete e le tecnologie di sicurezza in cloud interagiscono per contrastare le minacce note e sconosciute.
  • Implementare l’intelligenza artificiale e l’automazione può essere più semplice quando c’è un’unica interfaccia da gestire e queste tecnologie operano in una rete di sicurezza.
  • Con un approccio di tipo “assume-compromise”, in cui si parte dal presupposto che i propri sistemi potrebbero già essere stati compromessi, la piattaforma di sicurezza di un unico fornitore riduce il TCO grazie a funzionalità come EDR/XDR già integrate nella piattaforma. I clienti possono utilizzare questi strumenti integrati per rilevare e rispondere alle minacce e implementare l’intelligenza artificiale per riconoscere le minacce avanzate.
  • I fornitori delle piattaforme di sicurezza offrono tecnologie all’avanguardia come SASE, CASB e XDR, vale a dire soluzioni di sicurezza in cloud che interagiscono per ridurre i rischi derivanti dalle minacce avanzate.

Anche in questo caso non mancano gli svantaggi:

  • La dipendenza da un unico fornitore può diventare un problema.
  • Per garantire la facilità d’uso, l’efficacia della sicurezza di certe funzionalità può essere ridotta rispetto alla stessa funzionalità di un prodotto di sicurezza specifico, come ad esempio le soluzioni XDR, SIEM o SOAR.
  • La piattaforma di sicurezza di un unico fornitore potrebbe non offrire tutte le soluzioni di sicurezza di cui un’azienda ha bisogno. (Per mitigare i rischi potrebbe essere necessario un approccio soluzioni dedicate/piattaforma di sicurezza di un unico fornitore).
  • La scelta di una piattaforma di sicurezza di un unico fornitore può richiedere un maggiore coinvolgimento delle parti interessate e del management.

In passato molti CIO affermavano che la dipendenza da un unico fornitore, il cosiddetto vendor lock-in, era un problema, ma al giorno d’oggi se ne parla molto meno.

Questo perché i vantaggi offerti dalle piattaforme di sicurezza di un unico fornitore superano di gran lunga gli aspetti negativi. Si tratta di un enorme cambiamento di prospettiva rispetto a tre o quattro anni fa: a quanto pare il modello di lavoro ibrido ha ridotto notevolmente il divario tra questi due approcci.

La convergenza delle tecnologie di sicurezza sta accelerando in diverse discipline. Il consolidamento dei fornitori di soluzioni di sicurezza avviene di pari passo con un grande cambiamento a livello architetturale, dovuto a sua volta all’ampia adozione del modello ibrido da parte degli attuali lavoratori.

L’approccio basato su una piattaforma di sicurezza consolidata è il futuro, dettato dall’esigenza di ridurre la complessità, sfruttare funzioni comuni e minimizzare i tempi e i costi di gestione. Il consolidamento delle tecnologie non è limitato a un settore tecnologico o a diverse tecnologie strettamente correlate, bensì avviene parallelamente in numerosi campi legati alla sicurezza.

Sicuramente ci sono ancora aziende – ad esempio quelle con grandi centri operativi di sicurezza e team dedicati alla gestione e risposta degli incidenti, che utilizzano ancora molte applicazioni su data center fisici – per le quali l’approccio best-of-breed, basato su diverse soluzioni dedicate, può essere la scelta giusta. (Anche in questi casi occorre tuttavia valutare la sicurezza e il ritorno sull’investimento per abbassare il costo complessivo di acquisizione e gestione.)

Ma per la maggior parte delle aziende, in particolare le imprese distribuite con diverse filiali e quelle con numerose applicazioni native per il cloud, la scelta migliore è una piattaforma di un unico fornitore che includa soluzioni SASE, CASB, NGFW e di protezione degli endpoint.

Negli ultimi quattro anni, noi di SonicWall abbiamo accelerato l’innovazione dei prodotti e allineato la nostra strategia di prodotto ad alcuni dei principali trend del settore. Ora disponiamo di piattaforme tecnologiche in grado di soddisfare la maggior parte delle esigenze di sicurezza dei clienti aziendali.

In questi ultimi quattro anni, SonicWall ha introdotto una quantità innumerevole di nuovi prodotti di sicurezza e innovazioni. La nostra gamma di prodotti include ora soluzioni adatte ad aziende di ogni dimensione, che offrono prestazioni leader del settore ad un costo costo di acquisizione e gestione conveniente.

Le soluzioni di SonicWall sono ideali sia per un approccio “best-of-breed” con le migliori soluzioni della categoria, sia per una strategia basata su un unico fornitore. Per maggiori dettagli sulla piattaforma di sicurezza SonicWall, visitare il nostro sito web: https://www.sonicwall.com/capture-cloud-platform/.

Perché le aziende dovrebbero adottare subito il Wi-Fi 6

Con i nuovi access point SonicWave 641 e SonicWave 681, SonicWall ha combinato la sicurezza e le performance del Wi-Fi 6 con il suo sistema di gestione semplificata e un TCO leader del settore.

Le aziende evolvono, alcune più rapidamente e altre con maggiore riluttanza. Ma negli ultimi tre anni, il ritmo dei cambiamenti ha subito un’accelerazione senza precedenti.

All’inizio del 2020, nessuno avrebbero potuto prevedere i cambiamenti che stavano per sconvolgere il mondo intero e mai nessuno avrebbe potuto immaginare l’impatto a lungo termine che il COVID-19 avrebbe avuto sulle abitudini di vita e di lavoro degli otto miliardi di persone che abitano il pianeta.

Prima della pandemia, solo il 2% dei dipendenti lavorava da remoto. A Maggio del 2020, quel numero era già aumentato al 70%, secondo i dati della Society for Human Resource Management. Questo rapido cambiamento è stato possibile perché le aziende e le organizzazioni sono riuscite ad adeguare le loro infrastrutture in maniera tale da rispondere alle nuove esigenze di lavoro. In questo contesto, la tecnologia wireless ha svolto un ruolo importante.

L’importanza della tecnologia wireless va ben oltre il semplice fatto di consentire ai dipendenti di lavorare da remoto. Secondo una ricerca, l’87% delle aziende ritiene che l’adozione di funzionalità wireless avanzate può tradursi in un vantaggio competitivo, in quanto gli permetterà di innovarsi e aumentare l’agilità. Inoltre, l’86% degli amministratori di rete è convinto che il wireless avanzato trasformerà in breve tempo la loro organizzazione.

Ma l’impatto della tecnologia wireless non si limita al modo in cui lavoriamo: ha cambiato anche il modo in cui facciamo acquisti, guardiamo film, ascoltiamo la musica, navighiamo nelle nostre automobili o trascorriamo il tempo con la famiglia e gli amici (alcuni dei quali si trovano magari dall’altra parte del mondo). Ciascuno di noi si aspetta un’esperienza ottimale ogni volta che utilizza una rete wireless. In realtà non è un’impresa semplice, se pensiamo all’incredibile numero di dispositivi esistenti e alla crescente quantità di larghezza di banda che viene consumata.

La necessità di una tecnologia wireless sicura e ad alte prestazioni non è mai stata così impellente, e il Wi-Fi 6 rappresenta un grande passo avanti in questa direzione. Gli access point SonicWave 641 e SonicWave 681 di SonicWall offrono la combinazione di performance e sicurezza di cui tutti abbiamo bisogno.

Cos’è il Wi-Fi 6?

Wi-Fi 6, conosciuto anche come 802.11ax, è il successore dello standard 802.11ac Wave 2, o Wi-Fi 5. Lo scopo principale del Wi-Fi 6 è quello di migliorare il throughput in ambienti complessi, ma i suoi vantaggi non si limitano a questo:

  • Il supporto multiutente di OFDMA può rendere gli access point Wi-Fi 6 più efficienti rispetto alla tecnologia OFDM a singolo utente del Wi-Fi 5, con una conseguente riduzione della latenza.
  • Wi-Fi 6 utilizza il protocollo WPA3, che offre funzioni di sicurezza avanzate per garantire un’autenticazione più affidabile e sicura.
  • Il sistema di codifica a colori (BSS Coloring) contrassegna il traffico su una frequenza condivisa per stabilire se può essere utilizzata. In questo modo si riducono le interferenze e si ottiene un servizio più uniforme in ambienti complessi.
  • La funzionalità Target Wake Time (TWT) consente di stabilire ogni quanto i dispositivi devono attivarsi per ricevere o inviare i dati, prolungando così la durata della batteria.
  • La tecnologia MU-MIMO (Multi-User, Multiple Input, Multiple Output) di Wi-Fi 6 supporta utenti multipli in un singolo ambiente di rete. Questo consente a diversi utenti di caricare e scaricare dati simultaneamente, riducendo i tempi di attesa e aumentando la velocità della rete.

Alcune di queste funzionalità sono concepite per migliorare le prestazioni, altre per rafforzare la sicurezza, ma ciascuna può avere un effetto positivo sulla rete wireless di un’azienda. Nel complesso, i miglioramenti funzionali forniti da Wi-Fi 6 possono portare a un notevole potenziamento della rete wireless per qualsiasi organizzazione.

SonicWave 641 e SonicWave 681

SonicWave 641 e SonicWave 681 di SonicWall sono access point Wi-Fi 6 che forniscono prestazioni e caratteristiche di sicurezza wireless superiori rispetto allo standard 802.11a.

SonicWave 641 e SonicWave 681 offrono ulteriori vantaggi, come ad esempio il SonicWall Capture Security Center, un sistema di gestione della sicurezza in cloud scalabile che permette di controllare tutte le risorse e difendere l’intera rete da cyber attacchi.

Gli access point (AP) della serie SonicWave 600 si integrano inoltre con Wireless Network Manager, un intuitivo sistema di gestione centralizzata della rete basato sul cloud che consente di amministrare facilmente ambienti wireless e di sicurezza complessi da un unico portale di gestione.

WiFi Planner è uno strumento di analisi del sito (Site Survey) che permette di progettare e implementare una rete wireless nel modo migliore per ottenere la massima copertura con il numero minimo di access point, riducendo così il costo totale di proprietà.

Infine, la app mobile SonicExpress consente di registrare e utilizzare facilmente Wireless Network Manager per configurare, gestire e monitorare le appliance wireless di SonicWall.

Una rete wireless potente e sicura non è più una semplice opzione, ma una necessità. Gli access point SonicWave 641 e SonicWave 681 offrono le alte prestazioni e la sicurezza di cui hanno bisogno oggi le aziende.

Per maggiori informazioni sugli access point SonicWave 641 e SonicWave 681, e sull’intero portafoglio wireless di SonicWall, visitare www.sonicwall.com/wireless.

Nel primo semestre del 2022: Le forze geopolitiche ridefiniscono il panorama delle cyber minacce

L’aggiornamento semestrale del Rapporto SonicWall 2022 sul Cybercrime rivela inversioni di tendenza e cambiamenti nel mondo del crimine informatico.

La cybersicurezza e la geopolitica sono sempre state strettamente collegate, ma negli ultimi sei mesi abbiamo assistito alla loro crescente interconnessione nel panorama delle minacce. Secondo i dati dell’aggiornamento di metà anno del Rapporto SonicWall 2022 sul Cybercrime, gli Stati Uniti, il Regno Unito e altri paesi solitamente colpiti dal crimine informatico stanno registrando una riduzione delle attività criminali, che invece aumentano in molte regioni finora meno colpite.

“Il panorama internazionale delle minacce è ora caratterizzato da una migrazione attiva che sta cambiando radicalmente gli equilibri non solo in Europa, ma anche negli Stati Uniti”, ha dichiarato Immanuel Chavoya, esperto di minacce emergenti di SonicWall. “I criminali informatici lavorano sodo per rimanere un passo avanti rispetto al settore della cybersecurity e, a differenza di molte aziende che prendono di mira, non hanno problemi di competenze, motivazione, know-how e finanziamenti all’interno delle loro organizzazioni”.

Nella prima metà del 2022 non sono cambiati solo gli obiettivi, ma anche diverse tendenze. Il malware e il ransomware hanno invertito la rotta, e per la prima volta da anni assistiamo a un aumento del malware e una riduzione del ransomware. I dati sulle minacce hanno anche rivelato un’accelerazione di alcune tendenze, come i picchi di malware IoT e di altri tipi di minacce. Ecco alcuni dei dati più rilevanti:

Il ritorno del malware

Dopo essere diminuito per diversi trimestri, il malware è cresciuto dell’11% in tutto il mondo nella prima metà del 2022. Mentre un calo del ransomware ha contribuito a limitare questo aumento, la crescita del cryptojacking e l’aumento vertiginoso del malware IoT sono stati più che sufficienti a provocare un aumento a due cifre.

Nel complesso, poche minacce cyber hanno mostrato una tendenza uniforme, e l’aumento del malware non fa eccezione. Ma il fatto che i paesi normalmente più colpiti dal malware – come gli Stati Uniti, il Regno Unito e la Germania – abbiano tutti registrato una diminuzione del malware, suggerisce che gli obiettivi del crimine informatico a livello globale stiano iniziando a cambiare.

Il ransomware diminuisce di quasi un quarto

Il ransomware è aumentato drasticamente negli ultimi due anni, ma nel primo semestre del 2022 il volume di attacchi è diminuito del 23% a livello globale. Questa attesa inversione di tendenza sembra dovuta in gran parte a fattori geopolitici, poiché i gruppi ransomware russi faticano a mantenere il ritmo degli anni scorsi a causa del conflitto in corso con l’Ucraina.

Purtroppo, in base a tendenze globali più ampie, questa tregua non è destinata a durare.

“I cyber criminali diversificano le tattiche e cercano di espandere i loro vettori di attacco, per cui ci aspettiamo un aumento del volume di ransomware – non solo nei prossimi sei mesi, ma anche negli anni a venire”, ha dichiarato Bill Conner, Presidente e CEO di SonicWall. “In un panorama geopolitico così turbolento, il crimine informatico diventa sempre più sofisticato e diversificato in termini di minacce, strumenti, obiettivi e luoghi”.

Anche il ransomware sta cambiando, con il risultato che in alcune aree si osservano tendenze molto diverse rispetto al solito. Il Nord America, che in genere subisce la maggior parte degli attacchi ransomware, ha registrato una riduzione del volume di attacchi pari al 42%, mentre in Europa sono aumentati del 63%.

Il malware rilevato da RTDMI aumenta drasticamente

Nei primi sei mesi del 2022, la tecnologia Real-Time Deep Memory Inspection™ (RTDMI) brevettata da SonicWall ha rilevato 270.228 varianti di malware mai viste prima, ovvero un aumento del 45% rispetto allo stesso periodo del 2021.

Questa tecnologia, inclusa nel servizio sandbox Capture Advanced Threat Protection, utilizza il machine learning per rilevare minacce nuove e avanzate con maggiore efficacia, migliorando costantemente di anno in anno: il numero di nuove varianti scoperte da RTDMI è aumentato del 2.079% da quando questa tecnologia è stata introdotta nel 2018.

Il malware IoT aumenta del 77%

Il numero di dispositivi IoT (Internet of Things) online non è mai stato così alto. Non sorprende, quindi, che i cybercriminali si concentrino sempre di più sugli attacchi IoT. Dall’inizio dell’anno, il volume di malware IoT è aumentato a 57 milioni, con un balzo del 77%. Si tratta della percentuale più alta da quando SonicWall ha iniziato a monitorare questo tipo di attacchi, con un volume quasi uguale a quello rilevato nell’intero 2021.

Aumento a tre cifre delle minacce crittografate

Nel primo semestre del 2022, le minacce crittografate hanno raggiunto un picco del 132% rispetto allo stesso periodo dell’anno scorso. Questo aumento è dovuto a un numero insolitamente elevato di attacchi nel secondo trimestre e in particolare in maggio, che è diventato il secondo mese con il volume più alto di minacce crittografate mai registrato da SonicWall.

I documenti di Office sono ancora un rischio per la sicurezza informatica

Emotet è tornato. I file di Word, Excel e altre applicazioni di Office 365 sono ancora un vettore di pericolose minacce informatiche. Come lo fermiamo?

Dopo quasi una settimana di attesa, Tom ha finalmente ricevuto il preventivo da Tetome Supply.

Non vedeva l’ora di iniziare a esaminarlo. Ma sapeva anche che doveva essere cauto, come aveva imparato nei corsi di cybersecurity trimestrali. Dopo aver verificato con cura l’indirizzo email e il nome del mittente, si è assicurato che l’allegato fosse un documento di Word e non un file .exe. Il testo dell’email, in cui il mittente lo ringraziava per la pazienza e gli chiedeva informazioni sul suo nuovo cagnolino, lo ha ulteriormente rassicurato.

Mentre sorseggiava il caffè e leggeva le notizie del giorno sullo smartphone, sullo schermo è apparso un messaggio per informarlo che il file .doc era stato creato in iOS e occorreva abilitare la modifica e il contenuto. Infine è riuscito a leggere il contenuto del documento e, in questo modo, ha innescato una reazione a catena.

Per quanto ne sapeva Tom, il documento conteneva solo informazioni sui prezzi. Niente faceva supporre che Emotet era stato scaricato da un sito web compromesso tramite un comando Powershell. O che per il backup di Emotet era stato usato Trickbot.

Ma ormai era troppo tardi. Quando Tom ha aperto il suo laptop qualche giorno più tardi, una nota lo informava che tutti i suoi file erano stati criptati e che gli hacker non li avrebbero sbloccati finché Tom non pagava 150.000 dollari in bitcoin. La nota era firmata da Ryuk.

Minacce senza tregua

Nella prima metà del 2019 i PDF dannosi hanno superato i file dannosi di Office 365, per la precisione 36.488 rispetto a 25.461. Ma già nel 2020 il numero di PDF è diminuito dell’8% rispetto allo stesso periodo del 2019, mentre il numero di di file dannosi di Microsoft Office è balzato a 70.184, segnando un aumento del 176%.

La rivista Wired ha definito Emotet il malware più pericoloso di tutto il mondo. Non sorprende quindi che nel gennaio 2021 le forze dell’ordine dei principali paesi abbiano lanciato una massiccia operazione per smantellare l’infrastruttura di Emotet, presente nei server e nei computer di oltre 90 paesi. Questo intervento ha portato all’arresto di criminali e alla confisca di attrezzature, denaro contante e persino lingotti d’oro accumulati dai gruppi criminali.

E in effetti il numero di attacchi basati su file Microsoft Office è subito diminuito. Secondo il Rapporto SonicWall 2022 sul Cybercrime, i PDF sono nuovamente diventati il vettore di attacco preferito e il loro utilizzo per scopi malevoli è aumentato del 52%, mentre i file Microsoft Office dannosi sono diminuiti del 64%. Purtroppo, questa marcata inversione di tendenza non è durata a lungo.

A graph showing the rise of never-seen-before malware variants.

Il ritorno degli attacchi Emotet

Secondo i recenti rapporti di Bleeping Computer, Threatpost e Sans Technology Institute, dopo soli 10 mesi dall’intervento di alto profilo del gennaio 2021, Emotet è tornato a colpire con maggiore energia. I criminali informatici distribuiscono attivamente documenti Microsoft Office, archivi ZIP e altri file infettati con il codice Emotet.

Sebbene sia ancora presto per parlare di una nuova tendenza, stiamo osservando cambiamenti significativi come la crittografia del malware e nuove strategie basate su attacchi di phishing mirati che includono attacchi email reply-chain, notifiche di spedizione, documenti fiscali, rapporti contabili e persino inviti a feste natalizie.

In meno di 10 mesi, tutti gli sforzi per sradicare questa minaccia sono stati praticamente cancellati e siamo tornati al punto di partenza.

Come proteggersi dai file dannosi di Office 365

Nonostante il gran numero di minacce pericolose in circolazione, ci sono molte semplici cose che potete fare per proteggere voi e gli altri utenti della vostra rete. Potete iniziare cambiando le impostazioni di Office 365 per disattivare gli script e le macro e mantenendo aggiornati i vostri dispositivi e sistemi operativi con le ultime patch per Windows.

Potete poi impostare una policy aziendale per impedire il trasferimento di documenti e altri file via email. Inoltre dovreste scaricare e installare regolarmente le patch e gli aggiornamenti distribuiti da Microsoft. Abbiamo tutti cose più importanti da fare, ma se non eseguiamo gli aggiornamenti, permettiamo agli attacchi di sfruttare liberamente queste vulnerabilità.

Per rafforzare la nostra resistenza agli attacchi possiamo adottare anche misure più serie. Il 2021 è stato un altro anno eccezionale per Real-Time Deep Memory Inspection™ (RTDMI), la tecnologia brevettata di SonicWall che ha rilevato 442.151 varianti di malware mai viste prima nel 2021, ovvero un aumento del 65% rispetto al 2020 con una media di 1.211 al giorno.

A graph showing new malicious file type detections in 2021.

Capture ATP rileva il 100% delle minacce con 0% falsi positivi

La cosa migliore è che RTDMI è integrato in Capture Advanced Threat Protection (ATP) di SonicWall. Nei test trimestrali di terze parti eseguiti da ICSA Labs, RTDMI ha identificato il 100% delle minacce dannose senza segnalare neppure un falso positivo per cinque trimestri consecutivi.

Capture ATP con RTDMI utilizza tecniche proprietarie di ispezione della memoria, monitoraggio delle istruzioni della CPU e machine learning per riconoscere e mitigare i cyber attacchi finora sconosciuti, comprese le minacce che non mostrano alcun comportamento dannoso e si nascondono attraverso la crittografia, ovvero il tipo di attacchi che le sandbox tradizionali non riescono generalmente a rilevare.

Questo aspetto è particolarmente importante in casi come quello di Tom, dato che Trickbot ed Emotet usano entrambi la crittografia per nascondere le proprie attività. Emotet è anche in grado di riconoscere se viene eseguito in una macchina virtuale (VM) e rimane dormiente se rileva un ambiente sandbox.

Cos’è il cryptojacking, e quale impatto ha sulla vostra sicurezza informatica?

Come capire se si è vittima del cryptojacking? Scoprite come individuare le infezioni e implementare soluzioni per proteggere la vostra rete e gli endpoint.

La buona notizia è che le criptovalute sono ormai un modello affermato nel mondo della finanza globale. Sono altamente portabili, mantengono il proprio valore, sono utilizzabili per l’acquisto di prodotti e servizi e sempre più popolari tra i normali consumatori.

Possono anche essere uno strumento d’investimento conveniente, se siete abbastanza temerari. In un batter d’occhio è possibile accumulare e perdere enormi fortune a causa dell’alta volatilità che caratterizza molte criptovalute (ad es. Bitcoin, Ethereum, Cardano), con valori che a volte raggiungono livelli astronomici per poi cadere in picchiata nel giro di pochi giorni o settimane. Tuttavia ci sono modi meno rischiosi per fare soldi con le criptovalute, e uno di questi è proprio il “cryptomining.”

Cos’è il cryptomining

Il cryptomining è un processo che convalida le transazioni delle criptovalute in ledger pubblici distribuiti. Ogni transazione è collegata alla transazione precedente e a quella successiva, creando così una catena di record corredati di data e ora. Questo è essenzialmente il funzionamento di una “blockchain”.

Uno dei vantaggi del cryptomining è che chiunque può partecipare senza dover investire nella valuta. Se ad esempio decidete di effettuare il mining di Bitcoin, riceverete dei Bitcoin come compenso per tutti i blocchi di transazioni verificate che avete completato e aggiunto alla blockchain. Per elaborare un blocco di valuta ci vogliono circa 10 minuti.

Tutto quello che vi serve è un minimo di conoscenze su come collegarvi alla rete della criptovaluta, una buona connessione a internet, uno o due server decenti e una fonte di alimentazione costante. Più potenza riuscite a garantire per le vostre attività legittime di cryptomining, più saranno i blocchi che riuscirete ad elaborare e il denaro che guadagnerete.

Ma questo processo ha un inconveniente, e qui arrivano le cattive notizie. I “miner” guadagnano denaro solo se completano il processo di dati più velocemente degli altri, e purtroppo ci sono centinaia di miner che provano a elaborare lo stesso blocco simultaneamente. Per questo motivo, i miner sono alla ricerca costante di nuovi metodi per aumentare il loro hash rate (una metrica della potenza di calcolo per l’elaborazione dei blocchi). Il potenziale guadagno è proporzionale al numero di hash prodotti al secondo.

Alcune persone evitano completamente il processo legittimo e passano al “cryptojacking”.

Perché il cryptojacking è una minaccia crescente

È molto semplice: il cryptojacking è essenzialmente cryptomining, con l’unica differenza che il miner utilizza il computer di qualcun altro senza il suo permesso. Le vittime generalmente ignorano che i loro computer vengano sfruttati per questo scopo, spesso per mezzo di malware introdotti con tecniche di phishing or altri metodi illeciti.

Ad aprile del 2018 SonicWall ha iniziato a monitorare il fenomeno del cryptojacking, registrando quasi 60 milioni di attacchi di cryptojacking in un solo anno. Come descritto nel Rapporto SonicWall 2022 sul Cybercrime, i prezzi delle criptovalute sono saliti alle stelle nel 2021, con un conseguente aumento degli episodi di hacking fino a 97 milioni, vale a dire un aumento del 62% dal 2018.

Cryptojacking is on the rise

A differenza del ransomware, che sfrutta la visibilità dei messaggi e delle email di phishing, i cryptojacker operano in modo invisibile dietro le quinte. L’unico modo per accorgersi che la propria rete o i dispositivi sono stati colpiti consiste nel monitorare il diagramma delle prestazioni della CPU, o notare che la ventola di un dispositivo funziona più spesso del solito.

Negli ultimi due anni abbiamo notato che i gruppi ransomware tendono a passare ad altre attività come ad esempio il cryptojacking. Un motivo apparente di questo cambiamento potrebbe essere che il ritorno sull’investimento per uno schema e un ceppo di ransomware (che in genere richiede mesi di sviluppo) diminuisce non appena viene pubblicato su feed pubblici come VirusTotal.

Come tutti coloro che gestiscono un’attività redditizia, i cybercriminali tendono a essere agili e flessibili nel loro lavoro. Di conseguenza cercano costantemente nuovi modi per raggiungere i propri obiettivi finanziari. Il cryptojacking offre l’agilità necessaria grazie alla relativa semplicità con cui può essere implementato con altre attività criminali.

Il fascino del cryptomining

Con un costo così basso e un rischio praticamente nullo, il cryptomining rappresenta un modello di business molto attraente per i cybercriminali. La maggior parte delle operazioni viene infatti automatizzata tramite il software. Tuttavia, la volatilità della criptovalute e l’aumento dei costi energetici stanno mettendo sotto pressione i miner. Nel 2018 un miner di criptovalute legittimo poteva guadagnare 100 dollari al giorno, ma oggi quel profitto si è dimezzato e continuare a operare in modo “legittimo” è molto più complesso.

Di conseguenza, secondo il Rapporto sul Cybercrime di SonicWall, il cryptojacking illegale è di nuovo in crescita. Nel primo trimestre del 2021 sono stati registrati 34,2 milioni di attacchi di cryptojacking, il numero più alto per trimestre da quando SonicWall ha iniziato a monitorare questi dati. La cosa più preoccupante è che il mese peggiore per il cryptojacking nel 2021 è stato proprio dicembre, con 13,6 milioni di attacchi rilevati. Sebbene il mese di dicembre 2021 non raggiunga i 15,5 milioni di attacchi rilevati in marzo del 2020, rappresenta comunque un secondo posto che non è il punto di partenza ottimale per il 2022.

Sono stato infettato da un malware di cryptojacking?

I cryptominer sono interessati a sfruttare la potenza di calcolo delle loro vittime, e i cryptojacker devono trovare il giusto equilibrio tra anonimato e profitti. La quantità di risorse che possono sottrarre alla vostra CPU dipende dai loro obiettivi.

Se sottraggono meno potenza diventa più difficile per gli utenti ignari accorgersi di loro, se ne rubano di più aumentano i profitti. Naturalmente ci sarà un impatto sulle prestazioni in entrambi i casi, ma se la soglia è abbastanza bassa potrebbe essere difficile distinguere un miner da un software legittimo.

Gli amministratori aziendali possono monitorare i processi sconosciuti nei loro ambienti, mentre gli utenti finali che utilizzano il software di Windows dovrebbero avviare Process Explorer di Sysinternals per vedere quali processi sono in esecuzione. Allo stesso modo, gli utenti Linux e macOS dovrebbero utilizzare rispettivamente System Monitor e Monitoraggio Attività per tenere sotto controllo i loro sistemi.

Come difendersi dai cryptojacker

Il primo passo per difendersi dai cryptominer consiste nel bloccare questo tipo di malware a livello del gateway tramite firewall o soluzioni di email security (sicurezza perimetrale), che è uno dei metodi più efficaci per contrastare le minacce note basate su file.

Poiché le persone tendono a riutilizzare vecchio codice, scoprire i cryptojacker è relativamente semplice. Tuttavia SonicWall prevede un aumento di nuove varianti e tecniche di cryptojacking, dato che i cryptojacker hanno tempo per sviluppare nuovi strumenti. Inoltre, il cryptojacking potrebbe diventare uno dei metodi preferiti dai cybercriminali per il fatto che agisce di nascosto; i danni limitati e indiretti per le vittime ne diminuiscono la possibilità di essere scoperto e prolungano la sua durata utile in caso di successo.

Se il ceppo del malware è sconosciuto (nuovo o aggiornato), è in grado di superare i filtri statici del perimetro di sicurezza. Se un file è sconosciuto, viene reindirizzato a una sandbox per verificarne la sua natura.

Il servizio multi-engine Capture Advanced Threat Protection (ATP) di SonicWall con l’ispezione in tempo reale (RTDMI)™ si è dimostrato altamente efficace nel prevenire il malware evasivo in grado di ingannare un engine ma non gli altri.

Se un endpoint non è protetto da questa configurazione tipica (ad es. in caso di roaming all’aeroporto o in hotel), è necessario installare un prodotto di sicurezza degli endpoint dotato di funzionalità di rilevamento comportamentale.

I cryptominer possono agire nei browser o infiltrarsi tramite un attacco fileless, cioè senza l’uso di file, per cui le soluzioni tradizionali preinstallate sui computer non sono in grado di vederli.

Le soluzioni di cybersecurity di tipo comportamentale come Capture Client ATP sono in grado di rilevare il malware che consente il cryptomining e di interromperne il funzionamento. A quel punto un amministratore può facilmente mettere in quarantena ed eliminare il malware o, se un attacco ha danneggiato i file di sistema, può ripristinare l’ultima configurazione di sistema funzionante prima che venisse eseguito il malware.

Combinando una serie di difese perimetrali e analisi comportamentali le aziende possono contrastare le nuove forme di malware, indipendentemente dalle loro effettive tendenze o finalità.