Report sulla difesa digitale Microsoft 2022
Dati analitici da miliardi di segnali di sicurezza giornalieri
Punto di vantaggio unico
L'obiettivo del Report sulla difesa digitale Microsoft, che è al suo terzo anno (in precedenza intitolato Report dell'intelligence sulla sicurezza Microsoft con più di 22 report archiviati), è quello di illuminare il panorama delle minacce digitali in continua evoluzione per quattro aree di interesse: crimine informatico, minacce stato-nazione, dispositivi e infrastruttura e operazioni in influenza informatica, fornendo al contempo dati analitici e indicazioni su come migliorare la resilienza informatica.
Servendo miliardi di clienti a livello globale, Microsoft è in grado di aggregare i dati sulla sicurezza da uno spettro ampio e variegato di organizzazioni e clienti. Questo report si basa sulla portata dell'intelligence dei nostri segnali in tutto l'ambiente Microsoft, compreso il cloud, gli endpoint e la rete perimetrale intelligente. Questo punto di vantaggio unico ci offre un quadro molto fedele del panorama delle minacce e lo stato attuale della cybersecurity, includendo indicatori che ci consentono di prevedere le prossime mosse degli utenti malintenzionati. Per noi la trasparenza e la condivisione delle informazioni sono aspetti fondamentali quanto aiutare i nostri clienti a diventare più resilienti a livello informatico e quanto la protezione dell'ecosistema.
In questo riepilogo generale del report, scoprirai lo stato del crimine informatico, come i dispositivi IoT (Internet delle cose) stanno diventando un target sempre più popolare, le nuove tattiche degli attacchi stato-nazione e l'aumento dei mercenari informatici, le operazioni di influenza informatica e, soprattutto, come essere resilienti in questo periodo.
- 43 miliardi di segnali sintetizzati ogni giorno usando sofisticati algoritmi di analisi dei dati e intelligenza artificiale per comprendere e proteggere da minacce digitali e attività informatiche criminali
- Più di 8500 ingegneri, ricercatori, scienziati dei dati, esperti di cybersecurity, cacciatori di minacce, analisti geopolitici, investigatori e risponditori sul campo in 77 paesi
- Più di 15.000 partner nel nostro ecosistema di sicurezza, che aumentano la resilienza informatica per i clienti
Il crimine informatico continua a crescere, guidato da notevoli aumenti sia degli attacchi casuali sia degli attacchi mirati. Abbiamo rilevato minacce sempre più eterogenee nel panorama digitale con sviluppi nei metodi di cyberattacco e le infrastrutture criminali usate per intensificare la guerra cinetica durante l'invasione russa dell'Ucraina.
Gli attacchi ransomware rappresentano un pericolo crescente per tutti in quanto le infrastrutture critiche, le aziende di tutte le dimensioni e i governi locali e statali diventano l'obiettivo di criminali che operano sfruttando il sempre più ampio ecosistema dei crimini informatici. Man mano che gli attacchi ransomware sono diventati più audaci per quanto riguarda l'ambito, i loro effetti si sono amplificati. Una strategia sostenibile ed efficace contro questa minaccia richiede una stretta collaborazione tra gli enti pubblici e il settore privato.
In base all'analisi dei nostri sforzi in termini di risposta e recupero, abbiamo rilevato controlli delle identità deboli, operazioni per la sicurezza inefficaci e strategie di protezione dei dati incomplete nelle organizzazioni interessate.
Quest'anno c'è stato un notevole aumento di tentativi indiscriminati di phishing e furto di credenziali per ottenere informazioni che vengono vendute e usate in attacchi mirati come ransomware, esfiltrazione di dati ed estorsione, oltre alla compromissione della posta elettronica aziendale.
Il Cybercrime as a Service (CaaS) è una minaccia crescente e in evoluzione per i clienti a livello mondiale. La Microsoft Digital Crimes Unit (DCU) ha osservato una crescita continua dell'ecosistema CaaS con sempre più servizi online che facilitano crimini informatici, tra cui la compromissione della posta elettronica aziendale e ransomware con intervento umano. I rivenditori di CaaS offrono sempre di più credenziali compromesse e stiamo rilevando un numero sempre maggiore di servizi e prodotti CaaS dotati di funzionalità per evitare il rilevamento.
Gli utenti malintenzionati stanno trovando nuovi modi per implementare tecniche e ospitare le loro infrastrutture operative, ad esempio compromettendo le aziende per ospitare campagne di phishing, malware o usando la loro potenza di computing per coniare criptovalute. I dispositivi IoT (Internet delle cose) stanno diventando un target sempre più popolare per i criminali informatici che si servono di bot su larga scala. Quando i router non sono aggiornati e vengono lasciati esposti direttamente a Internet, gli attori di minacce possono usarli in modo improprio per accedere alle reti, eseguire attacchi e perfino supportare le loro operazioni.
L'hacktivismo è aumentato lo scorso anno, con cittadini privati che conducevano cyberattacchi per obiettivi sociali o politici. Migliaia di persone sono state mobilitate per sferrare attacchi nell'ambito della guerra tra Russia e Ucraina. Questa tendenza continuerà, quindi le aziende attive nel settore delle tecnologie devono progettare insieme una risposta completa contro questa nuova minaccia.
L'accelerazione della trasformazione digitale ha aumentato il rischio della cybersecurity per le infrastrutture critiche e i sistemi informatici fisici. Mentre le organizzazioni sfruttano i vantaggi delle funzionalità di calcolo e le entità abbracciano la digitalizzazione per prosperare, la superficie di attacco del mondo digitale cresce in modo esponenziale.
La rapida adozione di soluzioni IoT ha aumentato il numero di vettori di attacco e il rischio di esposizione delle organizzazioni. Questa migrazione ha velocizzato la capacità della maggior parte delle organizzazioni di tenere il passo man mano che il malware come servizio è passato a operazioni su larga scala contro infrastrutture civili e reti aziendali.
Abbiamo osservato più minacce che sfruttano i dispositivi in ogni parte dell'organizzazione, dalle apparecchiature IT tradizionali ai controller di tecnologia operativa (OT) o semplici sensori IoT. Abbiamo rilevato attacchi alle reti elettriche, attacchi ransomware che interrompono operazioni OT e router IoT sfruttati per una maggiore persistenza. Allo stesso tempo, sono state colpite sempre più vulnerabilità nel firmware (software incorporato nel circuito o nell'hardware di un dispositivo) per lanciare attacchi devastanti.
Per fare fronte a queste e altre minacce, gli enti pubblici globali stanno sviluppando e migliorando dei criteri per gestire i rischi relativi alla cybersecurity per l'infrastruttura critica. Molti stanno adottando criteri per migliorare la sicurezza dei dispositivi IoT e OT. La crescente ondata globale di iniziative di politiche sta creando l'enorme opportunità di migliorare la cybersecurity ma pone anche delle sfide per gli stakeholder in tutto l'ecosistema. Mentre vengono portate avanti contemporaneamente attività relative ai criteri in varie regioni, settori, tecnologie e aree di gestione dei rischi operativi, esiste un potenziale di sovrapposizione e incoerenza nell'ambito, nei requisiti e nella complessità dei requisiti. Le organizzazioni del settore pubblico e privato devono cogliere l'opportunità per rafforzare la cybersecurity con maggiore impegno e iniziative per ottenere coerenza.
- Il 68% degli intervistati ritiene che l'adozione di soluzioni IoT/OT è fondamentale per la propria trasformazione digitale strategica
- Il 60% degli intervistati riconosce che la sicurezza IoT/OT è uno degli aspetti meno sicuri della propria infrastruttura
Nell'ultimo anno, c'è stato un cambiamento di strategia nei gruppi di hacker autori di attacchi stato-nazione, che sono passati dallo sfruttamento della catena di approvvigionamento software allo sfruttamento della catena di approvvigionamento dei servizi IT, colpendo soluzioni cloud e provider di servizi gestiti per raggiungere i clienti downstream in diversi settori (pubblico, dei criteri e delle infrastrutture critiche).
Man mano che le organizzazioni rafforzano la propria postura di sicurezza informatica, gli attori stato-nazione perseguono tattiche nuove e uniche per lanciare attacchi ed eludere i sistemi di rilevamento. L'identificazione e lo sfruttamento delle vulnerabilità zero-day è una tattica fondamentale in questo contesto. Il numero di vulnerabilità zero-day divulgate pubblicamente nell'ultimo anno è pari a quello dell'anno precedente, che è stato il più alto mai registrato. Molte organizzazioni ritengono di essere colpite da attacchi exploit zero-day con una probabilità inferiore se la gestione delle vulnerabilità è integrata alla sicurezza della loro rete. Tuttavia, con la standardizzazione degli exploit stanno diventando vittime di questi attacchi a un ritmo molto più veloce. Gli exploit zero-day vengono spesso individuati da altri attori e riutilizzati ampiamente in un breve periodo, lasciando i sistemi non aggiornati a rischio.
Abbiamo riscontrato un settore crescente di attori offensivi in ambito privato, o mercenari informatici, che sviluppano e vendono strumenti, tecniche e servizi ai clienti (spesso enti pubblici) per violare reti, computer, telefoni e dispositivi connessi a Internet. Mentre rappresentano una risorsa per gli attori stato-nazione, queste entità spesso minacciano dissidenti, difensori dei diritti umani, giornalisti, avvocati della società civile e altri cittadini privati. Questi mercenari informatici stanno fornendo funzionalità avanzate di "sorveglianza come servizio", che molti degli attacchi stato-nazione non avrebbero saputo sviluppare autonomamente.
La democrazia ha bisogno di informazioni attendibili per prosperare. Un'area di interesse molto importante per Microsoft è quella delle operazioni di influenza sviluppate e perpetuate dagli attacchi stato-nazione. Queste campagne erodono la fiducia, aumentano la polarizzazione e minacciano i processi democratici.
In particolare, stiamo rilevando che certi regimi autoritari stanno collaborando per inquinare l'ecosistema delle informazioni per i loro vantaggi reciproci. Le campagne che hanno cercato di oscurare l'origine del virus COVID-19 offrono un esempio. Dall'inizio della pandemia, la propaganda russa, iraniana e cinese sul COVID-19 ha aumentato la copertura per amplificare questi temi centrali.
Aumento della proliferazione di fake news dal 2019 del 900% rispetto all'anno precedente
Stiamo entrando in quella che prevediamo sarà un'età d'oro per la creazione e la manipolazione dei contenuti multimediali con intelligenza artificiale, basata sulla proliferazione di strumenti e servizi che consentono di creare in modo artificiale immagini, video, audio e messaggi altamente realistici e di diffondere rapidamente contenuti ottimizzati per gruppi di pubblico specifici. Una minaccia più a lungo termine e ancora più insidiosa riguarda la nostra capacità di riconoscere ciò che è vero se non possiamo più fidarci di quello che vediamo e sentiamo.
La natura in rapida evoluzione dell'ecosistema delle informazioni, associata alle operazioni di influenza stato-nazione (compresa l'unione dei cyberattacchi tradizionali con operazioni di influenza e interferenze nelle elezioni democratiche), richiede un approccio che coinvolge l'intera società. Un aumento del coordinamento e della condivisione delle informazioni tra enti pubblici, settore privato e società civile è necessario per una maggiore trasparenza di queste campagne di influenza e per l'esposizione e l'interruzione di tali campagne.
Esiste un crescente senso di urgenza a rispondere al crescente livello di minacce nell'ecosistema digitale. Le motivazioni geopolitiche degli attori di minacce hanno dimostrato che gli stati hanno incrementato l'utilizzo di operazioni informatiche offensive per destabilizzare i governi e avere un impatto sulle operazioni commerciali globali. Man mano che queste minacce crescono e si evolvono, è fondamentale creare una resilienza informatica all'interno delle organizzazioni.
Come abbiamo visto, sono numerosi gli attacchi informatici conseguiti semplicemente perché non è stata implementata l'ottimizzazione della sicurezza di base. Gli standard minimi che ogni organizzazione dovrebbe adottare sono i seguenti:
La curva a campana della resilienza informatica: Il 98% dell'igiene della sicurezza di base protegge ancora dal 98% di tutti gli attacchi. Scopri di più su questa immagine a pagina 109 del Report sulla difesa digitale Microsoft 2022
- Verifica esplicita: assicurarsi che utenti e dispositivi siano in buono stato prima di consentire loro di accedere alle risorse.
- Uso dell'accesso con privilegi minimi: consentire solo i privilegi necessari per l'accesso a una risorsa.
- Ipotesi di violazione: supporre che le difese del sistema siano state violate e che i sistemi possano essere compromessi. Ciò consente di monitorare costantemente l'ambiente per individuare possibili attacchi.
Usare antimalware moderni
Implementa software per rilevare e bloccare automaticamente gli attacchi e per fornire informazioni dettagliate sulle operazioni per la sicurezza. Monitorare le informazioni dettagliate da sistemi di rilevamento delle minacce è essenziale per riuscire a rispondere tempestivamente.
Eseguire aggiornamenti
Avere sistemi senza patch e obsoleti è uno dei motivi principali per cui molte organizzazioni cadono vittime di un attacco. Assicurati che tutti i sistemi siano aggiornati, inclusi firmware, sistema operativo e applicazioni.
Proteggere i dati
Conoscere i propri dati importanti, sapere dove si trovano e sapere se vengono implementati i sistemi giusti è fondamentale per una protezione appropriata.
Fonte: Report sulla difesa digitale Microsoft, novembre 2022