Come emerge dai dettagli del Report sulla difesa digitale Microsoft 2023, le minacce informatiche diventano sempre più sofisticate, veloci e scalabili, compromettendo un pool sempre maggiore di servizi, dispositivi e utenti. Mentre affrontiamo queste sfide e ci prepariamo per un futuro in cui l'intelligenza artificiale può contribuire a livellare il campo, è fondamentale agire con decisione su ciascuna di queste dieci informazioni.
Ottieni informazioni dettagliate dagli esperti su Microsoft Threat Intelligence Podcast. Ascolta adesso.
10 informazioni essenziali dal Report sulla difesa digitale Microsoft 2023
In quanto azienda impegnata a rendere il mondo un luogo più sicuro, Microsoft ha investito molto nella ricerca sulla sicurezza, nell'innovazione e nella community globale della sicurezza. Abbiamo accesso a una vasta gamma di dati sulla sicurezza che ci mette in una posizione unica per comprendere lo stato della cybersecurity e per individuare gli indicatori che possono aiutare a prevedere le prossime mosse degli utenti malintenzionati.
Nell'ambito del nostro impegno di lunga data per creare un mondo più sicuro, gli investimenti di Microsoft nella ricerca sulla sicurezza, nell'innovazione e nella community globale della sicurezza includono:
Scopri di più su questa immagine a pagina 6 del report completo
La maggior parte degli attacchi informatici riusciti potrebbe essere contrastata implementando alcune procedure fondamentali per l'igiene della sicurezza. L'utilizzo del cloud su vasta scala ne semplifica l'implementazione abilitandole per impostazione predefinita o eliminando la necessità dei clienti di implementarle.
Curva a campana dell'igiene informatica tratta dal Report sulla difesa digitale Microsoft (MDDR) 2023. Scopri di più su questa immagine a pagina 7 del report completo
Nozioni fondamentali sull'igiene informatica
Abilitazione dell'autenticazione a più fattori (MFA): consente di proteggersi dalle password utente compromesse e di fornire resilienza aggiuntiva per le identità.
Applicazione dei principi di Zero Trust: la colonna portante di qualsiasi piano di resilienza è limitare l'impatto di un attacco. I principi sono i seguenti: (1) verifica esplicita per assicurarsi che utenti e dispositivi siano in buono stato prima di consentire loro di accedere alle risorse; (2) abilitazione dell'accesso con privilegi minimi in modo da fornire solo le autorizzazioni necessarie per accedere a una risorsa e non di più; (3) ipotesi di violazione, ovvero supporre che le difese del sistema siano state violate e che i sistemi possano essere compromessi. Ciò consente di monitorare costantemente l'ambiente per individuare possibili attacchi.
Uso delle funzionalità di rilevamento e reazione estese (XDR) e di antimalware: implementa software per rilevare e bloccare automaticamente gli attacchi e per fornire informazioni dettagliate sulle operazioni per la sicurezza. Monitorare le informazioni dettagliate derivanti dai sistemi di rilevamento delle minacce informatiche è essenziale per riuscire a rispondere rapidamente.
Esecuzione di aggiornamenti: gli utenti malintenzionati approfittano dei sistemi non aggiornati e sprovvisti di patch. Assicurati che tutti i sistemi siano aggiornati, inclusi firmware, sistema operativo e applicazioni.
Protezione dei dati: conoscere quali sono i dati importanti, sapere dove si trovano e se vengono implementati i sistemi giusti è fondamentale per una protezione appropriata.
La telemetria di Microsoft indica un aumento del tasso di attacchi ransomware rispetto allo scorso anno, con gli attacchi ransomware con intervento umano triplicati da settembre 2022. In futuro, prevediamo che gli operatori di ransomware cercheranno di sfruttare l'automazione, l'intelligenza artificiale e i sistemi cloud iperscalabili per ridimensionare e massimizzare l'efficacia dei loro attacchi.
Il panorama dei ransomware
Scopri di più su questa immagine a pagina 2 del report completo
Eliminazione del ransomware: i cinque principi fondamentali
Abbiamo individuato cinque principi fondamentali che a nostro avviso ogni impresa deve adottare per proteggersi dagli attacchi ransomware su identità, dati ed endpoint.
- Autenticazione moderna con credenziali resistenti al phishing
- Accesso con privilegi minimi applicato all'intero stack di tecnologie
- Ambienti liberi da minacce e rischi
- Gestione della postura per la conformità e l'integrità di dispositivi, servizi e risorse
- Backup automatico nel cloud e sincronizzazione dei file per i dati critici e degli utenti
I dati di Microsoft Entra rivelano un aumento di oltre dieci volte dei tentativi di attacco alle password rispetto allo stesso periodo dello scorso anno. Un modo per scoraggiare i potenziali utenti malintenzionati è utilizzare credenziali non a rischio di phishing come Windows Hello for Business o le chiavi FIDO.
Grafico che mostra il numero di attacchi alle password rispetto allo stesso periodo dell'anno scorso. Scopri di più su questa immagine a pagina 16 del report completo
Lo sapevi?
Uno dei motivi principali per cui gli attacchi alle password sono così diffusi è dovuto a una postura di sicurezza inadeguata. Molte organizzazioni non abilitano l'autenticazione a più fattori per i propri utenti, lasciandoli vulnerabili a phishing, credential stuffing e attacchi di forza bruta.
Gli attori delle minacce stanno adattando le loro tecniche di ingegneria sociale e l'uso della tecnologia per eseguire attacchi BEC più sofisticati e costosi. La Digital Crimes Unit di Microsoft ritiene che una maggiore condivisione dell'intelligence tra i settori pubblico e privato consentirà una risposta più rapida e di maggiore impatto agli attacchi BEC.
N. di tentativi giornalieri di attacchi BEC osservati da aprile 2022 ad aprile 2023. Scopri di più su questa immagine a pagina 33 del report completo
Lo sapevi?
La Digital Crimes Unit di Microsoft ha assunto un atteggiamento proattivo rilevando e monitorando attivamente 14 siti DDoS-for-hire, incluso uno situato nel dark web, come parte del suo impegno volto a individuare potenziali minacce informatiche e a rimanere un passo avanti rispetto ai criminali informatici.
Gli attori degli stati-nazione hanno ampliato la portata globale delle loro operazioni informatiche come parte della raccolta di informazioni. Le organizzazioni coinvolte nelle infrastrutture critiche, nell'istruzione e nell'elaborazione dei criteri sono state tra quelle maggiormente colpite, in linea con gli obiettivi geopolitici e le azioni incentrate sullo spionaggio di molti gruppi. I passaggi per rilevare possibili violazioni legate allo spionaggio includono il monitoraggio delle modifiche alle cassette postali e alle autorizzazioni.
Ecco le nazioni maggiormente colpite per area geografica*:
Quadro generale degli attori di minacce degli stati-nazione globali; una ripartizione più completa dei dati è disponibile nel report. Scopri di più su questa immagine a pagina 12 del report completo
Lo sapevi?
Quest'anno Microsoft ha lanciato una nuova tassonomia per la denominazione degli attori di minacce. La nuova tassonomia offrirà maggiore chiarezza ai clienti e ai ricercatori sulla sicurezza con un sistema di riferimento più organizzato e facile da usare in relazione agli attori di minacce.
Gli attori degli stati-nazione utilizzano sempre più frequentemente operazioni di influenza insieme a operazioni informatiche per diffondere le narrazioni di propaganda che preferiscono, per alimentare tensioni sociali e per amplificare dubbi e confusione. Queste operazioni vengono spesso effettuate nel contesto di conflitti armati ed elezioni nazionali.
Categoria di attori Blizzard
Gli attori di stato russi hanno ampliato il loro ambito di attività oltre l'Ucraina per colpire gli alleati di Kiev, principalmente i membri della NATO.
Categoria di attori Typhoon
Le attività estese e sofisticate della Cina riflettono la sua duplice ricerca di influenza globale e raccolta di informazioni. I suoi obiettivi includono la difesa e le infrastrutture critiche degli Stati Uniti, le nazioni del Mar Cinese Meridionale e i partner della Belt and Road Initiative.
Categoria di attori Sandstorm
L'Iran ha ampliato le sue attività informatiche in Africa, America Latina e Asia. Sfruttando massicciamente le operazioni di influenza, ha promosso narrazioni che cercano di fomentare l'instabilità sciita nei paesi arabi del Golfo e contrastare la normalizzazione dei legami arabo-israeliani.
Categoria di attori Sleet
La Corea del Nord ha aumentato il livello di sofisticatezza delle sue operazioni informatiche nell'ultimo anno, in particolare nel furto di criptovalute e negli attacchi alla catena di approvvigionamento.
Lo sapevi?
Sebbene le immagini dei profili generate dall'intelligenza artificiale siano da tempo una caratteristica delle operazioni di influenza sponsorizzate dagli stati, l'uso di strumenti di intelligenza artificiale più sofisticati per creare contenuti multimediali di maggiore impatto è una tendenza che ci aspettiamo persista con la più ampia disponibilità di tali tecnologie.
Gli utenti malintenzionati colpiscono sempre più l'elevata vulnerabilità del reparto IT e della tecnologia operativa (IT-OT), che può essere difficile da difendere. Ad esempio, al 46% del 78% dei dispositivi Internet delle cose (IoT) con vulnerabilità note sulle reti dei clienti non è possibile applicare patch. Un solido sistema di gestione delle patch OT è quindi una componente essenziale della strategia di cybersecurity, mentre il monitoraggio della rete negli ambienti OT può aiutare a rilevare attività pericolose.
Scopri di più su questa immagine a pagina 61 del report completo
Lo sapevi?
Il 25% dei dispositivi OT nelle reti dei clienti utilizza sistemi operativi non supportati, il che li rende più vulnerabili agli attacchi informatici a causa della mancanza di aggiornamenti e di sistemi di protezione essenziali contro le minacce informatiche in evoluzione.
L'intelligenza artificiale può migliorare la cybersecurity automatizzando e potenziando le relative attività, consentendo ai sistemi di sicurezza di rilevare modelli e comportamenti nascosti. Gli LLM possono contribuire all'intelligence sulle minacce, alla risposta agli incidenti e al relativo ripristino, al monitoraggio e al rilevamento, al test e alla convalida, alla formazione e alla sicurezza, alla governance, al rischio e alla conformità.
I ricercatori e gli esperti di informatica applicata di Microsoft stanno esplorando molti scenari per l'applicazione degli LLM nella difesa informatica, ad esempio:
Scopri di più su questa immagine a pagina 98 del report completo
Lo sapevi?
L'AI Red Team di esperti interdisciplinari di Microsoft sta contribuendo alla creazione di un futuro in cui l'intelligenza artificiale sarà più sicura. Il nostro AI Red Team emula tattiche, tecniche e procedure (TTP) degli avversari reali per individuare i rischi, scoprire punti ciechi, confermare ipotesi e migliorare la postura di sicurezza complessiva dei sistemi di intelligenza artificiale. Scopri di più sul team di Microsoft che si occupa di intelligenza artificiale nel blog di Microsoft Security intitolato Microsoft AI Red Team building future of safer AI | (L'AI Red Team di Microsoft sta creando un futuro in cui l'intelligenza artificiale sarà più sicura).
Man mano che le minacce informatiche si evolvono, la collaborazione tra settore pubblico e privato sarà fondamentale per migliorare la conoscenza collettiva, per favorire la resilienza e per fornire indicazioni sulla mitigazione nell'ecosistema della sicurezza. Ad esempio, quest'anno Microsoft, Fortra LLC e Health-ISAC hanno collaborato per ridurre l'infrastruttura criminale informatica per l'uso illecito di Cobalt Strike. Ciò ha comportato una riduzione di questa infrastruttura del 50% negli Stati Uniti.
Il grafico mostra una riduzione del 50% negli Stati Uniti dei server Cobalt Strike craccati. Scopri di più su questa immagine a pagina 115 del report completo
Lo sapevi?
Il Cybercrime Atlas globale riunisce una community eterogenea di oltre 40 membri del settore pubblico e privato per centralizzare la condivisione delle conoscenze, la collaborazione e la ricerca sul crimine informatico. L'obiettivo è contrastare i criminali informatici fornendo informazioni che facilitino le azioni delle forze dell'ordine e del settore privato, portando ad arresti e allo smantellamento delle infrastrutture criminali.
La carenza globale di professionisti della cybersecurity e dell'intelligenza artificiale può essere affrontata solo attraverso collaborazioni strategiche tra istituti d'istruzione, organizzazioni non profit, governi e imprese. Poiché l'intelligenza artificiale può contribuire ad alleviare parte di questo onere, lo sviluppo delle competenze in materia di IA è una priorità assoluta per le strategie di formazione aziendale.
Aumento del 35% della domanda di esperti di cybersecurity nell'ultimo anno. Scopri di più su questa immagine a pagina 120 del report completo
Lo sapevi?
L' AI Skills Initiative di Microsoft include nuovi corsi gratuiti sviluppati in collaborazione con LinkedIn. Ciò consente ai lavoratori di apprendere concetti introduttivi sull'IA, tra cui i framework di intelligenza artificiale responsabile, e di ricevere un certificato Career Essentials al termine.
Segui Microsoft