2 Minutes With Cristiano Tito
Uncategorized

2 Minutes With Cristiano Tito

By April 22, 2025 No Comments

Diamo un’occhiata al panorama delle minacce informatiche all’inizio del 2025: cosa sta accadendo?

Il cambiamento più importante che stiamo osservando è che i criminali informatici continuano a ricorrere a tattiche più stealth, con un picco nei furti di credenziali di basso profilo, mentre gli attacchi ransomware alle aziende sono diminuiti. Nella fattispecie, lo studio IBM X-Force ha osservato un aumento dell’84% delle e-mail che inviavano infostealer rispetto all’anno precedente, un metodo di cui gli autori delle minacce hanno fatto largo uso per scalare gli attacchi all’identità. Il nostro Threat Index Report del 2025 traccia tendenze e modelli di attacco nuovi ed esistenti, attingendo a miliardi di punti dati da dispositivi di rete ed endpoint, interventi di risposta agli incidenti, threat intelligence e altre fonti.

Gli aspetti chiave che balzano immediatamente all’occhio sono che:

  • Le organizzazioni che gestiscono infrastrutture critiche hanno rappresentato il 70% di tutti gli attacchi a cui IBM X-Force ha risposto lo scorso anno, con oltre un quarto di questi attacchi causati dallo sfruttamento delle vulnerabilità.
  • Un numero maggiore di criminali informatici ha scelto di rubare i dati (18%) piuttosto che crittografarli (11%), poiché le tecnologie di rilevamento avanzate e l’intensificarsi degli sforzi delle forze dell’ordine spingono i criminali informatici ad adottare percorsi di uscita più rapidi.
  • Quasi un incidente su tre osservato nel 2024 ha portato al furto di credenziali, poiché gli aggressori investono in più percorsi per accedere rapidamente, esfiltrare e monetizzare le informazioni di accesso.

In questo scenario, la dipendenza da tecnologie legacy e i lenti cicli di patching si dimostrano una sfida costante per le organizzazioni che operano nel settore delle infrastrutture critiche, poiché i criminali informatici hanno sfruttato e continuano a sfruttare le vulnerabilità in oltre un quarto degli incidenti a cui IBM X-Force ha risposto in questo settore lo scorso anno.

Analizzando le vulnerabilità ed esposizioni comuni (CVE) più menzionate nei forum del dark web, IBM X-Force ha rilevato che quattro delle prime dieci sono state collegate a gruppi di attaccanti sofisticati, aumentando il rischio di interruzioni, spionaggio ed estorsione finanziaria. I codici exploit per queste CVE sono stati scambiati apertamente su numerosi forum, alimentando un mercato in crescita per gli attacchi contro reti elettriche, reti sanitarie e sistemi industriali. Questa condivisione di informazioni tra avversari motivati da interessi economici e avversari nazionali evidenzia la crescente necessità di un monitoraggio del dark web per contribuire a definire strategie di gestione delle patch e rilevare potenziali minacce prima che vengano sfruttate. A partire dall’anno scorso abbiamo poi osservato un aumento delle e-mail di phishing che veicolano informazioni rubate e i primi dati per il 2025 rivelano un aumento ancora maggiore, pari al 180%, rispetto al 2023. Questa tendenza al rialzo, che alimenta i successivi furti di account, potrebbe essere attribuita agli aggressori che sfruttano l’intelligenza artificiale per scalare la distribuzione. Il phishing delle credenziali e gli infostealer hanno reso gli attacchi di identità economici, scalabili e altamente redditizi per gli autori delle minacce. Gli infostealer consentono la rapida esfiltrazione dei dati, riducendo il tempo di attacco e lasciando pochi residui forensi. Nel 2024, i primi cinque infostealer da soli avevano più di otto milioni di annunci sul dark web e ogni annuncio poteva contenere centinaia di credenziali. Gli autori delle minacce stanno anche vendendo kit di phishing AITM (Adversary-in-the-Middle) e servizi di attacco AITM personalizzati sul dark web per eludere l’autenticazione a più fattori (MFA). La

dilagante disponibilità di credenziali compromesse e di metodi di bypass MFA indica un’economia ad alta domanda di accessi non autorizzati che non accenna a rallentare.

Per quanto concerne il ransomware, sebbene quest’ultimo abbia rappresentato la quota maggiore di casi di malware nel 2024, con il 28%, IBM X-Force ha osservato una riduzione complessiva degli incidenti ransomware rispetto all’anno precedente, con un’impennata degli attacchi all’identità per colmare il vuoto. Gli sforzi internazionali di rimozione stanno spingendo gli autori di ransomware a ristrutturare i modelli ad alto rischio verso operazioni più distribuite e a basso rischio. Ad esempio, IBM X-Force ha osservato che famiglie di malware precedentemente consolidate, tra cui ITG23 (noto anche come Wizard Spider, Trickbot Group) e ITG26 (QakBot, Pikabot), hanno interrotto completamente le operazioni o si sono rivolte ad altri malware, incluso l’uso di famiglie nuove e di breve durata, mentre i gruppi di criminalità informatica cercano di trovare sostituti per le botnet che sono state eliminate lo scorso anno.

Il settore manifatturiero continua a subire il peso maggiore degli attacchi ransomware. Per il quarto anno consecutivo, è stato infatti il settore più attaccato. Nonostante il numero più elevato di casi registrato lo scorso anno, il ritorno sull’investimento in crittografia si mantiene elevato per questo settore, grazie alla sua bassissima tolleranza ai tempi di inattività.

Sebbene attacchi su larga scala alle tecnologie di AI non si siano materializzati nel 2024, i ricercatori di sicurezza stanno correndo per identificare e correggere le vulnerabilità prima che i criminali informatici le sfruttino. Problemi come la vulnerabilità relativa all’esecuzione di codice remoto scoperta da IBM X-Force in un framework per la creazione di agenti di AI diventeranno più frequenti. Con l’adozione destinata a crescere nel 2025, aumenteranno anche gli incentivi per gli avversari a sviluppare toolkit di attacco specializzati contro l’AI, rendendo imperativo che le aziende proteggano la pipeline di AI fin dall’inizio.

In base alla tua risposta, quali definiresti come le tre priorità principali per i leader della sicurezza IT quest’anno?

a. Ridurre il rischio di attacchi di raccolta delle credenziali, eliminando i silos di identità frammentati: Questa escalation nel prendere di mira le identità negli attacchi informatici sottolinea l’importanza fondamentale per le organizzazioni di identificare, eliminare e verificare in modo proattivo i potenziali vettori di attacco all’interno delle loro reti dinamiche. Queste misure sono fondamentali per ridurre la superficie di attacco, svelare i rischi latenti e rimediare autonomamente agli incidenti indipendentemente dalle minacce imminenti.

b. Riparare le falle della Multi-factor Authentication (MFA) prima che gli aggressori si facciano avanti: Sebbene l’adozione dell’MFA sia aumentata, implementazioni e controlli incompleti lasciano lacune critiche e sistemi esposti.

c. Affrontare la proliferazione incontrollata di identità e dati: gli aggressori sceglieranno sempre la via più semplice e, al momento, le credenziali sono la “soluzione più facile da ottenere”. Le aziende devono proteggere i dati sensibili ovunque risiedano negli ambienti cloud ibridi, indipendentemente dalla loro configurazione, e quindi controllare rigorosamente chi vi ha accesso.

d. La sicurezza è fondamentale per un futuro sicuro e scalabile dell’AI: ciò significa essere preparati alle minacce proteggendo il flusso di AI fin dall’inizio: dati, modello, utilizzo e l’infrastruttura che circonda i modelli.

e. Ridurre il raggio di violazione: Il raggio di violazione della cybersecurity si riferisce al potenziale impatto di un incidente data la compromissione di particolari utenti, dispositivi o dati. Ad esempio, se un account con privilegi di amministratore viene compromesso, il raggio di violazione è maggiore rispetto a quando a un normale account senza privilegi di amministratore viene data la possibilità di spostarsi lateralmente e accedere a dati aggiuntivi attraverso la rete. Data l’importanza della sicurezza dei dati e della gestione delle identità nell’attuale landscape delle minacce, le organizzazioni dovrebbero prendere in considerazione l’implementazione di soluzioni per ridurre il danno che un incidente di sicurezza dei dati potrebbe potenzialmente causare.

f. Conoscere e valutare l’esposizione al dark web: con la crescita esponenziale degli aggressori che condividono credenziali, dati e codici MFA nei forum, il monitoraggio del dark web può fungere da attività di allerta precoce per ridurre i rischi digitali.

Quali sono i tuoi consigli più pratici ed efficaci per affrontare queste priorità?

Implementare gli strumenti di rilevamento e risposta degli endpoint (EDR) su tutti i server e le workstation del tuo ambiente aiuta a rilevare il malware, inclusi infostealer e ransomware. Gli strumenti possono anche rilevare comportamenti anomali, come l’esfiltrazione di dati, l’interrogazione di informazioni sensibili o la creazione di nuovi account o cartelle su sistemi sensibili.

  • Rivolgersi agli esperti di settore per maggiori informazioni su come costruire e rendere operativo il rilevamento delle minacce nel proprio ambiente. Se le risorse sono limitate, ampliare il proprio team utilizzando l’AI per gestire fino all’85% degli avvisi e ottenere protezione 24 ore su 24, 7 giorni su 7 con servizi di rilevamento e risposta alle minacce. Inoltre, utilizzare la threat intelligence per identificare le opportunità chiave per mitigare le minacce nuove ed emergenti da parte di aggressori che cercano di rubare le tue credenziali.
  • Rafforzare le procedure di gestione delle credenziali per proteggere le credenziali di sistema o di dominio, implementando criteri di autenticazione a più fattori e password complesse per includere l’uso di passkey e sfruttare le configurazioni di sistema rafforzate che rendono più difficile l’accesso alle credenziali. Questo perchè gli attacchi di raccolta delle credenziali spesso vengono effettuati anche tramite attacchi di phishing e watering hole.
  • Implementare correttamente un tessuto di identità indipendente dal prodotto può estendere la sicurezza moderna e le funzionalità di rilevamento e risposta ad applicazioni e sistemi obsoleti. Semplificare la gestione delle identità attraverso un unico fornitore di gestione delle identità e degli accessi (IAM) per amministrare la governance delle identità, gestire l’identità e l’accesso della forza lavoro e dei consumatori e controllare gli account con privilegi di amministratore.
  • Data l’importanza della sicurezza dei dati e della gestione delle identità nell’attuale landscape delle minacce, le organizzazioni dovrebbero prendere in considerazione, inoltre, l’implementazione di soluzioni per ridurre il danno che un incidente di sicurezza dei dati potrebbe potenzialmente causare. Possibili strategie per ridurre il raggio di violazione sono:
    • implementare un framework con privilegi minimi;
    • fornire l’identità e la segmentazione della rete;
    • implementare soluzioni di protezione e sicurezza dei dati;
    • fornire un monitoraggio continuo e una risposta agli incidenti.
  • Non ultimo, disporre di piani di risposta agli incidenti personalizzati per il proprio ambiente è fondamentale per ridurre i tempi di risposta, recupero e ripristino da un attacco. Tale pianificazione dovrebbe essere fatta regolarmente e includere una risposta inter-organizzativa, incorporare gli stakeholder al di fuori dell’IT e testare le linee di comunicazione tra i team tecnici e la leadership senior. Pertanto, testare il proprio piano con un esercizio di cyber range coinvolgente e ad alta tensione può migliorare notevolmente la capacità di un’azienda/ente di rispondere a un attacco.

Puoi condividere un esempio di un cliente che hai aiutato a superare queste sfide?

Con i nostri clienti recentemente stiamo lavorando a un aspetto fondamentale nell’adozione dell’AI, ossia proteggere l’AI presenta implicazioni ancora maggiori dell’AI stessa. Le organizzazioni possono sfruttare i guardrail esistenti per contribuire a proteggere la pipeline dell’AI. I principi chiave su cui concentrarsi sono la protezione dei dati di addestramento sottostanti all’AI, i modelli, l’uso e l’inferenza dei modelli, ma anche l’infrastruttura più ampia che li circonda. Gli stessi punti di accesso sfruttati dai criminali informatici per compromettere le imprese pongono lo stesso tipo di rischio per l’AI. Poiché le organizzazioni scaricano i processi aziendali operativi sull’AI, occorre anche stabilire una governance e mettere i guardrail operativi al centro della strategia AI .