Come di consueto, nel primo trimestre di questo anno siamo in grado di trarre le prime conclusioni su ciò che i 12 mesi che ci siamo lasciati alle spalle ci possono raccontare, soprattutto dal punto di vista della cyber security.
Tra le analisi più interessanti troviamo il report del National Institute of Standards and Technology (NIST) che ci racconta come nel 2020 siano state registrare oltre 18mila vulnerabilità e – dato ancora più importante – come, tra queste, oltre 10mila (il 57 per cento) siano state classificate con punteggi di severity high o critical.
I dati in dettaglio
Questo trend, a un primo sguardo, potrebbe sembrare abbastanza negativo, evidenziando la rinnovata necessità per i CIO, CISO e team di sicurezza di aumentare ancora i propri sforzi nel rafforzare la resillience del proprio perimetro e di abbracciare l’approccio multi-livello della sicurezza intessa come predittiva, preventiva e proattiva.
Altri dati significativi sono la presenza di un alto numero di CVE che non richiedono interazione da parte dell’utente per essere sfruttate (68% del totale), mentre sono in diminuzione quelle che non richiedono privilegi utente per l’exploit (58% del totale).
Da ultimo, va anche rilevato come il numero delle adjacent vulnerabilities sia aumentato in maniera considerevole.
Ma ci sono anche delle note positive, volendo guardare il report del NIST da un altro punto di vista. Lo stesso fatto che il numero di vulnerabilità riportate abbia “sfondato” quota 18mila, significa che i programmi di disclosure stanno funzionando e stanno diventando una pratica accettata e diffusa.
Come interpretare queste informazioni?
Certamente questi dati sono figli di un 2020 che ha proseguito una tendenza già consolidata nel 2019, ma incredibilmente aumentata dallo stato di remote work diffuso creato dalla pandemia che ha imperversato.
Il numero e l’eterogeneità degli oggetti introdotti all’interno dei perimetri “allargati” delle reti aziendali, oltre alla loro interoperabilità, sono infatti aumentati considerevolmente.
Stiamo parlando dei numerosi device IoT, ma anche di laptop e simili, magari meno familiari in contesti lavorativi, adattati per esigenze dettate dallo stato di emergenza.
L’aumento di vulnerabilità segnalate, quindi, è anche conseguenza di un dataset allargato, non necessariamente in maniera univoca di maggiore attenzione da parte dei ricercatori e minore diligenza da parte dei vendor.
Queste considerazioni a parte, lo scenario che abbiamo di fronte è quindi, all’apparenza almeno, ancora più sfidante per chi si occupa di cyber security all’interno delle aziende.
Il rapporto costi-benefici per i criminal hacker
Un numero così alto di vulnerabilità di high e critical severity, potrebbe spaventare e far immaginare scenari da Hackmaggeddon.
La verità è diversa però. Tante delle CVE segnalate, per quanto pericolose, richiedono un livello di effort e costi da parte dei criminal hacker – per non parlare delle skill necessarie all’expolit – da rendere la maggior parte di questi possibili attacchi altamente rischiosi…non solo per noi, ma anche per gli aggressori.
La verità è che la stragrande maggioranza degli attacchi registrati al giorno d’oggi giungono da una maggioranza di criminal hacker con un livello di competenze e un budget molto risicato.
Sembra controintuitivo parlare di rapporto costo/beneficio per quelli che sono a tutti gli effetti criminali. Ma in realtà in mondo del cyber crime è da tempo regolato da questo tipo di equazione.
Oggi le campagne non sono portate avanti dal classico “lupo solitario” incappucciato che opera da un remoto scantinato buio.
Si tratta, invece, di attacchi altamente automatizzati venduti già ready to use nei marketplace del dark web, ma non solo. Gli aggressori di oggi non hanno competenze avanzate e nella maggior parte dei casi sono semplicemente end-user nel mercato del cyber crime.
I loro attacchi, per natura, non punteranno mai all’exploit di una vulnerabilità molto specifica e che richiede – per esempio – lunghi tempi di ricognizione all’interno del network della vittima o di stabilire una persistence duratura con tecniche di offuscamento avanzate.
Punteranno a quello che viene chiamato “target of opportunity”: RDP esposti, una mail di phishing inviata a decine di migliaia di persone contenente info-stealer o malware…sono questi i cyber attacchi più diffusi e continueranno ad esserlo.
Per il criminal hacker “medio” spendere tempo ed effort cercando di sfruttare una nuova CVE che interessa un tipo di sistema o software molto specifico e che richiede skill avanzate, semplicemente non è economico.
Questo tipo di target, quello interessato magari delle numerose CVE scoperte nel 2020, è appannaggio di ben altro “pubblico”: gli APT e i gruppi di criminal hacker sponsorizzati dagli Stati.
I “livelli” del cyber crime
Si torna, gioco forza, al rapporto costo-beneficio. Campagne come quella di Solarwinds possono essere sostenute unicamente se alle spalle i criminal hacker hanno un sostegno finanziario ingente (quindi non stiamo parlando del criminal hacker tipo) e obiettivi ben precisi.
Si è formata da tempo una grande divisione nel mondo del cyber crime; abbiamo un 1% in grado di scatenare “fuoco e fiamme”, con un livello di skill avanzate e in grado di aggredire qualsiasi target.
Questi da tempo hanno abbandonato le tecniche di attacco massive, spostando il loro focus su due linee con cui generare introiti. La prima, appunto, è quella di lavorare come soldati di ventura a cui vengono commissionati attacchi ben specifici: si può trattare di spionaggio, sabotaggio… La seconda è quella di diventare “vendor”. Sono loro, infatti, a confezionare gli exploit e gli attacchi automatizzati che vengono acquistati dagli altri criminal hacker. Spesso lo fanno per pagamenti diretti, a volte per una percentuale dei profitti. Si sono trasformati in cyber crime as a service providers.
Il rimanente 99% degli aggressori, quello che probabilmente interessa la maggior parte di noi (se vogliamo “il nemico”) opera – e continuerà a operare – unicamente attraverso campagne “by opportunity” e soprattutto cercando di spendere il meno possibile per ottenere il maggior profitto, quindi sfruttando quelle CVE “note” e soprattutto facilmente expoitabili che da tempo sono note agli esperti di cyber security.
Ciò non significa che non dobbiamo prendere nota dei dati NIST.
Significa semplicemente che – nonostante lo scenario sia diventato più complesso – un framework già in essere di cyber security predittiva, preventiva e proattiva; basato su competenze, tecnologie e processi, rimane e rimarrà la migliore difesa contro la maggior parte delle minacce “in agguato”.
Non abbassiamo la guardia!
