A rischio di sembrare cinici, costruire strategie per rispondere alle minacce alla sicurezza informatica è un po’ come fare i buoni propositi per l’anno nuovo… Se non avete già provato a prendere nuove e sane abitudini, è improbabile che aspettare lo scoccare della mezzanotte del 31 dicembre renda più facile iniziare. È raro che i cybercriminali aspettino il nuovo anno per svelare improvvisamente un nuovo tipo di attacco, cambiare drasticamente strategia o modificare i loro obiettivi. Le minacce si evolvono lentamente e si adattano a sistemi di sicurezza in continuo miglioramento. Ecco, quindi, le principali previsioni degli F5 Labs per il 2023, insieme all’analisi degli specialisti di cyber threat intelligence, dei malware reverser e degli ingegneri dei SOC di F5.
F5, le Shadow API porteranno a violazioni inaspettate
Come per tutti gli aspetti della sicurezza informatica, è impossibile proteggere ciò di cui non si conosce l’esistenza. Secondo Shahn Backer, senior solutions architect di F5 e consulente per il cloud e le API, le Shadow API rappresentano un rischio crescente che probabilmente porterà a violazioni di dati su larga scala che l’organizzazione vittima non sapeva nemmeno fossero possibili:
“Molte organizzazioni oggi non dispongono di un inventario accurato delle proprie API: questa situazione sta agevolando un nuovo tipo di minacce noto come “Shadow API”. Le organizzazioni che hanno adottato un processo di sviluppo delle API maturo mantengono un inventario delle risorse noto come inventario delle API, che idealmente conterrà informazioni su tutti gli endpoint API disponibili, dettagli sui parametri accettabili, informazioni sull’autenticazione e sull’autorizzazione e così via. Tuttavia, molte organizzazioni non dispongono di questo tipo di inventario e, per altre, le API in produzione e che beneficiano di uno sviluppo continuo si allontanano dalla loro definizione originale nell’inventario. Di conseguenza, in entrambi i casi, ci sono API esposte di cui le organizzazioni non hanno visibilità. Queste sono note come “Shadow API” – API ombra – e mi aspetto di vedere molte applicazioni violate tramite API di cui le organizzazioni hanno una conoscenza o addirittura una consapevolezza molto limitata”
L’autenticazione a più fattori (MFA) diventerà inefficace
Secondo Remi Cohen, cyber threat intelligence manager, Office of the CISO di F5:
“Il social engineering non sta scomparendo e gli attacchi MFA fatigue, noti anche come attacchi MFA bombing, sono destinati ad aumentare in frequenza ed efficacia. Questa tipologia di attacchi mira a infastidire le vittime inondandole di così tante richieste di autenticazione da indurle ad approvare la richiesta di notifica per sbaglio o per frustrazione. Questo tipo di attacco rappresenta un rischio immediato per le aziende, poiché i dipendenti sono il canale di minaccia più vulnerabile agli attacchi di social engineering. Inoltre, l’MFA è un controllo di sicurezza fondamentale per impedire l’accesso non autorizzato alle risorse critiche. Spesso le aziende non tengono conto delle password violate o utilizzano una soglia più bassa per il tipo di passphrase richiesta, perché esistono altri controlli compensativi come l’MFA. I kit di phishing MFA-enabled e l’MFA bombing annullano questo controllo compensativo e sottolineano l’importanza delle passphrase, della difesa in profondità e del passaggio a un’architettura zero trust in cui, per garantire la sicurezza di un’azienda o di un individuo, si prendono in considerazione anche altri fattori”.
Gran parte del panorama della sicurezza informatica è una corsa agli armamenti tra difensori e attaccanti. I metodi di autenticazione non fanno eccezione. Ken Arora, distinguished engineer, Office of the CTO di F5, analizza il futuro dell’MFA:
“Gli aggressori si stanno adattando alle soluzioni MFA utilizzando un mix di tecniche, tra cui il typo squatting, l’account takeover, lo spoofing dei dispositivi MFA e il social engineering. Di conseguenza, i difensori delle applicazioni e delle reti stanno cercando di capire quale sarà il prossimo passo.
L’autenticazione biometrica è vista con un certo scetticismo poiché le impronte digitali, ad esempio, non possono essere modificate in caso di necessità. Invece i comportamenti, tipicamente quelli specifici dell’utente, sono più difficili da falsificare, soprattutto in scala. Questi possono includere banali artefatti comportamentali, come il browser utilizzato e la geolocalizzazione, comportamenti specifici per le app (schemi di navigazione in un sito, tempi di permanenza) e comportamenti dell’utente (velocità del doppio clic, schemi di movimento del mouse, frequenza di digitazione)”.
Melissa McRee, senior manager for the anti-fraud threat analytics reporting (TAR) team, ha aggiunto:
“Fin dalla metà degli anni 2010, la pattern analysis e il rilevamento delle anomalie (comunemente conosciute come UBA, User Behavioral Analytics) sono stati applicati ai comportamenti degli utenti per individuare attività sospette. Potremmo essere pronti per un balzo in avanti in termini di efficacia, dato che le capacità di elaborazione dei dati sono in grado di consentire una valutazione più complessa in tempo reale.”
Nel breve termine, la soluzione passkey di FIDO Alliance promette forse il primo metodo veramente efficace per mitigare gli attacchi di social engineering, poiché la cripto-chiave utilizzata per autenticare gli utenti si basa sull’indirizzo del sito web che stanno visitando. Resta da vedere quanto rapidamente questa nuova tecnologia sarà adottata dall’utente medio.
Problemi con il troubleshooting
Prevedere gli incidenti di sicurezza con le implementazioni cloud potrebbe sembrare un’affermazione ovvia, ma dato che la frequenza delle violazioni delle applicazioni cloud continua a crescere – e dato che la portata di tali violazioni può essere enorme – giova ripeterlo.
Ethan Hansen, SOC engineer di F5 che si occupa della sicurezza delle infrastrutture cloud native per i clienti, condivide la sua esperienza:
“Sia accidentalmente che a scopo di troubleshooting, molti utenti cloud hanno difficoltà a configurare correttamente il controllo degli accessi, sia a livello di utente che di rete. Più volte nel 2022 il SOC di F5 ha visto utenti creare account di servizio “temporanei” e poi assegnare loro permessi molto ampi sia tramite le policy IAM integrate che tramite policy inline. Questi account “temporanei” vengono spesso creati per la risoluzione di problemi o per ripristinare l’operatività di un’applicazione che si basa su un utente o un ruolo specifico.
Spesso assistiamo a configurazioni in cui questa correzione “temporanea” diventa permanente e il rollback delle modifiche risulta essere molto più difficile. Inoltre, se si utilizzano le stesse credenziali a lungo termine invece di credenziali di breve durata, c’è anche la possibilità che tali credenziali vengano rubate o che trapelino in qualche modo.”
Le librerie di software open source diventeranno il bersaglio primario
Negli ultimi anni abbiamo assistito a un numero crescente di casi in cui le librerie software sono diventate un rischio concreto per le organizzazioni che si affidano a loro:
- Gli account degli sviluppatori sono stati compromessi, in genere a causa della mancanza di MFA, con conseguente inserimento di codice dannoso in librerie ampiamente utilizzate e nelle estensioni del browser web Google Chrome.
- Attacchi Trojan e typo-squatting, in cui gli autori delle minacce sviluppano strumenti che sembrano utili o hanno nomi molto simili a librerie ampiamente utilizzate
- Codici distruttivi e altri codici dannosi inseriti deliberatamente dal vero autore di una libreria come forma di hacktivismo o di protesta politica.
Ken Arora analizza cosa significa tutto questo per il futuro dello sviluppo delle app:
“Molte applicazioni moderne sfruttano il software-as-a-service (SaaS), come l’autenticazione centralizzata, i database-as-a-service o la prevenzione della fuga di dati (DLP). Se un aggressore riesce a compromettere la base di codice del software open source (OSS) o un’offerta SaaS che viene sfruttata da un’applicazione, l’aggressore ha un punto d’appoggio “all’interno” dell’applicazione, aggirando le difese perimetrali come i firewall per applicazioni web e i gateway API.
Questo punto d’appoggio può essere sfruttato per il movimento laterale in diverse forme (shell remota, monitoraggio, esfiltrazione di dati). Ne consegue che gli sviluppatori di software vorranno una maggiore visibilità sui componenti software di cui è composta un’applicazione e, soprattutto, una Software Bill of Materials (SBoM) che enumeri tutti i componenti software. Ciò consentirà all’utente del prodotto software erogato di determinare in modo più rapido ed efficiente se eventuali vulnerabilità scoperte interesseranno il prodotto.”
Aaron Brailsford, principal security engineer del security incident response team (SIRT) di F5, concorda sul fatto che gli SBoM sono assolutamente necessari, ma osserva che comporteranno un’enorme mole di lavoro per le organizzazioni:
“Credo che l’adozione diffusa degli SBoM porterà alla luce un’enorme quantità di debito tecnologico. Non credo che la scoperta di questo tech debt renderà i prodotti o i sistemi intrinsecamente meno sicuri, ma penso che farà luce sul modo un po’ disordinato in cui oggi l’industria sviluppa i prodotti. Le aziende dovranno fare grossi investimenti per aggiornare i sistemi più vecchi e correggere o mitigare un gran numero di vulnerabilità (migliaia di vulnerabilità), oppure pensare di ripartire da zero per una nuova generazione di prodotti, o entrambe le cose. Naturalmente, c’è sempre la possibilità che i clienti imparino ad accettare un numero enorme di vulnerabilità non risolte nei prodotti che hanno scelto, perché sono tutti “la stessa cosa”. Io faccio il tifo per un cambiamento radicale, non per l’apatia.”
Abbiamo chiesto a Ken quale fosse, a suo avviso, la soluzione ai rischi posti dalle librerie di terze parti:
“Per le vulnerabilità non divulgate/zero-day, la migliore possibilità di individuare l’aggressore è avere visibilità sul traffico interno tra componenti software e servizi “interni” all’applicazione, nonché sul modo in cui tali componenti interagiscono con la piattaforma sottostante (IaaS). Oggi queste interazioni sono catturate da CSPM (infra), CWPP (e-w) e ADR (layer dell’applicazione); questi mercati separati dovranno unirsi per fornire la visione olistica necessaria a rilevare le minacce intra-app con un’elevata efficacia e un basso tasso di falsi positivi.”
Il ransomware si espanderà sulla scena geopolitica
Non è una forzatura affermare che l’encrypting malware è ormai a livelli epidemici. Ma non si tratta solo di “criptare i dati per ottenere un impatto”, come il framework MITRE ATT&CK riferisce. L’anno scorso abbiamo scoperto che, comprese le varietà non crittografiche, il malware è stato la principale causa di violazione dei dati per le organizzazioni statunitensi nel 2021. L’obiettivo degli aggressori è soprattutto quello di esfiltrare (rubare) i dati. Una volta che li hanno tra le mani, hanno a disposizione diversi modi per monetizzare i loro sforzi.
Aditya Sood, senior director of threat research office of the CTO di F5, ha recentemente scoperto una crescente tendenza del ransomware a colpire direttamente i database:
“La criminalità informatica organizzata e gli avversari degli Stati nazionali continueranno a sviluppare le loro tattiche di ransomware e ci aspettiamo che si concentrino, in particolare, sulle infrastrutture critiche. Gli attacchi ransomware contro i database cloud aumenteranno drasticamente nel prossimo anno, poiché è qui che risiedono i dati mission-critical, sia per le aziende che per i governi. A differenza del malware tradizionale che cripta i file a livello di filesystem, il ransomware per database è in grado di criptare i dati all’interno del database stesso.”
David Arthur, F5 security solutions architect per la regione Asia-Pacifico, ritiene che le truffe che si traducono in infezioni ransomware di successo saranno il principale motore per esercitare pressioni politiche:
“Gli aggressori aumenteranno i tentativi di monetizzare i dati della violazione direttamente dalle persone colpite attraverso vari tipi di truffe e frodi a valle (ad esempio, la richiesta di nuove carte di credito). Queste truffe stanno diventando sempre più credibili e, sebbene contengano ancora errori evidenti per un osservatore esperto, avranno probabilmente un certo successo; per gli aggressori il gioco varrà sicuramente la candela. Dal punto di vista del criminale, se il furto delle informazioni personali dei clienti non può essere monetizzato con l’estorsione all’organizzazione violata (ad esempio chiedendo un riscatto o minacciando di rilasciare la proprietà intellettuale) allora i loro obiettivi si sposteranno sull’individuo singolo.”
Le conclusioni di F5 Networks
È raro che i ricercatori sulle minacce rivelino tendenze nel comportamento degli aggressori che modificano drasticamente l’attenzione e le priorità dei CISO e degli altri responsabili della sicurezza. Le nostre previsioni per il 2023 probabilmente non fanno eccezione. Molte delle nostre osservazioni sulle attività dannose ci insegnano che gli aggressori apportano modifiche significative alle loro operazioni solo quando sono costretti a farlo a causa del miglioramento dei sistemi di sicurezza che tutti noi utilizziamo, come l’MFA. Ciò suggerisce che è necessario che accada qualcosa di radicale. Da soli, né i miglioramenti incrementali della tecnologia né le pressioni geopolitiche sono in grado di fare una differenza significativa per molti degli attacchi che dobbiamo affrontare, in particolare quelli che hanno come obiettivo diretto l’utente finale. Quando c’è da guadagnare con truffe, frodi e altre forme di social engineering, l’elemento criminale troverà il modo di sfruttare le cose a proprio vantaggio.