La conferenza RSA è il più grande e rispettato raduno di CISO, tecnologi e specialisti della sicurezza informatica del mondo. Mentre un nuovo decennio si avvicina – e mentre la prossima conferenza si riunisce a febbraio a San Francisco – una nuova serie di sfide è qui.
Sfogliando le circa 500 proposte di esperti di cybersecurity desiderosi di salire sul palco della conferenza (sono nel comitato che sceglie le presentazioni) offre uno sguardo su problemi emergenti come deep fakes, stalkerware e attacchi di sorveglianza, mentre temi di lunga data, tra cui DevOps e ransomware, stanno guadagnando nuova importanza.
Se sei un dirigente d’azienda, fai attenzione a queste tendenze (o preoccupazioni). Potrebbero influenzare la tua organizzazione. Ecco alcune delle più grandi sfide che stiamo vedendo in base alle presentazioni.
1. Fakes e deep fakes sono le nuove parole d’ordine.
I deep fakes – video falsi e registrazioni audio che assomigliano alla realtà – è un argomento di interesse per molti esperti. Chiunque può scaricare software per creare deep fakes, offrendo molte possibilità di attività malevole. Un politico potrebbe essere falsificato mentre fa un commento che fa perdere voti prima di un’elezione. Una registrazione falsificata di un alto dirigente potrebbe ordinare al dipartimento di contabilità di effettuare una transazione finanziaria sul conto bancario di un criminale. Nuove forme di “stalkerware”, un tipo di spyware, traccia i dati degli smartphone delle vittime per costruire un quadro delle loro attività; questo può essere usato per creare video, registrazioni vocali o comunicazioni scritte false. L’industria della sicurezza sta ancora elaborando la sua risposta a questa nuova minaccia.
2. Gli smartphone vengono usati negli attacchi di sorveglianza.
Con l’uso crescente di app bancarie e pagamenti touchless, gli smartphone stanno diventando hub per le transazioni finanziarie. Questo ha spinto un aumento degli attacchi di sorveglianza mobile, che installano software di tracciamento sui telefoni per monitorare il comportamento delle persone dal loro uso dello smartphone. Questo permette la frode delle email aziendali, conosciuta come compromissione delle email aziendali. Più un aggressore conosce le attività di una vittima, più facile è inviarle un’email ingannevole che le porta a scaricare un file contenente codice dannoso. Gli utenti hanno bisogno di una maggiore consapevolezza dei pericoli della sorveglianza mobile e dei passi per contrastarla.
3. Il ransomware sta diventando più sofisticato man mano che le aziende pagano.
Abbiamo visto molti interventi sull’evoluzione del ransomware e sul gioco del gatto e del topo tra gli attaccanti che stanno cercando modi intelligenti per aggirare le capacità di rilevamento e i difensori che cercano nuovi modi per bloccarli. Invece di criptare a caso tutti i dati che possono, i criminali stanno prendendo di mira i dati aziendali di alto valore da criptare e tenere come riscatto. A mio parere, il ransomware è a metà del suo ciclo di vita. Ne parleremo per molti anni a venire, ma alla fine lo sconfiggeremo mentre affiliamo le nostre difese.
4. Gli attacchi alla supply chain sono in aumento.
Sono quelli in cui i cyberattaccanti iniettano codice in un sito web – spesso ecommerce o finanziario – permettendo loro di rubare dati come i dettagli personali dei clienti e i dati delle carte di credito. Gli avversari hanno raddoppiato su questo tipo di attacco e hanno segnato alcuni successi recenti. Nel 2019, una nota azienda britannica è stata multata con una cifra record di 241 milioni di dollari per un attacco alla catena di approvvigionamento. Si ritiene che sia stato montato dal gruppo di minacce Magecart. Altre grandi aziende hanno subito attacchi simili. Altri attacchi sono probabili. I difensori devono migliorare le protezioni contro il codice canaglia ed essere sempre attenti in modo da poterlo identificare ed eliminare.
5. DevOps accelera lo sviluppo del software ma aumenta i rischi per la sicurezza.
DevOps è un metodo di trasformazione del codice che collega lo sviluppo e le operazioni per accelerare l’innovazione del software. DevOps contrasta con le forme tradizionali di sviluppo del software, che sono monolitiche, lente, testate all’infinito e facili da verificare. Invece, DevOps è rapido e richiede molti piccoli cambiamenti iterativi. Ma questo aumenta la complessità e apre una nuova serie di problemi di sicurezza. Con DevOps, le vulnerabilità di sicurezza esistenti possono essere amplificate e manifestarsi in nuovi modi. La velocità di creazione del software può significare che nuove vulnerabilità vengono create senza essere viste dagli sviluppatori. La soluzione è quella di costruire il monitoraggio della sicurezza nel processo DevOps fin dall’inizio. Questo richiede cooperazione e fiducia tra il CISO e il team DevOps.
6. Gli ambienti di emulazione ed esca devono essere credibili.
Le grandi aziende stanno cercando di creare “ambienti di emulazione” per rintracciare le minacce sconosciute. Questi imitano server e siti web credibili, ma in realtà sono lì per attirare i cattivi attori al fine di osservare il loro comportamento e raccogliere dati sui loro metodi. Le esche operano in modo simile. La sfida è quella di creare ambienti di emulazione che siano abbastanza buoni da ingannare l’avversario a pensare che si tratti di un server o di un sito web del mondo reale.
7. La risposta agli incidenti nel cloud richiede nuovi strumenti e competenze per i team di sicurezza interni.
Le organizzazioni sono abituate a gestire gli incidenti di sicurezza informatica sulle proprie reti. Ma quando i loro dati sono memorizzati nel cloud, i team di sicurezza possono lottare. Non hanno pieno accesso ai dati di sicurezza, poiché questi sono controllati dal fornitore del cloud. Quindi possono avere difficoltà a distinguere tra gli eventi informatici quotidiani e gli incidenti di sicurezza. I team di risposta agli incidenti già esistenti hanno bisogno di nuove competenze e strumenti per effettuare analisi forensi sui dati del cloud. I leader aziendali dovrebbero chiedere ai loro team se sono preparati e capaci di gestire e rispondere agli attacchi alla sicurezza nel cloud.
8. Intelligenza artificiale e apprendimento automatico.
Abbiamo ricevuto innumerevoli documenti su AI e ML. Queste tecnologie sono in una fase iniziale nella cybersicurezza. Gli attaccanti stanno studiando come le reti stanno usando la ML per le difese di sicurezza in modo da poter capire come violarle. Stanno osservando il modo in cui gli esperti di AI cercano di ingannare i sistemi di riconoscimento delle immagini per identificare un pollo o una banana come un umano. Questo richiede la comprensione di come funziona il motore ML del sistema e poi trovare il modo di ingannarlo efficacemente e rompere la modellazione matematica. Gli aggressori stanno usando tecniche simili per ingannare i modelli ML utilizzati nella sicurezza informatica. L’AI e l’ML vengono anche utilizzati per potenziare i falsi profondi. Stanno raccogliendo ed elaborando enormi quantità di dati per capire le loro vittime e se un attacco deep fake o una frode avrà successo.
9. Gli attacchi hardware e firmware sono tornati.
Sono in aumento le preoccupazioni per le vulnerabilità hardware come Spectre e Meltdown. Queste fanno parte di una famiglia di vulnerabilità, rivelate nel 2018, che colpiscono quasi tutti i chip per computer prodotti negli ultimi 20 anni. Nessun attacco serio ha ancora avuto luogo. Ma gli esperti di sicurezza stanno prevedendo cosa potrebbe accadere se un hacker fosse in grado di sfruttare tali debolezze nell’hardware e nel firmware.
10. I power user hanno bisogno di protezione.
Creare connessioni sicure per gli alti dirigenti e altro personale di alto livello che hanno accesso ai dati aziendali più sensibili sui propri dispositivi è vitale. Quali misure devono essere prese per tenerli al sicuro?
11. L’industria della sicurezza sta finalmente prendendo provvedimenti contro lo spoofing DNS.
Gli indirizzi IP sono le stringhe di numeri che identificano i computer su una rete internet. Il Domain Name System assegna un nome a ogni indirizzo IP in modo che possa essere trovato sul web. Il DNS è conosciuto come l’elenco telefonico di internet. Ma i cattivi attori possono falsificare questi nomi, indirizzando gli utenti verso siti web compromessi dove rischiano di essere derubati dei dati. L’industria ha finalmente iniziato a raccogliere più informazioni DNS per identificare questi problemi e prevenire lo spoofing DNS.