Cybersecurity

IBM X-Force Threat Intelligence Index 2024: in Europa l’identità digitale è sotto attacco e per le aziende si allungano i tempi di recupero dalle violazioni subite

Secondo il report IBM X-Force Threat Intelligence Index 2024, l’identità digitale è al centro di una crisi globale. I cybercriminali stanno sfruttando sempre più l’identità digitale degli utenti per danneggiare le aziende su scala mondiale. IBM sottolinea l’importanza di un approccio olistico alla sicurezza nell’era dell’AI generativa.

Pubblicato il 21 Feb 2024

IBM X-Force Threat Intelligence Index

Il panorama della sicurezza informatica è in continua evoluzione, con attacchi sempre più mirati che interessano settori in precedenza meno attenzionati, come il manifatturiero. Inoltre, accanto a modalità di attacco già conosciute, come il phishing, si stanno affermando nuove strategie che sfruttano un contesto sempre più digitalizzato. È questo il caso dello sfruttamento delle identità digitali degli utenti da parte dei criminali informatici con l’obiettivo di danneggiare le imprese di tutto il mondo.

Sono alcune delle evidenze che emergono dal rapporto X-Force Threat Intelligence Index 2024 di IBM, che mette in luce una crisi emergente a livello globale relativa all’identità digitale.

Il documento evidenzia una significativa crescita dello sfruttamento delle identità digitali degli utenti da parte dei cybercriminali, con l’intento di infliggere danni alle aziende su scala mondiale. Secondo IBM X-Force, la divisione di sicurezza di IBM Consulting, nel corso del 2023 i criminali informatici hanno scoperto la possibilità di infiltrarsi nelle reti aziendali utilizzando account validi invece che comprometterli.

X-Force Threat Intelligence Index 2024: le principali evidenze

Il report X-Force Threat Intelligence Index si basa su intuizioni e osservazioni ottenute dal monitoraggio di oltre 150 miliardi di eventi legati alla cybersecurity che si verificano quotidianamente in più di 130 nazioni. I dati sono stati raccolti ed esaminati da diverse fonti interne ad IBM, tra cui IBM X-Force Threat Intelligence, Incident Response, X-Force Red e IBM Managed Security Services, oltre ai dati forniti da Red Hat Insights e Intezer, che hanno contribuito al report per il 2024.

Tra le principali considerazioni del rapporto su quanto accaduto nel 2023 nel contesto della sicurezza informatica in Europa e nel mondo, si rileva che circa un terzo degli attacchi osservati a livello globale ha preso di mira l’Europa (32%), un record mai raggiunto prima d’ora in una singola area analizzata.

Nel dettaglio, i paesi più colpiti sono stati il Regno Unito (27%), la Germania (15%), la Danimarca (14%), il Portogallo (11%), l’Italia (8%) e la Francia (8%). In tutta Europa, X-Force ha registrato un incremento del 66% degli attacchi causati dall’uso di account validi rispetto all’anno precedente.

Per quanto riguarda le principali vulnerabilità, sono le identità digitali e le e-mail, entrambe sfruttate nel 30% dei casi di violazione di account validi e phishing. I malware si sono rivelati l’azione malevola più diffusa, con il 44% degli incidenti, e l’Europa è l’area ad aver subito il maggior numero di attacchi ransomware a livello globale (26%).

Inoltre, dal rapporto emerge che i tre fattori che hanno impattato maggiormente le organizzazioni europee sono stati la raccolta di credenziali (28%), l’estorsione (24%) e la fuga di dati (16%).

Per quanto riguarda i settori, tra quelli più colpiti vi è quello manifatturiero, che è passato dal secondo posto del 2022 al primo nel 2023, con il 28% degli incidenti. Al secondo posto si colloca il settore dei servizi professionali rivolti a imprese e consumatori con il 25% degli attacchi, seguito dai servizi finanziari e assicurativi e dal settore energetico che hanno registrato rispettivamente il 16% e il 14% di attacchi.

La dinamica degli attacchi in Europa

Nel complesso, l’Europa ha subito la percentuale più elevata di incidenti nel settore dell’energia (43%) e in quello finanziario e assicurativo (37%). Alcune importanti evidenze rilevate nell’Unione Europea:

  • quasi il 70% degli attacchi contro le organizzazioni europee a cui X-Force ha risposto si trova negli Stati membri dell’UE
  • quasi il 74% degli attacchi osservati ha riguardato infrastrutture critiche
  • il malware è stato la principale tipologia di attacchi osservata, pari al 40%. A ciò è seguito l’uso di strumenti legittimi (26%) e l’accesso ai server (15%). Il ransomware è stato il principale tipo di malware osservato in quasi il 26% degli attacchi malware

“Sebbene l’attenzione riservata agli attacchi ingegnerizzati dall’AI sia maggiore rispetto ai problemi di sicurezza più noti e basilari, sono questi ultimi ad essere ancora oggi i più diffusi”, commenta Charles Henderson, Global Managing Partner, IBM Consulting e Head of IBM X-Force.

“Le identità compromesse vengono utilizzate ripetutamente contro le aziende, un problema che è destinato ad acuirsi poiché gli aggressori utilizzeranno l’AI per ottimizzare le loro tattiche”, aggiunge.

Una crisi legata alle identità a livello globale destinata a peggiorare

Lo sfruttamento di account validi è diventato la via più facile per i criminali informatici, con miliardi di credenziali compromesse accessibili sul Dark Web. Nel 2023 X-Force ha visto gli aggressori investire sempre di più in tattiche volte a ottenere le identità degli utenti, con un aumento del 266% dei furti di dati, progettati per rubare informazioni riconducibili all’identità personale, come e-mail, credenziali di social media e app di messaggistica, dati bancari o di portafogli di criptovalute e altro ancora.

Questo “ingresso facile” per gli aggressori è più complesso da rilevare e comporta una risposta costosa da parte delle aziende. Secondo X-Force, gli incidenti più gravi causati da criminali informatici che utilizzano account validi richiedono ai responsabili della sicurezza misure di risposta più complesse del 200% rispetto all’incidente medio, oltre alla necessità di distinguere tra attività di utenti legittimi e malintenzionati sulla rete.

Il Cost of a Data Breach Report 2023 di IBM ha infatti rilevato che le violazioni causate da credenziali rubate o compromesse hanno richiesto circa 11 mesi per essere rilevate e recuperate: il ciclo di vita della risposta più lungo rispetto a qualsiasi altro vettore di infezione.

Questo ampio raggio d’azione nell’attività online degli utenti è stato evidente nello smantellamento, da parte dell’FBI e delle forze dell’ordine europee nell’aprile 2023, di un forum globale di criminalità informatica che ha raccolto i dati di accesso di oltre 80 milioni di account utente.

Le minacce basate sull’identità continueranno a crescere man mano che i cybercriminali sfrutteranno l’intelligenza artificiale generativa per ottimizzare i loro attacchi. Già nel 2023, X-Force ha osservato oltre 800.000 post su AI e GPT nei forum del Dark Web, ribadendo che queste innovazioni hanno attirato l’attenzione e l’interesse dei criminali informatici.

Gli attacchi alle infrastrutture critiche rivelano i “passi falsi” del settore

In quasi l’85% degli attacchi ai settori critici, la compromissione si sarebbe potuta limitare grazie all’applicazione di patch, all’autenticazione a più fattori oppure al principio del privilegio minimo. Ciò significa che quella che storicamente è stata descritta come “sicurezza di base” potrebbe essere più difficile da realizzare di quanto si pensi.

In tutto il mondo, quasi il 70% degli attacchi a cui X-Force ha risposto era rivolto ad organizzazioni di infrastrutture critiche, evidenziando che i criminali informatici stanno scommettendo sulla necessità di uptime di questi obiettivi di alto valore per portare avanti i loro progetti.

Inoltre, quasi l’85% degli attacchi a cui X-Force ha risposto in questo settore è stato causato dallo sfruttamento di applicazioni pubbliche, da e-mail di phishing e dall’utilizzo di account validi. Quest’ultimo rappresenta un rischio maggiore per il settore, con DHS CISA che afferma che la maggior parte degli attacchi riusciti contro le agenzie governative, le organizzazioni di infrastrutture critiche e gli enti governativi a livello statale nel 2022 ha implicato l’uso di account validi.

Ciò evidenzia la necessità per queste organizzazioni di eseguire frequentemente stress test dei loro ambienti per rilevare potenziali esposizioni e sviluppare piani di incident response.

Gruppi di ransomware passano ad un modello di business semplificato

Gli attacchi ransomware alle aziende hanno riscontrato un calo quasi del 12% lo scorso anno, poiché le organizzazioni più grandi hanno scelto di non pagare e decriptare, a favore della ricostruzione dell’infrastruttura.

Con questa crescente resistenza, che probabilmente ha un impatto sulle aspettative degli aggressori di ottenere un guadagno dall’estorsione basata sulla codifica, si è osservato che gruppi, in precedenza specializzati nel ransomware, si sono focalizzati sul furto di informazioni.

AI generativa: la prossima grande frontiera da proteggere

L’analisi di X-Force prevede che quando una singola tecnologia di AI generativa si avvicinerà al 50% della quota di mercato o quando il mercato si consoliderà a tre o meno tecnologie, potrebbe scattare il momento della maturità dell’AI come superficie di attacco, portando ulteriori investimenti in nuovi strumenti da parte dei criminali informatici.

Perché i criminali informatici possano raggiungere un ROI derivante dai loro attacchi, le tecnologie che prendono di mira devono essere diffuse nella maggior parte delle organizzazioni di tutto il mondo. Proprio come i fattori tecnologici che in passato hanno favorito le attività dei criminali informatici, come osservato con i ransomware e la diffusione del mercato di Windows Server, le truffe BEC e la diffusione di Microsoft 365 o il cryptojacking e il consolidamento del mercato Infrastructure-as-a-Service, questo modello si estenderà molto probabilmente all’AI. 

Sebbene l’AI generativa sia attualmente in una fase antecedente al mercato di massa, è fondamentale che le aziende proteggano i loro modelli di intelligenza artificiale prima che i criminali informatici vadano a rimodulare le loro attività.

Le aziende devono acquisire consapevolezza che l’infrastruttura sottostante esistente rappresenta una via di accesso ai loro modelli di AI, che non richiede tattiche innovative da parte dei cybercriminali per essere presa come bersaglio, evidenziando la necessità di un approccio olistico alla sicurezza nell’era dell’AI generativa, come sottolineato nell’IBM Framework for Securing Generative AI.

Pur rimanendo uno dei principali vettori di infezione, gli attacchi di phishing hanno registrato una diminuzione del 44% del volume rispetto al 2022.

L’analisi di X-Force indica che l’AI può ottimizzare gli attacchi, riducendo i tempi di quasi due giorni; pertanto, il vettore di infezione rimarrà una scelta preferita dai criminali informatici.

Altre considerazioni chiave che emergono dal rapporto riguardano:

  • una vulnerabilità diffusa. Il RedHat Insights ha rilevato che il 92% dei clienti ha almeno una CVE (Common Vulnerabilities and Exposures) con exploit noti, non affrontati, nel loro ambiente al momento della scansione, e l’80% delle prime dieci vulnerabilità rilevate tra i sistemi nel 2023 ha ricevuto un punteggio di gravità di base CVSS ‘Alto’ o ‘Critico’
  • il “kerberoasting” ripaga. X-Force ha osservato un aumento del 100% negli attacchi di tipo “kerberoasting”, in cui i criminali informatici tentano di impersonare gli utenti per aumentare i privilegi abusando dei ticket di Microsoft Active Directory
  • Configurazioni errate. Le attività di penetration testing di X-Force Red indicano che le configurazioni errate della sicurezza rappresentano il 30% delle esposizioni totali identificate, osservando oltre 140 modi in cui gli autori di attacchi possono sfruttarle

Attacchi informatici, le raccomandazioni di IBM X-Force alle aziende per proteggersi dalle vulnerabilità

Sulla base di questa ricerca, IBM X-Force ha elaborato alcune raccomandazioni per le aziende:

  • Ridurre il raggio d’azione. Le organizzazioni dovrebbero prendere in considerazione l’integrazione di soluzioni per ridurre i danni che un incidente materia di sicurezza dei dati potrebbe potenzialmente causare, riducendo il raggio d’azione dello stesso, ovvero l’impatto potenziale dell’evento in seguito alla compromissione di particolari utenti, dispositivi o dati. Ciò potrebbe includere l’integrazione di un framework di privilegi minimi, la segmentazione della rete e un “identity fabric” che estenda le moderne funzionalità di sicurezza, rilevamento e risposta nel contesto in cui spesso sono presenti applicazioni e sistemi obsoleti
  • Eseguire stress-test degli ambienti e preparare un piano. Ingaggiare dei servizi di hacking per eseguire stress test dell’ambiente e identificare le falle esistenti che i criminali informatici potrebbero sfruttare per accedere alla rete ed eseguire attacchi. Inoltre, per ridurre i tempi di risposta, rimedio e recupero da un attacco, è fondamentale disporre di piani di incident response personalizzati per l’ambiente specifico. Questi piani dovrebbero essere regolarmente aggiornati e includere una risposta inter-organizzativa, incorporare gli stakeholder al di fuori dell’IT e testare le linee di comunicazione tra i team tecnici e la leadership aziendale
  • Adottare l’AI in modo sicuro. Le organizzazioni dovrebbero concentrarsi sui seguenti principi per mettere in sicurezza l’adozione dell’AI: preservare i dati di addestramento sottostanti all’AI, proteggere i modelli, il loro utilizzo e la loro logica. È fondamentale salvaguardare anche l’infrastruttura più ampia che interagisce con i modelli di intelligenza artificiale. IBM ha recentemente introdotto un Framework for Securing Generative AI completo per aiutare le aziende a stabilire le priorità in termini di difesa in funzione dei rischi e del loro potenziale impatto.

Valuta la qualità di questo articolo

C
Michelle Crisantemi

Giornalista bilingue laureata presso la Kingston University di Londra. Da sempre appassionata di politica internazionale, ho vissuto, lavorato e studiato in Spagna, Regno Unito e Belgio, dove ho avuto diverse esperienze nella gestione di redazioni multimediali e nella correzione di contenuti per il Web. Nel 2018 ho lavorato come addetta stampa presso il Parlamento europeo, occupandomi di diritti umani e affari esteri. Rientrata in Italia nel 2019, ora scrivo prevalentemente di tecnologia e innovazione.

email Seguimi su

Articoli correlati

Articolo 1 di 5