Cosa tiene un CISO sveglio la notte?

Apr 12, 2024 Stefano Silvestri Approfondimenti, Hacking, Malware, Vulnerabilità 0

Al Google Next ’24 abbiamo assistito a un interessante panel dal nome “Cosa tiene sveglio un CISO la notte?”, che ha visto protagonisti Kevin Mandia, CEO di Mandiant, Sandra Joyce, vicepresidente dell’intelligence di Mandiant e Jurgen Kutscher, vicepresidente e consulente di Mandiant.

Mandiant è un’azienda specializzata in cybersecurity, nota per le sue competenze nell’identificazione e nella risposta agli incidenti informatici. Fondata nel 2004 da Kevin Mandia, è stata acquisita nel 2022 da Google Cloud, che ha così espanso significativamente la propria offerta di sicurezza, fornendo ai clienti accesso a servizi avanzati di threat intelligence e risposta agli incidenti.

E dunque, cosa tiene sveglio un CISO la notte? Il primo a rispondere è stato Jurgen Kutscher, che ha posto l’attenzione sulle minacce zero-day, termine che si riferisce a quelle vulnerabilità di sicurezza che sono sconosciute al produttore fino al momento in cui vengono scoperte e sfruttate dagli attaccanti.

Il termine “zero-day” deriva dunque dal fatto che i produttori e gli utenti del software hanno zero giorni di preavviso per correggere o mitigare le vulnerabilità prima che esse vengano sfruttate. Dato che fino alla loro scoperta e pubblicazione non esistono patch o soluzioni per mitigare queste vulnerabilità, gli attaccanti possono sfruttarle per condurre attacchi informatici, come l’installazione di malware, il furto di dati o il controllo remoto di sistemi infettati, spesso senza che le vittime ne siano consapevoli.

Le vulnerabilità zero-day sono di grande valore per gli hacker e possono essere vendute sul mercato nero per cifre significative, data la loro efficacia nell’eludere le misure di sicurezza esistenti.

Kevin Mandia è CEO di Mandiant.

Sandra Joyce, invece, ha posto l’accento sull’evoluzione del ransomware: da richieste modeste di criptovalute per il recupero di dati personali, si è passati in breve a estorsioni sofisticate che minacciano la sicurezza personale e aziendale.

I tre hanno anche discusso l’escalation delle tecniche di attacco, con le campagne cybercriminali divenute sempre più precise e aggressive. Le strategie di attacco si sono infatti evolute, passando da semplici furti a operazioni complesse che mirano a infrastrutture critiche, come ospedali e fornitori di servizi essenziali.

Non poteva poi mancare un passaggio sull’utilizzo dell’intelligenza artificiale, indubbiamente il tema caldo di quest’anno. Secondo Sandra Joyce, al momento non sono stati ancora rilevati attacchi incentrati sull’utilizzo dell’AI, che comunque viene tenuta sott’occhio per la sua capacità di generare immagini e testi falsi.

La discussione ha poi sottolineato l’importanza di utilizzare l’AI non solo per migliorare le tattiche offensive ma anche per rafforzare le difese, analizzando velocemente grandi volumi di dati per identificare e contrastare minacce potenziali. E, al momento, stando ai tre l’IA sta avvantaggiando i difensori più che gli attaccanti.

La Joyce ha anche ridimensionato le minacce proveniente dal dark web, affermando che senz’altro si sta facendo molta sperimentazione con le IA ma avanzando dubbi sull’efficacia delle versioni “jailbreak” di ChatGPT.

Un tema invece caldo è quello dei gruppi di hacker, come uno che stanno seguendo con grande attenzione, basato in Iran, che di recente si è mosso per alterare il corretto esercizio della democrazia in nazioni non precisate.

Un altro fronte sul quale si sono soffermati sia Kevin Mandia che Jurgen Kutscher, è quello della sicurezza della supply chain. Gli attacchi mirati ai fornitori rappresentano infatti una minaccia crescente, resa ancora più pericolosa dal numero di fornitori tecnologici che hanno le grandi aziende.

La supply chain, spesso composta da realtà meno “corazzate” rispetto alle grandi aziende a cui rivendono i loro servizi, finisce quindi con l’essere involontariamente un cavallo di Troia attraverso cui gli attaccanti riescono a fare breccia nella sicurezza.

In chiusura, è stato affrontato il tema dell’attribuzione, ossia di stabilire l’identità degli attori dietro agli attacchi cyber. Sta diventando più semplice o più complesso?

Secondo Sandra Joyce, è una questione complessa. Se da un lato le tecniche impiegate dagli aggressori stanno diventando più sofisticate, rendendo arduo tracciare le loro azioni, in alcuni casi gli attori non sempre vogliono restare nell’ombra.

Ad esempio, gli hacker di stato finanziati dalla Russia, potrebbero non voler celare le proprie operazioni apposta per incutere timore negli avversari e dimostrare che nessuno è esente dalla loro minaccia. Diversamente, gruppi impegnati in operazioni ransomware vogliono restare nell’ombra.

Tutto questo conferma quanto quello tra gli autori di minacce e gli esperti di sicurezza sia sempre più un gioco del gatto col topo, che riflette l’evoluzione continua e la complessità del campo della cybersecurity.

Condividi l'articolo