In Europa l’identità digitale è sotto attacco. La causa è da ricercarsi nel fatto che i criminali informatici sfruttano sempre di più le identità digitali degli utenti per danneggiare le imprese. A tracciare il quadro un’analisi di Ibm X-Force, la divisione dei servizi di sicurezza di Ibm Consulting, secondo cui gli hacker hanno individuato l’opportunità di accedere alle reti aziendali, utilizzando account validi, anziché effettuare una compromissione.
L’X-Force Threat Intelligence Index si basa su insight e osservazioni derivanti monitoraggio di oltre 150 miliardi di eventi legati alla cybersecurity che si verificano ogni giorno, in più di 130 paesi.
I dati del report
Nel 2023 quasi un attacco su tre osservato a livello mondiale ha preso di mira l’Europa (32%), un numero mai raggiunto prima d’ora in una singola area analizzata. I paesi più colpiti sono stati il Regno Unito (27%), la Germania (15%), la Danimarca (14%), il Portogallo (11%), l’Italia (8%) e la Francia (8%).
In tutta Europa, X-Force ha registrato un aumento del 66% degli attacchi causati dall’uso di account validi rispetto all’anno precedente mentre i principali punti deboli registrati sono le identità digitali e le e-mail, entrambi sfruttati nel 30% delle violazioni di account validi e phishing.
I malware si sono rivelati l’azione malevola più diffusa, con il 44% degli incidenti, e l’Europa è l’area ad aver subito il maggior numero di attacchi ransomware a livello globale (26%). La raccolta di credenziali (28%), l’estorsione (24%) e la fuga di dati (16%) sono stati invece i fattori che hanno impattato maggiormente le aziende.
I settori più colpiti
Tra i settori più colpiti, vi è quello manifatturiero, che è passato dal secondo posto del 2022 al primo nel 2023, con il 28% degli incidenti. Al secondo posto si colloca il settore dei servizi professionali rivolti a imprese e consumatori con il 25% degli attacchi, seguito dai servizi finanziari e assicurativi e dal settore energetico che hanno registrato rispettivamente il 16% e il 14% di attacchi.
Nel complesso, l’Europa ha subito la percentuale più elevata di incidenti nel settore dell’energia (43%) e in quello finanziario e assicurativo (37%).
I bersagli e le tecnologie di attacco
Quasi il 70% degli attacchi contro le organizzazioni europee si trova negli Stati membri dell’Ue e quasi il 74% degli attacchi osservati ha riguardato infrastrutture critiche.
Il malware è stato la principale tipologia di attacchi osservata, pari al 40%. A ciò è seguito l’uso di strumenti legittimi (26%) e l’accesso ai server (15%). Il ransomware è stato il principale tipo di malware osservato in quasi il 26% degli attacchi malware.
“Sebbene l’attenzione riservata agli attacchi ingegnerizzati dall’AI sia maggiore rispetto ai problemi di sicurezza più noti e basilari, sono questi ultimi ad essere ancora oggi i più diffusi – spiega Charles Henderson, Global Managing Partner, Ibm Consulting e Head of Ibm X-Force – Le identità compromesse vengono utilizzate ripetutamente contro le aziende, un problema che è destinato ad acuirsi poiché gli aggressori utilizzeranno l’AI per ottimizzare le loro tattiche.”
Una crisi destinata a peggiorare
Lo sfruttamento di account validi è diventato la via più facile per i criminali informatici, con miliardi di credenziali compromesse accessibili sul Dark Web. Nel 2023 X-Force ha visto gli aggressori investire sempre di più in tattiche volte a ottenere le identità degli utenti, con un aumento del 266% dei furti di dati, progettati per rubare informazioni riconducibili all’identità personale, come e-mail, credenziali di social media e app di messaggistica, dati bancari o di portafogli di criptovalute e altro ancora.
Questo “ingresso facile” per gli aggressori è più complesso da rilevare e comporta una risposta costosa da parte delle aziende. Secondo X-Force, gli incidenti più gravi causati da criminali informatici che utilizzano account validi richiedono ai responsabili della sicurezza misure di risposta più complesse del 200% rispetto all’incidente medio, oltre alla necessità di distinguere tra attività di utenti legittimi e malintenzionati sulla rete. Il Cost of a Data Breach Report 2023 di Ibm ha infatti rilevato che le violazioni causate da credenziali rubate o compromesse hanno richiesto circa 11 mesi per essere rilevate e recuperate: il ciclo di vita della risposta più lungo rispetto a qualsiasi altro vettore di infezione.
Questo ampio raggio d’azione nell’attività online degli utenti è stato evidente nello smantellamento, da parte dell’Fbi e delle forze dell’ordine europee nell’aprile 2023, di un forum globale di criminalità informatica che ha raccolto i dati di accesso di oltre 80 milioni di account utente. Le minacce basate sull’identità continueranno a crescere man mano che i cybercriminali sfrutteranno l’intelligenza artificiale generativa per ottimizzare i loro attacchi. Già nel 2023, X-Force ha osservato oltre 800.000 post su AI e Gpt nei forum del Dark Web, ribadendo che queste innovazioni hanno attirato l’attenzione e l’interesse dei criminali informatici.
AI generativa prossima frontiera da proteggere
L’analisi di X-Force prevede che quando una singola tecnologia di AI generativa si avvicinerà al 50% della quota di mercato o quando il mercato si consoliderà a tre o meno tecnologie, potrebbe scattare il momento della maturità dell’AI come superficie di attacco, portando ulteriori investimenti in nuovi strumenti da parte dei criminali informatici.
Perché i criminali informatici possano raggiungere un Roi derivante dai loro attacchi, le tecnologie che prendono di mira devono essere diffuse nella maggior parte delle organizzazioni di tutto il mondo. Proprio come i fattori tecnologici che in passato hanno favorito le attività dei criminali informatici, come osservato con i ransomware e la diffusione del mercato di Windows Server, le truffe Bec e la diffusione di Microsoft 365 o il cryptojacking e il consolidamento del mercato Infrastructure-as-a-Service, questo modello si estenderà molto probabilmente all’AI.
Sebbene l’AI generativa sia attualmente in una fase antecedente al mercato di massa, è fondamentale che le aziende proteggano i loro modelli di intelligenza artificiale prima che i criminali informatici vadano a rimodulare le loro attività. Le aziende devono acquisire consapevolezza che l’infrastruttura sottostante esistente rappresenta una via di accesso ai loro modelli di AI, che non richiede tattiche innovative da parte dei cybercriminali per essere presa come bersaglio, evidenziando la necessità di un approccio olistico alla sicurezza nell’era dell’AI generativa, come sottolineato nell’Ibm Framework for Securing Generative AI.
Le raccomandazioni per le aziende
Alla luce di queste evidenze, Ibm ha stilato una lista di raccomandazioni per le aziende
- Ridurre il raggio d’azione – le organizzazioni dovrebbero prendere in considerazione l’integrazione di soluzioni per ridurre i danni che un incidente materia di sicurezza dei dati potrebbe potenzialmente causare, riducendo il raggio d’azione dello stesso, ovvero l’impatto potenziale dell’evento in seguito alla compromissione di particolari utenti, dispositivi o dati. Ciò potrebbe includere l’integrazione di un framework di privilegi minimi, la segmentazione della rete e un “identity fabric” che estenda le moderne funzionalità di sicurezza, rilevamento e risposta nel contesto in cui spesso sono presenti applicazioni e sistemi obsoleti.
- Eseguire stress-test degli ambienti e preparare un piano – ingaggiare dei servizi di hacking per eseguire stress test dell’ambiente e identificare le falle esistenti che i criminali informatici potrebbero sfruttare per accedere alla rete ed eseguire attacchi. Inoltre, per ridurre i tempi di risposta, rimedio e recupero da un attacco, è fondamentale disporre di piani di incident response personalizzati per l’ambiente specifico. Questi piani dovrebbero essere regolarmente aggiornati e includere una risposta inter-organizzativa, incorporare gli stakeholder al di fuori dell’IT e testare le linee di comunicazione tra i team tecnici e la leadership aziendale.
- Adottare l’AI in modo sicuro – le organizzazioni dovrebbero concentrarsi sui seguenti principi per mettere in sicurezza l’adozione dell’AI: preservare i dati di addestramento sottostanti all’AI, proteggere i modelli, il loro utilizzo e la loro logica. È fondamentale salvaguardare anche l’infrastruttura più ampia che interagisce con i modelli di intelligenza artificiale.
