Prepararsi alla prossima generazione di cyber-attacchi nell’IoT

Negli ultimi 20 anni, la maggior parte dei cyber-attacchi sono stati attacchi remoti dal cloud effettuati da individui con obiettivi semplici, per vedere se possono farlo, o per accedere a qualche informazione protetta. Ma negli ultimi quattro o cinque anni, abbiamo visto l'ascesa di gruppi molto più organizzati focalizzati sull'estorsione tramite attacchi ransomware. Questa "mafia informatica" è fatta di grandi imprese criminali con centinaia di dipendenti e operazioni di estorsione coordinate. In passato, la maggior parte degli attacchi ransomware erano concentrati sull'estorsione di individui. Ma oggi, il valore degli attacchi è aumentato a milioni di dollari per attacco, e gli obiettivi si sono spostati su aziende sempre più grandi. Invece di estorcere qualche centinaio di dollari ai singoli individui, stanno cercando di ottenere milioni da obiettivi aziendali. In questo articolo vedremo quali sono le falle sensibili a questo genere di attacchi.

I cyber-attacchi

I prodotti IoT si stanno facendo strada in ogni aspetto della nostra vita, sia che i consumatori e le aziende li abbraccino immediatamente o che il ritmo della vita li porti naturalmente nel tempo. In entrambi i casi, offrono a coloro che hanno intenti malevoli, un vettore su cui predare e la sicurezza non dovrebbe essere considerata una caratteristica opzionale. Gli attacchi IoT generalmente avvengono in due modi: attacchi remoti che prendono di mira un dispositivo a distanza, di solito su Internet, e attacchi locali in cui chi attacca ha il possesso del dispositivo che sta prendendo di mira. Gli attacchi remoti, o logici, prendono di mira il software, mentre gli attacchi locali, o fisici, prendono di mira il silicio all'interno del dispositivo stesso.

Il 2020 Global Threat Report afferma che è stata osservata un'escalation di attacchi con ransomware. "Le richieste di riscatto sono aumentate. Le tattiche sono diventate più spietate. Organizzazioni criminali consolidate come WIZARD SPIDER hanno ampliato le operazioni e gli affiliati degli sviluppatori di malware Ransomware-as-a-Service (RaaS)". Gli attacchi stessi sono anche diventati più deliberati e metodici. Una volta entrati in questi sistemi aziendali, gli hacker navigano usando gli strumenti esistenti e cronometrano i loro attacchi in momenti specifici in cui le difese sono giù, o sanno che la risposta sarà ritardata. Un'altra tendenza è che gli attacchi si stanno spostando da remoto a locale. Uno dei motivi è che i responsabili della protezione delle reti aziendali stanno facendo un buon lavoro di difesa contro gli attacchi cloud-centrici. Abbiamo a disposizione sofisticate contromisure di sicurezza, e con questi sistemi in atto è molto più difficile attaccare l'infrastruttura da internet. In questi giorni il modo più efficace per violare un sistema è quello di violare il comportamento umano; ingannare qualcuno a dare il proprio nome utente e password attraverso attacchi di phishing. Ma anche questo sta diventando più difficile da fare in quanto le aziende stanno facendo un grande lavoro, educando i loro dipendenti su come riconoscere queste truffe. Tuttavia, il lavoro remoto richiesto dal Coronavirus ha amplificato il rischio di sicurezza.

Nel Global Threat Report 2018, CrowdStrike, importante azienda americana di tecnologia cybersecurity, ha iniziato a segnalare il "tempo di breakout". Questa metrica chiave della cybersicurezza misura la velocità dall'intrusione iniziale di un avversario in un ambiente, fino a quando raggiunge il movimento laterale attraverso la rete della vittima, verso l'obiettivo finale. Questo costringe gli aggressori a guardare altre vulnerabilità, come i nodi di bordo, come punto di accesso a sistemi più grandi. I nodi finali storicamente non sono stati un obiettivo particolarmente redditizio perché la ricompensa era solo l'informazione contenuta in quel particolare dispositivo. La più grande eccezione a questo, tuttavia, è il ransomware. Il ransomware dei personal computer è diventato un flusso di reddito abbastanza buono per gli hacker, perché possono ottenere 200-300 dollari per hacking da tutte le persone che possono infettare. Ma anche questo tipo di attacco si sta esaurendo, poiché organizzazioni come l'FBI e nomoreransom.org hanno sviluppato strumenti per sbloccare i dati criptati senza pagare il riscatto.

L'ascesa degli attacchi locali

Con i buoni che vincono, cosa deve fare un criminale? Realizzare un attacco pivot. Un attacco pivot è un attacco ad un nodo finale, allo scopo di usarlo per attaccare l'infrastruttura di livello superiore. Questo approccio "dal basso verso l'alto" sfrutta il presupposto che, poiché gli attacchi di solito arrivano dal cloud, i dispositivi alla base dell'architettura siano affidabili. E poiché i nodi finali non sono mai stati considerati obiettivi in precedenza, la sicurezza incorporata in essi, se c'è, è debole. Ad aggravare l'innovazione dell'attacco pivot c'è il modo in cui l'ascesa dell'IoT e dell'Industrial IoT sta aumentando il numero di dispositivi intelligenti alla base. Questi dispositivi IoT e Industrial IoT tendono ad essere molto facilmente accessibili. Si possono trovare online o in qualsiasi negozio di elettronica. Tutti questi fattori rendono gli attacchi locali più attraenti. I kit di hacking che queste imprese criminali possono creare con sofisticati laboratori di penetrazione saranno sempre meglio concepiti, sviluppati e testati. E ora, con l'aumento esponenziale dei dispositivi IoT, sono più facilmente distribuiti su larga scala.

[...]

ATTENZIONE: quello che hai appena letto è solo un estratto, l'Articolo Tecnico completo è composto da ben 2009 parole ed è riservato agli ABBONATI. Con l'Abbonamento avrai anche accesso a tutti gli altri Articoli Tecnici che potrai leggere in formato PDF per un anno. ABBONATI ORA, è semplice e sicuro.

Scarica subito una copia gratis

Scrivi un commento

Seguici anche sul tuo Social Network preferito!

Send this to a friend