Qualche giorno fa, Microsoft ha rilasciato il Digital Defence Report. Si tratta di un documento fondamentale, soprattutto in questo momento storico, data la possibilità di dare un occhio a come evolvono certi trend di sicurezza informatica, nel modo in cui gli aggressori agiscono a livello globale. Il report ha confermato un rapido aumento della sofisticatezza degli attacchi informatici, con tecniche che rendono sempre più complessa l’identificazione dei cybercriminali e che mettono in pericolo anche gli utenti più esperti. Le indagini di Microsoft hanno inoltre identificato una chiara preferenza da parte dei principali gruppi criminali per alcune particolari tecniche di attacco, con un significativo aumento di interesse verso il lancio di ransomware.
Vale allora la pena fare due chiacchiere con Carlo Mauceli, National Digital Officer di Microsoft Italia, che ci racconta non solo come si traduce il Digital Defence Report dalle nostre parti ma anche le misure che il colosso di Redmond sta prendendo per evitare che nuove infezioni e operazioni colpiscano il nostro paese. Peraltro, proprio qualche giorno fa, la Digital Crimes Unit di Microsoft ha smantellato Trickbot, una delle più noti botnet per la distribuzione dei ransomware. Si tratta di un importante risultato alla vigilia delle elezioni statunitensi, dal momento che il governo di Washington ritiene proprio i ransomware una delle più grandi minacce per le elezioni.
Il ruolo di Microsoft nello scenario globale
«Trickbot è uno degli esempi migliori di uno scenario che vede la nascita di attività di disinformazione che poi si evolvono in vere e proprie botnet. L'impegno alla lotta alle operazioni di cybercrime va quindi ben oltre i soli tecnicismi del caso, necessitando di una serie di skill sempre più ampie che riguardano il settore della sicurezza». Il lavoro di Microsoft, secondo Mauceli, è quello di rendere sicuro uno spazio, che è il quinto dominio, a cui tutti in maniera democratica dovrebbero accedere.
Bisogna creare le condizioni per riuscire a far si che il cyberspazio sia un luogo di lavoro e intrattenimento, per tutti, senza rischi. Ovviamente oggi le cose non stanno così, per vari motivi. «Uno dei tanti? Gli interessi che vi sono alla base di attacchi che mirano il digitale, dalle reti organizzate alle compagnie che sviluppano soluzioni di difesa».
«Lavorando nel campo della security penso sia un dovere rendersi disponibili per far si che lo spazio cibernetico sia sicuro. Non si può prescindere da ciò, anche alla luce del fatto che la cybersecurity è ovviamente un business, per il mondo e per l'Italia. Microsoft, da anni, crede all'uso etico della tecnologia e non è un caso se lo scorso febbraio il Vaticano abbia firmato con noi un documento per l'utilizzo "sano" dell'intelligenza artificiale».
Operatori positivi
L'Italia, è un dato di fatto, poggia la quasi totalità del proprio asset economico sulle PMI. «La salvaguardia di queste realtà dovrebbe puntare al miglioramento della consapevolezza del rischio cyber. Tale comprensione deve essere la scintilla che porta poi a scegliere questo o quel vendor di sicurezza. La tecnologia viene in aiuto, con il cloud che ha reso più semplice adottare soluzioni idonee ma può non bastare. Senza una cultura della difesa digitale non vi è prevenzione, e questo resta un problema»-
Tornando al Digital Defence Report, l'Italia rappresenta uno spaccato molto importante delle tendenze riscontrate a livello generale. «Quello che vediamo è una crescita enorme per quanto concerne le attività di phishing, che mietono ancora un bel po' di vittime. Lo stesso phishing si può distinguere in due filoni: il primo prende di mira i cittadini, il secondo, ben più variegato, le aziende, con conseguenze differenti.
«La situazione, nella forma, è davvero complicata. Ci sono imprese che possono risolvere il problema con backup o disaster recovery e altre che devono sottostare alle richieste dei criminali, per rimettersi in pista. Cosa fare quando si arriva a questo punto? Difficile dirlo ma è evidente che oggi prevenire è fondamentale».
Altro trend in evoluzione, secondo il Report, è il furto di identità, finalizzato anche ad aggirare i decisori aziendali, per scalare una rete più che ottenere un vantaggio nell'immediato. «Questo avviene, in larga misura, a causa di vulnerabilità esposte, non patchate in tempo e in maniera corretta. Del resto, i cybercriminali odierni non sono più solo ragazzi indipendenti ma realtà che lavorano con piani ben definiti, spesso e volentieri capaci di arrivare all'obiettivo prefissato».
Basti pensare a quanto accaduto durante i mesi di lockdown, con il fiorire di siti di e-commerce fasulli, realizzati apposta per ottenere le credenziali di utenti e organizzazioni. In mesi dove era fisicamente impossibile uscire di casa, anche un utente che in un preciso momento vestiva un ruolo professionale, magari il responsabile degli acquisti, poteva essere raggirato e ingannato.
Peggio poi quando si continuano ad usare le stesse credenziali per account social o personali e quelli aziendali. «Eppure esistono oramai opzioni molto più sicure, come la biometria, che consentono di avere un layer di sicurezza maggiore sia che ci si trovi su uno smartphone che su un tablet o un computer» continua Mauceli.
Fenomeno botnet
Quando si parla di botnet il pensiero va quasi sempre a quella serie di dispositivi che, nelle mani dei criminali, diventano un esercito pronto ad attaccare qualsiasi vittima. Come ci spiega Mauceli, non possiamo nemmeno immaginare quante aziende non sappiano di essere alimentatori inconsci di una botnet. Anche perché quando un'impresa non ha le misure idonee per accorgersi di tali movenze, nell'ordinaria quotidianità è davvero complicato scovare indizi lampanti.
«Smantellare una botnet è un'operazione per nulla semplice, che richiede una serie di permessi da parte delle forze dell'ordine per sequestrare i server. Durante il lockdown, abbiamo analizzato ad esempio le movenze del gruppo Parinacota, che ha sfruttato i protocolli di remote desktop per entrare nelle reti aziendali. Una volta dentro, i malfattori riuscivano a modificare quei servizi che, senza dare nell'occhio, permettevano di arruolare computer e server per potenziare appunto varie botnet».
Di fatto, il panorama delle operazioni malevoli sfrutta le stesse, medesime, tecniche di anni fa, solo con una maggiore attenzione al "contorno", tale da ingannare l'utente, sia a livello culturale che tecnico. «Questo vale soprattutto per le campagne di phishing che, tirando l'amo ai singoli, in realtà mimano le necessità e i flussi di business che possono interessare un'azienda, per "scalare" dal singolo utente ai piani alti».
Dov'è dunque il passo successivo per contrastare tale quadro?
«Bisogna essere molto vicini alle aziende, stimolarle dal punto di vista della formazione e della sensibilizzazione sulle tematiche, aiutandole a realizzare una strategia di sicurezza che sia ottimizzata e cucita su misura» conclude Carlo Mauceli. «Distribuendo le responsabilità di sicurezza, magari tramite il cloud, si permette al cliente di sgravarsi da alcune responsabilità, colmando dei gap presenti, quando non si hanno le forze interne per difendersi. Tanti partner di Microsoft integrano le mancanze, offrendo servizi di gestione allargata della security. Ed è proprio una visione olistica del genere, a mo' di rete e network, che concretizza misure protettive funzionali e persistenti».