Festival Diplomazia: cybersecurity, parla Fabio Sammartino, Head of Pre-Sales Kaspersky
27-10-2021 14:12 - Persone
Fabio Sammartino, Head of Pre-Sales di Kaspersky - © Getty Images 2018 for Kaspersky
GD – Roma, 27 ott. 21 – Il XII Festival della Diplomazia quest’anno è stato incentrato lungo il filo conduttore «Ready for the Unexpected?». Di fronte alla continua fragilità dimostrata dai sistemi informatici, soprattutto pubblici, il GIORNALE DIPLOMATICO ha rivolto alcune domande, con un occhio anche alla Threat Intelligence, a Fabio Sammartino, Head of Pre-Sales di Kaspersky, uno dei maggiori operatori al mondo nella sicurezza informatica e nella lotta al cybercrime.
D.: Come sta cambiando il panorama del cybercrime e come si sono evoluti i gruppi di cyber-criminali?
- Sammartino: «Nell’ultimo periodo abbiamo osservato alcuni cambiamenti nel panorama delle minacce informatiche e nel modo di agire dei cybercriminali. Sono cambiate le loro strategie, il loro modo di lavorare e le loro strutture interne. Fino ad alcuni anni fa, si trattava di gruppi numerosi e ben collegati tra loro, ognuno con un ruolo ben specificato, e con capacità di sviluppo di alto livello. Oggi l'ecosistema degli attaccanti è cambiato e i gruppi di criminali informatici sono molto frammentati. In particolare, negli ultimi 2 anni, i nostri ricercatori hanno osservato un aumento di piccoli gruppi che non possiedono competenze specifiche nello sviluppo di tools di attacco, ma che acquistano l’accesso alle aziende da altri gruppi specializzati nella compromissione e nella rivendita per poi sferrare l'attacco criptando ed esfiltrando i dati. In alcuni casi, avvenuto l’attacco, abbiamo osservato come esista una terza tipologia di cybercriminali che funge da gruppo di servizio per l'altro, e che viene chiamato solo a gestire la conversazione finanziaria con le vittime per ottenere il pagamento in bitcoin.
Abbiamo notato delle differenze anche nello stile di comunicazione. Pochi anni fa, potevamo assistere a una proliferazione di chat e comunicazioni tramite forum privati e protetti sulla dark net. Adesso, poiché quei forum sono stati chiusi o possono essere rilevati, i cybercriminali parlano attraverso canali diretti e più sicuri. Questo tipo di comunicazione diretta è più riservato e quindi maggiormente difficile da rilevare e combattere per i vendor di cybersecurity».
D.: Sono cambiate anche le tecniche?
- Sammartino: «Sì, abbiamo osservato dei cambiamenti anche per quanto riguarda le tecniche usate. Circa 5 anni fa, i principali vettori di attacco erano il phishing e l'iniezione di codice nel browser, che permetteva agli attaccanti di eseguire un codice per scaricare un trojan e stabilire una connessione con i sistemi delle vittime. Ricorrere alla code-injection era abbastanza semplice perché fino a poco tempo fa i livelli di sicurezza dei browser non erano così elevati. I browser hanno poi autorizzato investimenti ingenti per correggere le loro vulnerabilità e, nonostante non siano ancora sicuri al 100%, adesso sono meno facili da compromettere. Inoltre, gli attaccanti impiegavano molto tempo nella ricerca di vulnerabilità su cui fare leva. Ora, invece, le tattiche sono cambiate. Infatti, non assistiamo più allo sfruttamento delle vulnerabilità classiche (es. Trojan, backdoor, zero-day). Questo perché compromettere un endpoint - comunemente usato come vettore di infezione - o un browser è diventato molto più difficile Infine, cercare vulnerabilità zero-day non è più un metodo efficiente, perché sono difficili da trovare sul dark web e accedervi può essere molto costoso. Pertanto, è più facile sfruttare quelle già presenti e in particolare le vulnerabilità one-day. Inoltre, sta diventando prassi comune utilizzare i tool di penetration test per sferrare gli attacchi. Questi strumenti sono molto popolari, facili da usare e molto efficaci».
D.: In che modo la Threat Intelligence può aiutare nel campo della protezione? Cosa fa Kaspersky per proteggere i propri clienti?
- Sammartino: «Lo scopo della Threat Intelligence è fornire informazioni su gruppi criminali, tecniche di attacco, infrastrutture prese di mira, e strumenti utilizzati per colpire gli obiettivi. In sostanza la Threat Intelligence ci consente di fornire insight esclusivi sulle minacce emergenti e consentire ai security team di assegnare le giuste priorità agli alert, ottimizzare le risorse e accelerare i processi decisionali. Nello specifico, un programma di intelligence può aiutare le aziende a riconoscere le minacce informatiche e a evitare data breach e la diffusione di informazioni sensibili, identificare i modelli utilizzati dagli hacker e mettere in atto misure di sicurezza per proteggersi da attacchi futuri e, non da ultimo, serve a condividere con la community IT una base di conoscenza collettiva per combattere i cybercrimini.
La Threat Intelligence sta acquistando sempre più credito anche presso i Managed Service Provider. Secondo una nostra recente ricerca, infatti, la maggior parte (93%) degli MSP prevede di ampliare il proprio portfolio di sicurezza informatica con nuovi servizi, primo fra tutti proprio la threat intelligence (44%).
Questo perché è sempre più evidente come qualsiasi informazione sia preziosa nella protezione dalle minacce avanzate, che si tratti di dettagli su nuovi malware o di approfondimenti sulle tecniche utilizzate. Ecco perché Kaspersky studia i movimenti dei gruppi criminali e li monitora. Le informazioni sulle tecniche, tattiche e procedure d’attacco sono fondamentali per adattare la strategia di protezione dell’azienda e, di conseguenza, rimanere sempre in uno stato predittivo anziché reattivo. Ciò che è importante, infatti, è che le aziende siano costantemente pronte a impedire l’attacco, non solo a ripararne i danni. La visione evolutiva della cyber security passa proprio dal concetto di prevenzione, quindi di profonda conoscenza del nemico e delle sue tecniche. La Threat Intelligence di Kaspersky, infatti, si basa su informazioni qualificate che non sono geograficamente localizzate: la copertura globale è certamente uno dei punti chiave delle nostre soluzioni. La seconda peculiarità della nostra CTI è l’applicabilità dei dati raccolti. Noi traduciamo e rendiamo usabili le informazioni ad esempio fornendo gli indicatori di compromissione, inserendo questi indicatori all’interno dei nostri feed per portarli a tutti i livelli - a livello macchina, a livello governance, ovunque siano utili».
D.: Perché la cooperazione internazionale è importante per affrontare i cyberattacchi a livello globale? Kaspersky è già coinvolta in iniziative congiunta?
- Sammartino: «Nell’ultimo anno abbiamo assistito ad una accelerazione del processo digitalizzazione. Questo trend, insieme al rapido aumento delle attività criminali online, ha contribuito a rendere la cybersecurity più importante che mai per garantire la sicurezza e la sostenibilità di Internet. Attraverso la sicurezza informatica è possibile raggiungere una trasformazione digitale efficace e sostenibile, elementi fondamentali soprattutto in un periodo storico segnato da una pandemia globale. Pertanto, la cooperazione internazionale volta a garantire uno sviluppo stabile e sicuro del cyberspazio è più importante che mai. A questo scopo partecipiamo molto spesso ad incontri in cui si riuniscono diverse community, e leader mondiali per discutere le problematiche attuali del cyberspazio e per poter spingere ad agire coloro che hanno potere decisionale sia nel settore pubblico che in quello privato.
Sosteniamo da sempre l'importanza della collaborazione internazionale all’interno del cyberspazio e promuoviamo iniziative comuni per la community globale di IT security, poiché riteniamo che questo sia l'approccio più adatto per proteggersi dalle minacce informatiche in continua evoluzione.
Condividiamo con la community mondiale di sicurezza la nostra expertise, la nostra conoscenza e le nostre scoperte tecniche, e collaboriamo con i vendor di sicurezza IT di tutto il mondo, con le organizzazioni internazionali e con le forze di polizia nazionali e regionali impegnate a contrastare il cyber crimine a livello globale.
Da diversi anni, ad esempio, collaboriamo con l’INTERPOL nella lotta congiunta contro il cyber crimine, mettendo al servizio dell’organizzazione risorse umane, formazione e dati di threat intelligence sulle più recenti attività criminali. Dal 2016, siamo inoltre impegnati a fianco della Polizia Olandese, Europol e Intel Security nel progetto No More Ransom, un’iniziativa di natura non commerciale il cui scopo è informare le persone sui pericoli dei ransomware, e nel contempo aiutare le vittime a recuperare i propri dati senza dover pagare i criminali. In questi anni, grazie a No More Ransom, abbiamo aiutato a recuperare i dati crittografati da 32 famiglie di ransomware e impedito la realizzazione di oltre 900 milioni di dollari di profitti illegali».
Fonte: Redazione
D.: Come sta cambiando il panorama del cybercrime e come si sono evoluti i gruppi di cyber-criminali?
- Sammartino: «Nell’ultimo periodo abbiamo osservato alcuni cambiamenti nel panorama delle minacce informatiche e nel modo di agire dei cybercriminali. Sono cambiate le loro strategie, il loro modo di lavorare e le loro strutture interne. Fino ad alcuni anni fa, si trattava di gruppi numerosi e ben collegati tra loro, ognuno con un ruolo ben specificato, e con capacità di sviluppo di alto livello. Oggi l'ecosistema degli attaccanti è cambiato e i gruppi di criminali informatici sono molto frammentati. In particolare, negli ultimi 2 anni, i nostri ricercatori hanno osservato un aumento di piccoli gruppi che non possiedono competenze specifiche nello sviluppo di tools di attacco, ma che acquistano l’accesso alle aziende da altri gruppi specializzati nella compromissione e nella rivendita per poi sferrare l'attacco criptando ed esfiltrando i dati. In alcuni casi, avvenuto l’attacco, abbiamo osservato come esista una terza tipologia di cybercriminali che funge da gruppo di servizio per l'altro, e che viene chiamato solo a gestire la conversazione finanziaria con le vittime per ottenere il pagamento in bitcoin.
Abbiamo notato delle differenze anche nello stile di comunicazione. Pochi anni fa, potevamo assistere a una proliferazione di chat e comunicazioni tramite forum privati e protetti sulla dark net. Adesso, poiché quei forum sono stati chiusi o possono essere rilevati, i cybercriminali parlano attraverso canali diretti e più sicuri. Questo tipo di comunicazione diretta è più riservato e quindi maggiormente difficile da rilevare e combattere per i vendor di cybersecurity».
D.: Sono cambiate anche le tecniche?
- Sammartino: «Sì, abbiamo osservato dei cambiamenti anche per quanto riguarda le tecniche usate. Circa 5 anni fa, i principali vettori di attacco erano il phishing e l'iniezione di codice nel browser, che permetteva agli attaccanti di eseguire un codice per scaricare un trojan e stabilire una connessione con i sistemi delle vittime. Ricorrere alla code-injection era abbastanza semplice perché fino a poco tempo fa i livelli di sicurezza dei browser non erano così elevati. I browser hanno poi autorizzato investimenti ingenti per correggere le loro vulnerabilità e, nonostante non siano ancora sicuri al 100%, adesso sono meno facili da compromettere. Inoltre, gli attaccanti impiegavano molto tempo nella ricerca di vulnerabilità su cui fare leva. Ora, invece, le tattiche sono cambiate. Infatti, non assistiamo più allo sfruttamento delle vulnerabilità classiche (es. Trojan, backdoor, zero-day). Questo perché compromettere un endpoint - comunemente usato come vettore di infezione - o un browser è diventato molto più difficile Infine, cercare vulnerabilità zero-day non è più un metodo efficiente, perché sono difficili da trovare sul dark web e accedervi può essere molto costoso. Pertanto, è più facile sfruttare quelle già presenti e in particolare le vulnerabilità one-day. Inoltre, sta diventando prassi comune utilizzare i tool di penetration test per sferrare gli attacchi. Questi strumenti sono molto popolari, facili da usare e molto efficaci».
D.: In che modo la Threat Intelligence può aiutare nel campo della protezione? Cosa fa Kaspersky per proteggere i propri clienti?
- Sammartino: «Lo scopo della Threat Intelligence è fornire informazioni su gruppi criminali, tecniche di attacco, infrastrutture prese di mira, e strumenti utilizzati per colpire gli obiettivi. In sostanza la Threat Intelligence ci consente di fornire insight esclusivi sulle minacce emergenti e consentire ai security team di assegnare le giuste priorità agli alert, ottimizzare le risorse e accelerare i processi decisionali. Nello specifico, un programma di intelligence può aiutare le aziende a riconoscere le minacce informatiche e a evitare data breach e la diffusione di informazioni sensibili, identificare i modelli utilizzati dagli hacker e mettere in atto misure di sicurezza per proteggersi da attacchi futuri e, non da ultimo, serve a condividere con la community IT una base di conoscenza collettiva per combattere i cybercrimini.
La Threat Intelligence sta acquistando sempre più credito anche presso i Managed Service Provider. Secondo una nostra recente ricerca, infatti, la maggior parte (93%) degli MSP prevede di ampliare il proprio portfolio di sicurezza informatica con nuovi servizi, primo fra tutti proprio la threat intelligence (44%).
Questo perché è sempre più evidente come qualsiasi informazione sia preziosa nella protezione dalle minacce avanzate, che si tratti di dettagli su nuovi malware o di approfondimenti sulle tecniche utilizzate. Ecco perché Kaspersky studia i movimenti dei gruppi criminali e li monitora. Le informazioni sulle tecniche, tattiche e procedure d’attacco sono fondamentali per adattare la strategia di protezione dell’azienda e, di conseguenza, rimanere sempre in uno stato predittivo anziché reattivo. Ciò che è importante, infatti, è che le aziende siano costantemente pronte a impedire l’attacco, non solo a ripararne i danni. La visione evolutiva della cyber security passa proprio dal concetto di prevenzione, quindi di profonda conoscenza del nemico e delle sue tecniche. La Threat Intelligence di Kaspersky, infatti, si basa su informazioni qualificate che non sono geograficamente localizzate: la copertura globale è certamente uno dei punti chiave delle nostre soluzioni. La seconda peculiarità della nostra CTI è l’applicabilità dei dati raccolti. Noi traduciamo e rendiamo usabili le informazioni ad esempio fornendo gli indicatori di compromissione, inserendo questi indicatori all’interno dei nostri feed per portarli a tutti i livelli - a livello macchina, a livello governance, ovunque siano utili».
D.: Perché la cooperazione internazionale è importante per affrontare i cyberattacchi a livello globale? Kaspersky è già coinvolta in iniziative congiunta?
- Sammartino: «Nell’ultimo anno abbiamo assistito ad una accelerazione del processo digitalizzazione. Questo trend, insieme al rapido aumento delle attività criminali online, ha contribuito a rendere la cybersecurity più importante che mai per garantire la sicurezza e la sostenibilità di Internet. Attraverso la sicurezza informatica è possibile raggiungere una trasformazione digitale efficace e sostenibile, elementi fondamentali soprattutto in un periodo storico segnato da una pandemia globale. Pertanto, la cooperazione internazionale volta a garantire uno sviluppo stabile e sicuro del cyberspazio è più importante che mai. A questo scopo partecipiamo molto spesso ad incontri in cui si riuniscono diverse community, e leader mondiali per discutere le problematiche attuali del cyberspazio e per poter spingere ad agire coloro che hanno potere decisionale sia nel settore pubblico che in quello privato.
Sosteniamo da sempre l'importanza della collaborazione internazionale all’interno del cyberspazio e promuoviamo iniziative comuni per la community globale di IT security, poiché riteniamo che questo sia l'approccio più adatto per proteggersi dalle minacce informatiche in continua evoluzione.
Condividiamo con la community mondiale di sicurezza la nostra expertise, la nostra conoscenza e le nostre scoperte tecniche, e collaboriamo con i vendor di sicurezza IT di tutto il mondo, con le organizzazioni internazionali e con le forze di polizia nazionali e regionali impegnate a contrastare il cyber crimine a livello globale.
Da diversi anni, ad esempio, collaboriamo con l’INTERPOL nella lotta congiunta contro il cyber crimine, mettendo al servizio dell’organizzazione risorse umane, formazione e dati di threat intelligence sulle più recenti attività criminali. Dal 2016, siamo inoltre impegnati a fianco della Polizia Olandese, Europol e Intel Security nel progetto No More Ransom, un’iniziativa di natura non commerciale il cui scopo è informare le persone sui pericoli dei ransomware, e nel contempo aiutare le vittime a recuperare i propri dati senza dover pagare i criminali. In questi anni, grazie a No More Ransom, abbiamo aiutato a recuperare i dati crittografati da 32 famiglie di ransomware e impedito la realizzazione di oltre 900 milioni di dollari di profitti illegali».
Fonte: Redazione
[
]
[
]
]
[] 
