Alessia Valentini

Alessia Valentini

Mar 13, 2018

Rapporto Clusit 2018 | “Il rischio è continuamente crescente”. Intervista a Andrea Zapparoli Manzoni

Trionfo del Malware di scarsa qualità, attacchi industrializzati su scala planetaria contro bersagli multipli e Stati come attori della minaccia queste le tre maggiori evidenze coniugate ad un panorama italiano ancora troppo fragile.

È uscito il nuovo Rapporto Clusit 2018 sull’analisi annuale della minaccia effettuata mediante analisi da fonti OSINT, dai contributi del Security Operations Center (SOC) di FASTWEB, dalle segnalazioni della Polizia Postale e dalle Comunicazioni del CERT Nazionale e del CERT-PA. Per commentarne le fonti, i contenuti e soprattutto capire cosa fare, abbiamo intervistato Andrea Zapparoli Manzoni, membro del board del Clusit, curatore del rapporto, ed esperto di Cybersecurity.

Come è formato il campione dei dati su cui è basato il rapporto e da quante fonti di dati è costituito?

Il campione è formato in modo diversificato e analizzato in modo ancora diverso. Si parte da un centinaio di siti e fonti specializzati in cybersecurity secondo quattro macrofamiglie: blog di ricercatori, come quelli di Andrea Draghetti o Marco Ramilli, siti di news da seguire, siti che si occupano di fare statistiche e analisi di data breach e i siti dei Cert nazionali, ad esempio i siti inglesi e polacchi sono molto prolifici. In aggiunta, periodicamente sono analizzati i bilanci pubblici delle aziende in cui ci sono voci di costi per perdite e ripristino del sistema informatico. Infine, da una rete di contatti personali emergono informazioni ulteriori. L’analisi dei dati viene eseguita continuamente. Siamo a circa 95 attacchi gravi al mese. Quindi almeno una volta alla settimana bisogna rianalizzare il set di attacchi. Sottolineo l’esistenza di una deformazione del campione per i fenomeni che più difficilmente diventano di dominio pubblico: spionaggio ed infowarfare che quindi sono sottorappresentati. Quindi, riassumendo i dati sono tutti presi da fonti aperte, tutti relativi ad attacchi riusciti tanto da fare notizia e da quest’anno abbiamo voluto anche aggiungere l’analisi degli impatti.

Infatti, anche se il cybercrime ha impatti medi, spionaggio e cyberwarfare, che sono meno rappresentati, causano più danni. Lo scopo nei prossimi anni è fare confronti fra le severity con i dati su diversi anni. Abbiamo analizzato 1127 attacchi e complessivamente il DB è arrivato a 7700 eventi e i trend che emergono sono ragionevoli secondo il campione considerato. In aggiunta, grazie a Fastweb, abbiamo anche i dati derivanti dalle sue sonde sulla rete che permettono di osservare un certo numero di anomalie, rappresentative di tentati attacchi, di cui una parte bloccata ed una fetta vista passare (sonde di traffic sniffing n.d.r.). Sono tipi di dati network centrici, con pochi eventi a livello 7 della pila ISO-OSI (International Organization for Standardization-Open Systems Interconnection, stabilisce l’architettura logica di una rete di calcolatori su sette strati, di cui l’ultimo livello è lo strato di presentazione dei dati, tipicamente una interfaccia utente n.d.r.)

 

 

Al posto dei “lone wolf” ormai vigono gli attacchi industrializzati, come si legge nel rapporto, su scala planetaria e verso bersagli multipli. Come ci si difende da questo “sparare nel mucchio”?

Gli attacchi sono industrializzati perché sia il cybercrime, sia lo spionaggio in termini di complessità hanno “una potenza di fuoco” diversa dagli anni passati. Questa grande economia parallela ha bisogno di operare su larga scala. Inevitabilmente si creano gruppi ad assetto variabile, associazioni temporanee a delinquere che permettono loro di ridurre i rischi e di collaborare senza conflitti in funzione dei mega soldi attesi. Hanno tanti bersagli in parallelo, perché conviene sparare contro tutti costantemente dalla mattina alla sera, meramente per motivi probabilistici.

Poi c’è un altro aspetto: secondo la legge dei ritorni decrescenti (andamento gaussiano degli investimenti per cui inizialmente e fino ad un certo punto si ricava più di quanto si investa e da un punto della curva investire di più non conviene n.d.r.) agli attaccanti ancora conviene investire poco per avere grandi e cospicui ritorni, poiché oggi è come sparare sulla croce rossa ed è quasi sempre tutto guadagno. Per questo sono incentivati a fare le cose sempre più in grande.

 

Deve essere chiaro a utenti, aziende ed enti: stare online è un rischio continuamente crescente

 

Sul tema degli avversari multipli, nessuno ha la ricetta unica della difesa, ma deve essere chiaro ad utenti, aziende e enti che stare online è un rischio continuamente crescente. La risposta ha tre direttrici: ridurre la superficie di attacco per compensare l’aumento quotidiano di rischio, una sorta di dieta digitale che sfrutti il mimetismo/camoufflage con il risultato di essere meno attaccabili. Seconda direttrice: le persone devono collaborare ed è necessaria un’awareness di massa, conseguita con il giusto mix di bastone e carota, perché nessuno ha il “diritto di non sapere”. La terza direttrice riguarderebbe l’intervento correttivo sui vendor di servizi e tecnologia che attualmente non sono responsabili per vulnerabilità e difetti che portano ad attacchi informatici. Nel contratto con i vendor c’è una dicitura che li scarica da ogni responsabilità’: “use at your own risk” (uso a vostro rischio n.d.r.) e non dovrebbe esistere nel 2018. Ma nessuno dei vendor è incentivato a investire per non parlare delle lobby contro le quali è difficilissimo portare avanti battaglie.

 

Una mappa dei dispositivi connessi a internet nel mondo

© Shodan

 

Il 2017 definito come anno del trionfo del Malware nel rapporto, ma negli anni precedenti cosa accadeva diverso da oggi?

I primi malware con finalità criminali erano oggetti complessi ad esempio i trojan bancari del 2009 operavano in modo complesso. Oggi Invece, gli attaccanti hanno capito che al di là delle resistenze dei buoni ci sono tre o quattro cose cattive che funzionano benissimo, i ransomware per citarne uno. Questo li facilita e realizzano economie di scala, riuso di software sfornando decine di varianti al giorno supportati da macchine apposite e questo ha cambiato il campo di gioco. Quindi prima osservavamo pochi malware sofisticati fatti da artigiani, ora si vedono codici “schifosi” generati da tool in automatico, che funziono solo perché gli antivirus non gli stanno dietro. Gli attaccanti hanno sempre 48-72 ore di vantaggio sui difensori. Dunque i cattivi hanno cambiato strategia e in futuro potrebbero usare il machine learning, piuttosto che studiare gli antivirus come hanno fatto fino ad oggi.

I cattivi hanno cambiato strategia e in futuro potrebbero usare il machine learning

 

Gli Stati come attori di minaccia: cosa rischia l’Italia e da chi?

Siamo un paese con quaranta milioni di cittadini online o collegati a internet, con dati, segreti personali e infrastrutture critiche (IC): quindi siamo un target. Siamo poco “aware” (consci della minaccia n.d.r.)  e abbiamo una bassa situtional awareness (letteralmente, consapevolezza della situazione in ottica cybersecurity n.d.r.). In quanto nazione avanzata, abbiamo tre tipi principali di attaccanti: l’estremo oriente per lo spionaggio industriale, i paesi interessati a creare backdoor o accessi ad IC e qui ricordo che le alleanze del dopo seconda guerra mondiale non hanno più senso fra paesi amici e nemici; paesi pazzi, fuori controllo, aggressivi per natura o non amici di nessuno come Iran e Corea del Nord.

 

Gli attacchi motivati da cybercrime sono ingenti, ma destano meno preoccupazione per la pericolosità intrinseca o potrebbero anche essere usati per spostare l’attenzione rispetto ad altre manovre?

Il cybercriminale, parassita del mondo digitale, non ha interesse ad elevare l’allarme sociale su ciò che lo riguarda. Gli attaccanti potrebbero fare quello che vogliono, ma si limitano, sono pragmatici e cercano il punto ottimale fra profitti e allarme generato. Tengono un profilo relativamente basso per non avere un effetto boomerang di allarme sociale. La gente ha ancora poca paura di loro, rispetto al ladro tradizionale ma per un difetto di percezione, perché invece negli ultimi due anni, il valore dell’estorsione digitale ha superato quella perpetrata in modo fisico. Se i criminali operino nel cybercrime per spostare l’attenzione, posso rispondere “ni”: alcuni sì ed è evidente nelle campagne Not Petya e Wannacry per offuscare i reali motivi, poi ci sono altri gruppi che fanno cybercrime per finanziarsi, ma anche loro preferiscono cinquanta euro da tutti che un milione di euro da un solo soggetto.

 

Ad elezioni terminate l’auspicio è una maggiore attenzione politica verso il tema, sebbene in campagna elettorale non se ne sia parlato, oppure forse è stato voluto perché l’assetto nazionale di gestione della cybersecurity è definito, con anche la nomina del vicedirettore cyber?

Tutti gli attori deputati dalle normative stanno trovando un assetto da circa tre anni e non rilasciano dichiarazioni e mentre questo ambito va per la sua strada e non è influenzato dalla politica, il mondo della politica non parla di cybersecurity perché o non ne capiscono o non sono ben consigliati al loro interno. Un tema importante e strategico che fa parte dell’agenda di tutti i paesi civili avanzati, qui in Italia non viene trattato appropriatamente, forse perché si pensa che il tema cyber non tocchi la pancia degli italiani, come è avvenuto per altri argomenti.

 

In Italia non si sono visti fondi ingenti come in altri paesi per la cybersecurity; non le chiedo una spiegazione, ma solo una valutazione su quale cifra dovrebbe essere stanziata annualmente e su che lasso temporale dei prossimi anni per innalzare il livello di readiness (prontezza) nazionale?

Gli USA sono fuori scope e confronto per le loro specificità, ma si può guardare ai paesi europei più simili come Francia e Inghilterra, e un po’ meno alla Germania che presenta caratteristiche diverse. La Francia, solo per la cyberprotezione delle forze armate, ha stanziato ottocento milioni di euro all’anno e altrettanti per la parte civile quindi oltre un miliardo e mezzo all’anno.

La Francia, solo per la cyberprotezione delle forze armate, ha stanziato ottocento milioni di euro all’anno

Da noi si sono visto i centocinquanta milioni del 2015, ma finchè non si faranno statistiche serie sugli impatti (misura materiale del danno n.d.r.) non si sa nemmeno come arrivare alla definizione di un budget e quanto ci costa non fare questi investimenti. Non c’è un ente che tenga questo calcolo, (l’Istat o la stessa PCM-Presidenza del Consiglio dei Ministri n.d.r.) e qualsiasi cifra di cui parlare potrebbe essere inutile: minimo dovremmo stanziare una cifra equivalente a quella francese.

 

Per innalzare la readiness nazionale cosa dovrebbe essere fatto che fino ad oggi non ha avuto luogo?

Negli ultimi 3 anni ho discusso con CERT, DIS, sulla mancanza di entità CSIRT (Computer Security Incident Response Team) distribuiti sul territorio e capaci di intervenire in caso di incidente informatico. Oggi abbiamo zero capacità di incidenza e risoluzione di problemi. Esistono solo apparati per la denuncia e l’investigazione ma non per riparare ai danni, elemento lasciato totalmente alle vittime. Dovrebbe esistere una sorta di protezione civile cyber. Magari potrebbero essere entità che operano in outsourcing per la PA o soggetti accreditato a cui rivolgersi, che operino secondo standard, su cui poter basare benchmark e analisi statistiche recuperando dati sulla minaccia e la sua incidenza, dati che oggi non emergono. Il fatto che ci manchi questa articolazione territoriale operativa ci rende indifesi insieme alla mancanza di awareness.

 

A livello del singolo e dei privati e di azienda cosa dovrebbe essere fatto concretamente?

Ancora awareness ma sempre nell’approccio “carota e bastone”. È necessaria una normativa specifica come quelle sulla safety (la sicurezza del lavoratore n.d.r.). Il GDPR è focalizzato sulla privacy, ma manca la messa a terra di una serie di principi mediante normative e sanzioni. Questa mancanza non permette nemmeno la piena realizzazione delle assicurazioni contro i rischi cyber, se vogliamo fare un parallelo con il mondo auto, perché non si sviluppa il mercato del trasferimento del rischio e sebbene oggi alcuni gruppi offrano assicurazioni di questo tipo, una analisi attenta permette di osservare come siano coperti i rischi legal, il danno d’immagine con poca o nulla copertura della parte informativa danneggiata. Manca la definizione di una baseline di security appropriata e soprattutto mancano dati storici di riferimento.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter