Intervista esclusiva con Massimo Palermo, Country Manager Italia e Malta di Fortinet
In seguito all'attacco hacker degli scorsi giorni, che ha colpito anche diversi server italiani, proveniva da un ransomware già noto da tempo. Un ransomware è un tipo di virus che prende il controllo del computer di un utente ed esegue la crittografia dei dati, quindi chiede un riscatto per ripristinare il normale funzionamento. "L'attacco ransomware che nelle scorse ore ha colpito i server VMware ESXi, sfruttando una vulnerabilità che era stata risolta da ben due anni, è solo l'ultimo di una lunga lista di attacchi su scala globale", dichiara Massimo Palermo, Country Manager Italia e Malta di Fortinet, compagnia statunitense specializzata nello sviluppo di software, dispositivi e servizi di sicurezza informatica. "Già a settembre, un report dei FortiGuard Labs di Fortinet avvertiva che solo nel primo semestre del 2022 erano state rilevate 10.666 varianti di ransomware, rispetto alle sole 5.400 del semestre precedente: un aumento di quasi il 100%, che rivela una preoccupante evoluzione degli ecosistemi criminali. Per proteggersi dai ransomware e dalle minacce informatiche in generale, le organizzazioni, indipendentemente dal settore in cui operano o dalle proprie dimensioni, devono adottare un approccio proattivo, nel quale nessun componete di un'architettura di sicurezza può essere trascurato: dal rispetto dei principi di una sana cyber hygiene, passando per la formazione, all'implementazione di tecnologie fondamentali quali la visibilità, la protezione e la remediation in tempo reale, lo zero-trust network access (ZTNA), e la detection e response degli endpoint (EDR)".
- Massimo Palermo, Country Manager Italy & Malta di Fortinet
Quali sono i rischi di questi attacchi, e perché alcuni di questi si sono acutizzati più degli altri? Sicuramente hanno contribuito diversi fattori: da una parte la trasformazione digitale e l'e-commerce trasformato dal periodo del Covid, ma anche la convergenza del mondo IT verso l'automazione industriale e il lavoro da remoto", spiega Palermo. "Ci troviamo quindi ad avere un’espansione e una diversificazione della superficie d'attacco: siamo esposti a casa nostra, sulle nostre reti private. Nasce quindi il fenomeno dello shadowing dei molti apparati non opportunamente protetti. A questo si aggiunge poi il panorama delle minacce in continua evoluzione: dagli attacchi state sponsored, quello che stiamo vedendo da febbraio scorso con l’inizio della guerra russo-ucraina, al fenomeno del ransomware, sempre più utilizzato dalla criminalità organizzata.
Una tempesta perfetta che in Italia è acuita da fattori peculiari. "Uno è rappresentato dall'analisi del tessuto produttivo italiano, che è fatto di tante piccole e medie imprese e da una grandissima prevalenza del settore pubblico. Anche a causa di un budget inesistente per la cybersecurity, l'Italia è diventata uno dei bersagli principali o comunque uno tra i soggetti più a rischio. Tutto ciò era già emerso dal rapporto Clusit del 2021, una delle fonti più autorevoli sullo stato delle minacce e al quale anche Fortinet contribuisce. Il rapporto del 2021, con un record di 2049 attacchi gravi, aveva già evidenziato che il cyber crime cominciava a dilagare in connessione con la criminalità organizzata, e che il ransomware si confermava già dall'anno scorso come la minaccia informatica più diffusa. Il nuovo rapporto che è stato presentato qualche giorno fa sui primi sei mesi del 2022 rileva che gli attacchi cyber sono stati 1.141, con una crescita del 53% rispetto allo stesso periodo dell’anno precedente. Certamente l'impatto della guerra russo-ucraina ha contribuito a delineare uno scenario geopolitico molto complicato che ha avuto riflessi e ripercussioni importanti sul mondo digitale".
Di fatto, dice Palermo, la Rete è a tutti gli effetti un nuovo campo di battaglia. "Cresce quindi la severità degli attacchi e di conseguenza la qualità degli attacchi stessi con danni maggiori, il 78% degli attacchi hanno avuto un impatto critical e high. Sono poi in continua evoluzione anche le tecniche di attacco con tecniche multiple, che sono cresciute di più nel primo semestre del 2022, e naturalmente il malware che rappresenta comunque il 38% del totale. Seguono poi tecniche sconosciute e quelle classiche delle vulnerabilità, del phishing e del social Engineering. Se spostiamo la visuale dalla parte delle vittime notiamo che la crescita maggiore del numero di attacchi gravi si è osservata proprio verso i target multipli: ciò significa che i criminali tendono a colpire in maniera più indifferenziata obiettivi molteplici piuttosto che bersagli specifici. La motivazione del cybercrime nonostante il conflitto russo alla fine è e rimane sempre la principale motivazione di attacco, e rappresenta il 78% degli attacchi globali, tutti elementi che avevamo già evidenziato nel primo semestre con il lancio del FortiGuard Labs Street report landscape. Questa unità di rilevazione e di analisi delle minacce a livello mondiale oggi ha il controllo del 40% del traffico mondiale: parliamo più di 9 milioni di apparati in giro per il mondo che rappresentano una fonte privilegiata che vanno a costituire milioni di miliardi di dati e segnalazioni che elaboriamo, per cercare di anticipare alcuni trend non solo per i nostri clienti ma per tutto l’ecosistema"
La protezione delle infrastrutture critiche sarà la vera sfida di questo secol. "Uno dei pilastri dell’Agenzia per la cybersicurezza nazionale (fondata nel 2021 ma ancora non in piena attività) è proprio quella di individuare i fornitori di servizi essenziali, gli erogatori di servizi digitali e farli ricadere nel perimetro di sicurezza cibernetica, cioè cercare di predisporre quella che si chiama la cyber resilience: assicurarsi che adottino oltre alle tecnologie anche le metodologie per resistere il più a lungo possibile e riprendersi il prima possibile dallo shock dell’attacco. In Italia ci siamo mossi un poco in ritardo, anche secondo la stessa Nunzia Ciardi (Vice Direttore Generale, Agenzia per la Cybersicurezza Nazionale): è un dato di fatto che la nostra agenzia nasca cinque anni più tardi di quella francese e addirittura 10 anni più tardi di quella tedesca. Quello che si può fare è collaborare, come con il nostro contributo al rapporto Clusit specifico per il mondo dell’operation technology insieme al più vasto scenario dell'automazione industriale. Un sistema vitale per l’economia del nostro paese, un tessuto di piccole e medie imprese italiane, dalla manifattura a chi fa i bulloni nel nord-est, che se oggetto di attacco ransomware molto probabilmente non è in grado di far fronte al riscatto eventualmente richiesto senza avere la possibilità di tornare all’operatività il più presto possibile e conseguentemente ridurre al minimo i danni. Diventa fondamentale la protezione delle infrastrutture critiche come il fornitore di energia elettrica o anche semplicemente la piccola municipalizzata dell’acqua di un paese. La cybersecurity deve essere al centro dei piani strategici di ogni nazione".
Fortinet, allo stato attuale, offre 50 soluzioni con un’unica piattaforma integrata e con un unico sistema operativo. Palermo la definisce una “Mesh Architecture”, architettura a maglia, cioè un ecosistema collaborativo di strumenti e controlli. "Dalla grande rete 5G, allo smartphone, al PC di casa offriamo una soluzione integrata e automatizzata in grado di collegare eventi di violazione apparentemente non correlati e che istantaneamente reagisce all’attacco digitale. Tuttavia la tecnologia da sola non basta: serve la formazione e il training sulla consapevolezza della sicurezza informatica. Molte aziende offrono già dei programmi di formazione sulla sicurezza di base per dipendenti ma in virtù di questa sofisticazione in virtù del fatto che i criminali investono come abbiamo detto per rendersi sempre più invisibili. Noi non possiamo fare a meno, come aziende e cittadini, di investire in formazione e in educazione.
Il metaverso sta dando vita a nuove esperienze completamente immersive nel mondo online e appaiono le prime città virtuali in questa nuova versione di Internet guidata dalle tecnologie di realtà aumentata. I retailer stanno addirittura lanciando prodotti digitali disponibili per l’acquisto in questi mondi virtuali. Se da un lato queste nuove mete online offrono un mondo di possibilità, dall’altro aprono la porta a un aumento senza precedenti della criminalità informatica in un territorio inesplorato. "Ad esempio, l’avatar di un individuo è essenzialmente una porta d’accesso a informazioni di identificazione personale, che lo rendono un obiettivo primario per gli aggressori. Poiché gli individui possono acquistare beni e servizi nelle città virtuali, i portafogli digitali, gli scambi di criptovalute, gli NFT e tutte le valute utilizzate per le transazioni offrono agli attori delle minacce una nuova superficie di attacco. Anche l’hacking biometrico potrebbe diventare una possibilità concreta a causa delle componenti AR e VR presenti nelle città virtuali, rendendo più facile per un criminale informatico rubare la mappatura delle impronte digitali, i dati di riconoscimento facciale o le scansioni della retina per poi utilizzarli a scopi malevoli. Inoltre, le applicazioni, i protocolli e le transazioni all’interno di questi ambienti sono tutti possibili obiettivi per gli avversari.
Indipendentemente dal fatto che si lavori da qualsiasi luogo, che si apprenda da qualsiasi luogo o che si facciano esperienze immersive da qualsiasi luogo, la visibilità, la protezione e la mitigazione in tempo reale insieme all’endpoint detection and response (EDR) avanzato sono fondamentali per consentire l’analisi, la protezione e la bonifica in tempo reale. A tal proposito, il Country manager afferma: "Baldoni, il direttore dell'Agenzia per la cybersicurezza, ha detto che in Italia servono circa 100.000 esperti solo in ambito cybersecurity e il loro piano graduale di crescita e la loro difficoltà a trovare esperti deriva dal fatto che c'è un'oggettiva mancanza. Fortinet sta puntando molto anche sulla formazione con programmi gratuiti. Uno è un potente programma di certificazione su otto livelli: si chiama Network Security Expert dai livelli base fino al massimo esperto di una rete e del dominio. Sono le certificazioni che sono ritenute essenziali, molto ricercate sul mercato e quindi danno una possibilità sia a chi vuole riqualificarsi sia a chi si affaccia per la prima volta sul mercato del lavoro. Abbiamo attivato di recente la Fortinet security Academy in collaborazione con università, come il Politecnico di Bari o l’università della Calabria, e con anche alcune scuole professionali (come Consorzio Elis a Roma) proprio per contribuire gratuitamente a seminare consapevolezza e conoscenza. Allo stesso modo anche per la cybersecurity l'importanza della formazione e la predisposizione a certi comportamenti sono ugualmente importanti al fatto di dotarsi un'infrastruttura di sicurezza. Qui nasce ancora il problema legato alle piccole e medie imprese. Infatti anche l’azienda che investe milioni in cybersecurity, la più avanzata a livello culturale e a livello di budget, non sarà mai completamente al sicuro se anche i fornitori di servizi, di software o aziende più piccole che fanno comunque parte del proprio ecosistema digitale non sono altrettanto adeguatamente protette".
