CrowdStrike, “Le difese tradizionali sono ormai inefficaci”
Il Global Threat Report 2025 di CrowdStrike evidenzia un boom di attacchi senza l’utilizzo di malware e un incremento delle attività di social engineering potenziate dalla GenAI.
Nel 2024 gli attacchi informatici sono aumentati in velocità, volume e sofisticazione. Ad analizzare in dettaglio il nuovo scenario è l’ultimo CrowdStrike Global Threat Report che, oltre a fotografare tendenze, eventi e minacce del 2024, offre utili suggerimenti per contrastare gli attacchi e proteggere efficacemente le proprie organizzazioni.
Quello che appare con evidenza è che gli avversari continuano a sfruttare soprattutto due debolezze dei loro target: dipendenti suscettibili a tecniche di social engineering e sistemi privi di controlli di sicurezza avanzati. Una volta entrati nei sistemi, agiscono in pochi secondi, muovendosi furtivamente attraverso le reti per sferrare gli attacchi. Nel 79% dei casi l’accesso iniziale è ottenuto senza utilizzare malware: una percentuale che rappresenta il doppio rispetto al 40% del 2019. In sostanza, gli avversari preferiscono utilizzare attività dirette di tipo hands-on-keyboard per mescolarsi con gli utenti legittimi e ostacolare la rilevazione delle loro operazioni.
La diffusione del vishing
“In fase di attacco inziale abbiamo osservato, a livello generale, un incremento del 442% nell’utilizzo del voice phishing (vishing) tra la prima e la seconda metà del 2024 e del +50% negli annunci di Access broker, hacker specializzati nella vendita di accessi ai sistemi informatici delle aziende” afferma Adam Meyers, Head of Counter Adversary Operations di CrowdStrike (nella foto in alto), sottolineando come il 52% delle vulnerabilità osservate da CrowdStrike si sia legato nel 2024 all’accesso iniziale. A questi accessi inziali sono seguiti movimenti laterali con un tempo di medio di breakout sceso a 48 minuti, con il caso più veloce registrato a 51 secondi. Una finestra temporale che non lascia spazio di reazione.
Ciò che occorre fare, quindi, è intervenire sulla protezione dei punti di ingresso prima che gli attaccanti riescano a stabilire una presenza persistente nei sistemi. Con una precisazione importante. “L’uso crescente di nuove tattiche di social engineering evidenzia come il rafforzamento delle difese e l’aumento d’efficacia degli strumenti di sicurezza basati sull’host, come le soluzioni EDR, stiano spingendo gli attaccanti a fare leva sull’anello più debole della catena: l’uomo. Con le attività di social engineering chi attacca cerca di accedere a precisi account, portando gli utenti a fornire accesso remoto ai sistemi presi di mira. Si spiega così l’incremento impressionante nel numero di campagne che nel 2024 hanno utilizzato tecniche di ingegneria sociale basate sul telefono per arrivare a ottenere l’accesso iniziale. Tra queste spiccano il vishing e il social engineering tramite help desk, tecniche che segnano un importante cambiamento nei metodi di attacco dell’ecosistema eCrime” osserva Meyers.
La GenAi a servizio del social engineering
In base al report pubblicato da CrowdStrike l’utilizzo della GenAI si sta diffondendo tra gli attaccanti: la sua bassa barriera d’ingresso la rende, infatti, ampiamente accessibile. Nel corso del 2024 è stata sfruttata soprattutto a supporto delle campagne di social engineering e di operazioni informatiche ad alta intensità. La motivazione è semplice: gli strumenti GenAI sono in grado di creare output altamente convincenti senza richiedere prompt precisi, formazione di modelli personalizzati o particolare fine-tuning. “Per capire il loro grado di efficacia è sufficiente osservarne il click rate delle e-mail di phishing. Quelle generate dall’AI hanno un’apertura pari al 54% contro il 12% di quelle scritte da un umano” evidenzia Meyers, ricordando come sempre più attaccanti stiano utilizzando la GenAI e i modelli linguistici di grandi dimensioni anche per supportare le operazioni di guerra cibernetica, soprattutto per assistere nella scrittura di script e nello sviluppo di strumenti e malware.
Attenzione a servizi cloud e dispositivi di rete
Il report CrowdStrike evidenzia anche che nel 2024 gli attacchi ai servizi cloud sono aumentati del 26% rispetto al 2023. Il 35% di queste intrusioni ha visto, anche in questo caso, un accesso iniziale tramite account validi, oltre all’utilizzo di strumenti di gestione dell’ambiente cloud per il movimento laterale e l’abuso dei tool di command line degli stessi cloud provider.
Parallelamente, nel 2024 gli avversari hanno continuato a sferrare attacchi ai dispositivi alla periferia della rete, dove la visibilità degli EDR tradizionali è spesso limitata. “Gli host non gestiti sono rimasti vettori di attacchi iniziali particolarmente popolari per tutto il 2024. I dispositivi di rete, in particolare, sono ampiamente sfruttati per la loro esposizione” puntualizza Meyers, spiegando come gli attaccanti, in questo caso, siano più inclini a sfruttare vulnerabilità che consentono l’esecuzione remota di codice non autenticato.
Le cinque raccomandazioni CrowdStrike
Per il 2025 CrowdStrike prevede che gli attaccanti continuino ad attaccare i dispositivi alla periferia della rete, in particolare quelli a fine vita, e che l’accesso alle applicazioni SaaS diventi una minaccia crescente. “Gli avversari sfruttano le lacune nell’identità, fanno leva sul social engineering e si muovono tra i diversi domini senza essere individuati, rendendo inefficaci le difese tradizionali. Per fermare le violazioni è necessaria una piattaforma unificata che metta in correlazione identità, cloud e attività degli endpoint per eliminare i punti ciechi in cui si nascondono gli avversari” chiarisce Meyers, che a conclusione della presentazione del report dettaglia cinque importanti suggerimenti per la protezione delle aziende.
Innanzitutto, mettere al sicuro le identità. Le organizzazioni dovrebbero adottare soluzioni MFA resistenti al phishing per prevenire l’accesso non autorizzato e promuovere policy robuste per identità e accessi. Gli strumenti di rilevamento delle minacce devono monitorare i comportamenti attraverso gli endpoint e gli ambienti on-premises, cloud e SaaS per individuare escalation dei privilegi, accessi non autorizzati o la creazione di account backdoor. L’integrazione di questi strumenti con le piattaforme XDR garantisce una visibilità completa e una difesa unificata contro gli avversari. Inoltre, le organizzazioni dovrebbero educare gli utenti a riconoscere i tentativi di vishing e phishing, mantenendo un monitoraggio proattivo per rilevare e rispondere alle minacce basate sull’identità.
Secondo suggerimento, eliminare i gap di visibilità cross domain. Le organizzazioni devono aggiornare le proprie strategie di rilevamento e risposta. Le soluzioni XDR e i SIEM offrono una visibilità unificata su endpoint, reti, ambienti cloud e sistemi di identità, consentendo di correlare comportamenti sospetti e vedere il percorso completo dell’attacco. Un threat hunting di tipo proattivo e il threat management migliorano ulteriormente il rilevamento, identificando i potenziali modelli di attacco e fornendo approfondimenti su tattiche, tecniche e procedure degli avversari.
Terzo suggerimento, difendere il cloud come infrastruttura critica. Le piattaforme di protezione delle applicazioni native del cloud (CNAPP) con capacità di rilevamento e risposta nel cloud (CDR) sono fondamentali per contrastare le minacce. Queste soluzioni offrono agli operatori una visione unificata della loro postura di sicurezza nel cloud, aiutando a rilevare rapidamente, dare priorità e correggere le configurazioni errate, le vulnerabilità e le minacce. Anche le revisioni regolari sono fondamentali. Gli strumenti automatizzati possono rilevare impostazioni di archiviazione eccessivamente permissive, API esposte e vulnerabilità non corrette. Le revisioni frequenti degli ambienti cloud assicurano che i permessi non utilizzati e le configurazioni obsolete vengano affrontate tempestivamente.
Quarto suggerimento, prioritizzare le vulnerabilità. Le organizzazioni devono dare priorità a patching regolari e all’aggiornamento dei sistemi critici, in particolare dei servizi esposti a Internet che sono frequentemente presi di mira, come i server web e i gateway VPN.
Ultimo suggerimento, conoscere i propri avversari. Quando un attacco informatico si sviluppa in minuti, essere preparati può fare la differenza. Un approccio basato sull’intelligence consente ai team di sicurezza di andare oltre la difesa reattiva, comprendendo quale avversario li sta attaccando, come opera e quali sono i suoi obiettivi. Sebbene la tecnologia sia fondamentale per rilevare e fermare le intrusioni, l’utente finale rimane comunque un anello cruciale per fermare le violazioni. Le organizzazioni dovrebbero avviare programmi di sensibilizzazione degli utenti per combattere la minaccia continua di phishing e le tecniche di ingegneria sociale correlate.
