Esplorare gli attacchi criptati in mezzo alla rivoluzione dell'IA

Introduzione

I ricercatori di Zscaler ThreatLabz hanno analizzato 29,8 miliardi di minacce bloccate nascoste nel traffico cifrato nel cloud Zscaler, nel periodo che va da ottobre 2022 a settembre 2023. I loro risultati sono stati presentati nel Report del 2023 di Zscaler ThreatLabz: "Ultimi dati sugli attacchi cifrati". Oltre alle minacce bloccate, questo report usa le informazioni provenienti da 500 bilioni di segnali giornalieri e 360 miliardi di transazioni giornaliere provenienti da Zscaler Zero Trust Exchange™. In questo post del blog, analizzeremo i principali risultati evidenziati.

Attacchi criptati

Secondo il Rapporto sulla trasparenza di Google¹, il traffico cifrato ha registrato una crescita molto significativa nell'ultimo decennio, raggiungendo oggi il 95% del traffico globale, una percentuale che era pari al 48% a dicembre del 2013. Non sorprende che il traffico cifrato, un tempo ritenuto la scelta sicura per le attività online, ora ospiti anche la maggior parte delle minacce informatiche, come malware, truffe di phishing e fughe di dati.

L'85,9% degli attacchi è cifrato

Quasi l'86% degli attacchi utilizza canali cifrati nelle varie fasi della kill chain. Dalle fasi iniziali del phishing e della distribuzione di malware, alle sottigliezze delle attività di comando e controllo e all'esfiltrazione dei dati, i criminali informatici sfruttano la crittografia per mascherare le loro attività. Per contrastare questo problema, Zscaler consiglia alle organizzazioni di ispezionare in modo proattivo tutto il traffico cifrato al fine di rilevare, decifrare e bloccare questi attacchi.

Il 78,1% delle minacce cifrate è costituito da malware

I criminali informatici nascondono diversi tipi di minacce nel traffico cifrato. Tuttavia, sono i malware a predominare, rappresentando il 78,1% degli attacchi cifrati bloccati dal cloud Zscaler, con script dannosi, payload, contenuti web, siti web e allegati e-mail.

_{Figura 1: distribuzione delle minacce cifrate}

L'aumento di malware cifrati bloccati evidenzia la tendenza secondo cui questi autori di minacce cercano di stabilire un punto di appoggio iniziale nell'ambiente delle vittime, eludendo le tecnologie di rilevamento legacy che spesso hanno difficoltà a ispezionare il traffico TLS su larga scala.

Il phishing è incrementato del 13,7%

La crescita osservata negli attacchi di phishing è probabilmente alimentata dalla disponibilità di strumenti di intelligenza artificiale e di servizi di phishing già pronti da usare di tipo "plug-and-play" (noti anche come Phishing as a Service), che rendono molto più semplice l'esecuzione di campagne di phishing. 

I cinque marchi più colpiti dal phishing sono:

• Microsoft
• OneDrive
• SharePoint
• Adobe
• Amazon

_{Figura 2: campagna di phishing a tema Adobe} 

Il settore manifatturiero rimane il più colpito

Il settore manifatturiero rimane il più colpito, avendo subito il 31,6% degli attacchi cifrati.

_{Figura 3: una tabella che mostra le tendenze degli attacchi cifrati per settore} 

Gli operatori del settore manifatturiero hanno registrato inoltre il numero più elevato di transazioni IA/ML rispetto a qualsiasi altro settore, con oltre 2,1 miliardi transazioni relative a IA ed ML. Con la diffusione, in questo settore, di fabbriche intelligenti e Internet delle cose (IoT), la superficie di attacco si estende ed espone le aziende a maggiori rischi per la sicurezza, creando ulteriori punti di ingresso che i criminali informatici possono sfruttare per interrompere la produzione e le catene di approvvigionamento. Sui dispositivi connessi in uso nel settore, l'uso di popolari applicazioni di intelligenza artificiale generativa, come ChatGPT, incrementa il rischio di subire fughe dei dati sensibili sui canali cifrati.

Zscaler protegge le organizzazioni dagli attacchi cifrati su larga scala

Il risultato più importante di questo report è il seguente: senza l'ispezione dei canali cifrati, è impossibile rilevare eventuali perdite di dati o infiltrazioni di minacce avanzate nell'ambiente. Per aiutare i nostri clienti a essere sempre al sicuro, Zscaler ha bloccato quasi 30 miliardi di minacce sui canali cifrati nel corso del 2023: un incremento del 24,3%, rispetto ai 24 miliardi del 2022.

Attualmente, la maggior parte degli attacchi sfrutta la crittografia SSL o TLS, che richiede molte risorse per essere ispezionata su larga scala. Per un'ispezione ottimale, è necessaria un'architettura proxy nativa del cloud. Sebbene i firewall legacy supportino il filtraggio dei pacchetti e l'ispezione stateful, le limitazioni delle risorse li rendono poco adatti a questo compito. Ecco perché è fondamentale che le organizzazioni implementino architetture native del cloud in grado di ispezionare completamente il traffico cifrato, in linea con i principi dello zero trust.

_{Figura 4: l'ispezione TLS fornisce la massima visibilità per bloccare le minacce avanzate}

In che modo Zscaler aiuta a mitigare gli attacchi cifrati

Deepen Desai, Chief Security Officer di Zscaler, afferma:

"Sebbene il 95% del traffico web sia cifrato con HTTPS, vediamo che la grande maggioranza delle minacce viene attualmente trasmessa tramite i canali cifrati. Di conseguenza, tutto il traffico cifrato con SSL/TLS che non viene sottoposto all'ispezione inline per la protezione dalle minacce, può rappresentare un rischio molto significativo per le organizzazioni globali". 

Desai consiglia le seguenti soluzioni per far sì che le organizzazioni siano sempre protette dagli attacchi cifrati:

• Zero Trust Network Access (ZTNA): interrompi quante più fasi possibile della catena di attacco, massimizzando le possibilità di fermare gli attacchi anche quando gli aggressori riescono a eludere alcuni dei controlli di sicurezza. Consiglio di sostituire le apparecchiature vulnerabili, come le VPN e i firewall, con un approccio ZTNA per ispezionare e scansionare integralmente il traffico SSL/TLS.
• Zscaler Private Access (ZPA): implementa una sicurezza uniforme con una segmentazione di livello avanzato e collega gli utenti alle applicazioni, non all'intera rete. ZPA è una soluzione progettata per fornire agli utenti un accesso sicuro e diretto ad applicazioni specifiche, per garantire che il traffico di rete sia segmentato e che gli utenti non abbiano accesso all'intera rete.
• Zscaler Cloud Data Loss Prevention (DLP): integra Zscaler Cloud DLP per la prevenzione della perdita dei dati inline, con un'ispezione TLS completa per prevenire la perdita dei dati sensibili.

Le best practice per mitigare gli attacchi cifrati

Ogni strategia di sicurezza informatica dovrebbe includere controlli per ciascuna di queste fasi:

1. Riduzione della superficie di attacco. Rendi le app interne invisibili su Internet.
2. Prevenzione delle compromissioni . Utilizza un'architettura proxy nativa del cloud per ispezionare tutto il traffico inline e su larga scala con policy di sicurezza uniformi.
3. Blocco del movimento laterale. Collega gli utenti direttamente alle applicazioni (anziché alla rete) per ridurre la superficie di attacco e contenere le minacce tramite la deception e la segmentazione dei workload.
4. Blocco della perdita dei dati . Controlla tutto il traffico diretto a Internet, inclusi quello che si sposta su canali cifrati, e previeni il furto dei dati.

Se stai cercando di ridurre al minimo il rischio che la tua organizzazione subisca attacchi cifrati, nella tua strategia dovresti considerare questi consigli:

• Utilizza un'architettura nativa del cloud e basata su proxy per decifrare, rilevare e prevenire le minacce in tutto il traffico cifrato e su larga scala.
• Impiega una sandbox basata sull'IA per mettere in quarantena gli attacchi sconosciuti e bloccare i malware da paziente zero.
• Ispeziona tutto il traffico, in ogni momento, indipendentemente dal fatto che un utente sia a casa, presso la sede centrale o in viaggio, e assicurati che tutti siano protetti in modo uniforme dalle minacce cifrate.
• Una soluzione zero trust efficace interrompe tutte le connessioni, per consentire a un'architettura proxy inline di ispezionare tutto il traffico in tempo reale, incluso quello cifrato, prima che raggiunga la relativa destinazione, in modo da prevenire gli attacchi ransomware, i malware e molto altro.
• Proteggi i dati utilizzando policy granulari basate sul contesto, verificando le richieste di accesso e i diritti in base al contesto.
• Elimina la superficie di attacco collegando gli utenti direttamente alle app e alle risorse di cui hanno bisogno, mai alle reti.

Le best practice per proteggere le interazioni con IA ed ML

Considerando il rapido progresso e l'adozione diffusa delle applicazioni basate sull'IA, è fondamentale stabilire e seguire le best practice per garantire un uso responsabile e sicuro di queste tecnologie trasformative.

• Le organizzazioni devono adattare in modo proattivo le proprie policy per l'utilizzo e la sicurezza dell'IA, in modo da rimanere al passo con potenziali rischi e sfide. 
• È importante implementare l'ispezione TLS per le applicazioni chatbot pubbliche di IA, come ChatGPT, utilizzando policy di DLP granulari per prevenire la fuga di dati sensibili.
• È necessario garantire che l'uso degli strumenti di IA sia conforme a tutte le leggi e gli standard etici pertinenti, tra cui le norme sulla protezione dei dati e le leggi sulla privacy.
• Bisogna definire in modo chiaro la responsabilità relativa allo sviluppo e all'implementazione degli strumenti di IA, definendo i ruoli e le responsabilità all'interno dell'organizzazione per supervisionare i progetti.
• Lo sviluppo e l'integrazione degli strumenti di intelligenza artificiale dovrebbero seguire un Framework sicuro del ciclo di vita del prodotto (SPLC) per garantire il massimo livello di sicurezza.

Scopri di più

Scarica la tua copia completa del Report del 2023 di Zscaler ThreatLabz: "Ultimi dati sugli attacchi cifrati", per scoprire ulteriori approfondimenti e consigli su come gestire questi tipi di attacchi.

 

1. https://transparencyreport.google.com/https/overview?hl=en