AO_462

ransomware AUTOMAZIONE OGGI 462 SOLUZIONI SOFTWARE PER L’INDUSTRIA 89 per colmarne l’assenza. Il panorama ransomware si rivela quindi resiliente, con nuovi attori pronti a sostituire quelli bloccati, allet- tati dalla prospettiva di guadagni facili e da una relativa garanzia di impunità. Anche per questo si rivela necessario un monitoraggio continuo per identificare e contrastare le nuove minacce emer- genti. Tra i settori più colpiti, al primo posto troviamo il manifat- turiero, con il 16,4% di tutti gli attacchi ransomware del primo semestre 2024, seguito da sanità (9,6%) ed edilizia (9,4%). A livello geografico, gli Stati Uniti si confermano il paese più colpito, con 917 compromissioni, pari al 52% del totale. Seguono, in ordine di impatto, Canada, Regno Unito, Germania, Italia, Francia, Spagna, Brasile, Australia e Belgio. In continua evoluzione Più in generale, il panorama degli attacchi mirati all’estorsione, ransomware compreso, si conferma in continua trasformazione. Inizialmente, l’obiettivo principale era semplicemente quello di crittografare i file delle vittime, rendendoli inaccessibili fino al pagamento di un riscatto. Questa prima fase, tuttavia, ha perso efficacia con il miglioramento delle difese aziendali e la crescente adozione di strategie di backup. Di conseguenza, gli attaccanti hanno evoluto le loro tattiche, passando a una seconda fase in cui, oltre alla crittografia, esfiltravano anche i dati sensibili delle vittime. Questa ‘doppia estorsione’ ha aggiunto un ulteriore livello di pressione, con la minaccia di divulgare pubblicamente i dati ru- bati nel caso in cui il riscatto non venisse pagato. Ora stiamo assi- stendo all’emergere di una terza fase, ancora più insidiosa, in cui l’obiettivo principale è la disruption intenzionale delle operazioni aziendali, con gli attaccanti che cercano attivamente di sabotare i sistemi, bloccare l’accesso dei clienti e causare prolungati pe- riodi di inattività. Questo aumenta significativamente l’impatto dell’attacco, costringendo le aziende a interrompere le attività e subire perdite finanziarie e reputazionali, come è avvenuto nella maggior parte degli incidenti registrati nel 2024. L’evoluzione descritta amplifica ulteriormente la pressione esercitata sulle vit- time, che si riflette anche nei riscatti, che hanno subìto un’impen- nata nel 2024, con la richiesta iniziale media aumentata di quasi l’80%, a raggiungere 1,25 milioni di dollari. Questo incremento suggerisce che gli attaccanti stanno diventando più aggressivi nel determinare il valore dei dati e delle operazioni delle vittime. Come proteggerci? Di fronte alla crescente minaccia del ransomware è necessario proteggerci. Un esempio di protezione ci viene fornito da Palo Alto Networks e dalla sua piattaforma completa di soluzioni di network security, e dalla recente Cortex Cloud con funzionalità di cloud detection and response (CDR) e della piattaforma di prote- zione delle applicazioni cloud native (Cnapp). Cortex Cloud ha in sé interessanti funzionalità, tra cui la sicurezza applicativa , che crea applicazioni sicure e previene i problemi in fase di sviluppo prima che diventino problemi di produzione che possono essere sfruttati dagli attaccanti; postura del cloud , che migliora la ge- stione dei rischi multi-cloud con una nuova prioritizzazione ba- sata su intelligenza artificiale, correzioni guidate per risolvere più rischi con un’unica azione e rimedi automatici; cloud runtime che blocca gli attacchi in tempo reale; e infine una piattaforma SOC di riferimento per le aziende e il cloud, in grado di coprire più di quanto qualsiasi Siem o gestione delle informazioni e degli eventi di sicurezza possa offrire. Il SOC in particolare sta subendo una trasformazione significativa. Con il continuo investimento da parte degli gli attori delle mi- nacce in nuovi strumenti come machine learning, automazione e intelligenza artificiale, i Security Operations Center - SOC, costruiti attorno a soluzioni Siem - Security Information and Event Mana- gement tradizionali non sono più scalabili e flessibili a sufficienza per tenere il passo con la trasformazione digitale, le iniziative cloud e le campagne di attacco avanzate. L’odierna superficie di attacco aziendale, sempre più estesa, moltiplica i dati sulla sicu- rezza, che sono più complessi e frammentati rispetto a pochi anni fa e rimangono in sistemi separati. Di conseguenza, gli analisti SOC devono analizzare manualmente i dati per dare priorità agli avvisi e intraprendere azioni efficaci. I security engineer faticano a integrare nuovi flussi di dati e a creare nuove regole di rileva- mento e playbook, mentre i security architect integrano l’ultimo nuovo prodotto puntuale. I risultati sono prevedibili: stanchezza da allerta, indagini lente e attaccanti che si nascondono nelle reti per mesi. Il modo moderno di scalare un SOC efficace è con l’au- tomazione, sfruttando intelligenza artificiale e machine learning come base, e chiamando gli analisti a lavorare su un piccolo in- sieme di incidenti ad alto rischio. Proprio come un veicolo a guida autonoma non richiede un controllo costante e diretto da parte dell’operatore, un SOC guidato dall’automazione è in grado di ge- stire la maggior parte degli avvisi ripetuti a basso rischio, le attività di analisi e le mitigazioni. Palo Alto Networks - www.paloaltonetworks.it Foto Shutterstock