Ancora oggi, in quella che viene continuamente definita epoca dell’intelligenza artificiale, più di due terzi delle violazioni di cybersicurezza nel mondo avvengono grazie all’errore umano. Nella giornata mondiale delle password è bene ricordarlo. Per il Data Breach Investigations Report di Verizon, che quest’anno ha analizzato a livello globale 30.458 incidenti, sono ancora le azioni non intenzionali delle persone ad avere un ruolo nelle violazioni. In più di due terzi (68%) dei casi c’è stata “un’azione umana non commessa intenzionalmente”.
L’AI è un pericolo che continua a crescere secondo la maggior parte dei report sulla cybersecurity, perché ha messo in mano degli hacker uno strumento potentissimo sia per creare contenuti ingannevoli, sia per sfruttare più velocemente le vulnerabilità informatiche.
Il paradosso è che per ora gli hacker non hanno fretta di fare un corso di aggiornamento sull’AI: il ritardo nell’applicare le patch di sicurezza sulle vulnerabilità informatiche e gli errori umani permettono ancora di utilizzare tecniche meno aggiornate.
Secondo il report, infatti, l’ascesa dell’intelligenza artificiale è risultata meno preoccupante del previsto (per ora). Il rischio non va naturalmente ignorato, visto che “l’adozione dell’AI per ottenere l’accesso agli asset aziendali di valore rappresenta una sfida che si prospetta all’orizzonte”, dice Chris Novak, Sr. Director of Cybersecurity Consulting di Verizon Business e uno degli esperti della commissione cybersecurity messa in piedi dal presidente Usa Joe Biden per studiare le maggiori minacce alla sicurezza cibernetica: il Cyber safety review board, o Csrb, creato nel 2021.
Oggi però, secondo Novak, “l’incapacità da parte delle aziende di applicare patch alle vulnerabilità di base fa sì che i cyber criminali non abbiano bisogno di far progredire rapidamente il loro approccio sull’AI e concentrino l’uso di quest’ultima sull’accelerazione del social engineering”.
Nel report si legge che nonostante si sia tenuta in considerazione la Gen AI nell’analisi degli attacchi, non ci sono grosse tracce del suo utilizzo negli incidenti analizzati a livello globale (“Ma se fossimo controllati da un’AI malvagia, diremmo proprio questo”, scherzano gli autori nel rapporto).
Può darsi che gli hacker stiano sperimentando nuove soluzione AI, e ci sono prove che alcune di queste tecnologie vengono usate per imparare a programmare se si analizzano le attività di alcuni attori statali, dice il report. “Ma in realtà non sembra ci sia una svolta fosse imminente o che qualsiasi ottimizzazione si registri già ora nelle analisi degli attacchi”. L’unica eccezione è la tecnologia deepfake per creare contenuti falsi, che sta già creando una buona percentuale delle frodi segnalate.
Le vulnerabilità zero-day
Al di là dell’elemento umano, spesso c’è una scarsa preparazione da parte di intere organizzazioni.
L’analisi del Known Exploited Vulnerabilities (KEV) della Cybersecurity Infrastructure and Security Agency (CISA) ha rivelato che, in media, le aziende impiegano 55 giorni per rimediare al 50% delle vulnerabilità critiche dopo il rilascio delle patch. In media per rilevare gli sfruttamenti di massa su Internet è di cinque giorni. Insomma, a cosa serve agli hacker velocizzare con i cosiddetti exploit delle vulnerabilità se le aziende ci mettono comunque ancora giorni ad accorgersene?
Anche senza AI, le vulnerabilità zero-day (quelle di cui gli sviluppatori non sono a conoscenza) rimangono “una minaccia persistente per le imprese. Lo sfruttamento delle vulnerabilità in qualità di punto di accesso iniziale è aumentato rispetto allo scorso anno, figurando come il 14% del totale delle violazioni. Questa forte crescita è stata determinata principalmente dalla portata e dalla frequenza degli exploit zero-day impiegata da chi sferra attacchi ransomware, in particolare quella di MOVEit che è stata largamente sfruttata in tal senso”, si legge nel report, che fa riferimento alla vulnerabilità del software di scambio di file, definità da molti il più grande ‘hack’ del 2023.
Il tema si lega a come sono strutturate le catene di fornitura delle aziende, secondo Alistair Neil, EMEA Senior Director of Security di Verizon Business: “L’anno scorso, il 15% delle violazioni ha coinvolto un partner, compresi i data custodian, le vulnerabilità del software di terze parti e altri problemi diretti o indiretti nella catena di fornitura”.
Gli altri dati: quanto costano i breach…
Le violazioni confermate con espropriazione di dati sono 10.626, ma la percentuale di breach andate a buon fine è molto più alta in Europa, Medio Oriente e Africa (EMEA), dove sono 6.005 su 8.302 casi informatici.
Nell’area Emea la metà delle violazioni (49%) è iniziata internamente. “Ciò suggerisce un’alta diffusione dell’abuso di privilegi e altri errori umani”, dice il report. “I tipi di dati compromessi più comunemente sono quelli personali (64%), interni (33%) e le credenziali (20%)”.
Anche nell’epoca delle tensioni geopolitiche il motivo principale (nel 62% dei casi) per commettere un attacco informatico sono i soldi. Ogni violazione andata a buon fine, nel caso del ransomware e quindi delle estorsioni, costa in media 46.000 dollari.
… e l’elemento umano
Nel report il concetto di errore da parte delle persone è collegato agli attacchi di social engineering degli hacker sotto il grande cappello delle azioni umane non dolose, che generano la maggior parte delle intrusioni a livello globale. La percentuale precisa, il 68%, è simile a quella dello scorso anno.
Nessun miglioramento quindi, tranne una migliore propensione a riconoscere (o a capire) i propri errori: l’11% di coloro che hanno cliccato su una e-mail truffa lo ha anche riportato. In media, a quelle persone (e a chi non si è accorto di aver fatto qualcosa di sbagliato) sono bastati meno di 60 secondi per cadere nella trappola di una mail di phishing).
“La continua presenza dell’elemento umano nelle violazioni dimostra che le organizzazioni operanti in EMEA hanno bisogno di invertire questa tendenza fornendo priorità alla formazione e alla sensibilizzazione sulle migliori pratiche di cybersecurity. Vi è però da sottolineare l’aumento delle autodenunce che è promettente e indica un cambiamento culturale importante: denota una maggiore e più diffusa consapevolezza nella sicurezza informatica tra i dipendenti”, ha dichiarato Sanjiv Gossain, Vicepresidente EMEA di Verizon Business.
Cybersecurity, gli attacchi costano sempre di più alle aziende. E ora il ‘capo’ è un problema
