“Quando”, non “se”. Per i team di sicurezza informatica finanziaria, affrontare i normali attacchi informatici fa parte del lavoro. Quasi il 23% di tutti gli attacchi informatici è stato rivolto agli istituti finanziari nel 2021. E il 63% degli istituti finanziari ha subito un aumento degli attacchi distruttivi lo scorso anno.
Diversi fattori stanno plasmando il panorama odierno delle minacce per i servizi finanziari:
- Atteggiamenti normativi e trasformazioni digitali affrettate stanno comprimendo i team di sicurezza
- Sia gli aggressori orientati al profitto che i gruppi sponsorizzati dagli stati-nazione prendono di mira i servizi finanziari più spesso
- Le minacce avanzate che utilizzano tecniche sofisticate e imitano azioni legittime possono aggirare i controlli di sicurezza basati sulla scansione
Sfortunatamente, la mitigazione efficace di questi rischi non avverrà con i controlli di sicurezza dello status quo o con stack di soluzioni universali. Invece, è tempo che le organizzazioni creino potenti Defense-in-Depth (DiD).
La trasformazione digitale crea nuovi rischi e riaffiora quelli vecchi
La trasformazione digitale ha alcuni lati negativi. In generale, più gli ambienti IT finanziari sono connessi, maggiore è il rischio di violazione. Un’integrazione più profonda delle reti finanziarie nel cloud offre agli attori delle minacce nuovi punti di accesso alla rete e riaccende i vettori di attacco dormienti.
Tuttavia, anche con la trasformazione digitale, le istituzioni finanziarie rimarranno dipendenti dai server legacy per un po’ di tempo. E queste build prevalentemente Linux e Unix sono spesso vecchie di decenni e non protette o coperte solo da soluzioni antivirus (AV) legacy. Moderne soluzioni di rilevamento e risposta degli endpoint (EDR). sono sfidad di Lavorando in a eredità ambiente di sistema. (Non proteggere i server Linux con soluzioni Windows.) Tendono a consumare troppo risorse e contrassegnano i processi legacy di routine come potenziali minacce.
Per proteggere i server legacy, i team di sicurezza si affidano a strategie come la segmentazione e l’isolamento della rete. Tuttavia, con l’aumento della complessità della rete, aumenta anche il rischio dei server legacy di essere esposti inconsapevolmente.
Un altro rischio nella trasformazione digitale del settore finanziario è l’uso crescente di software di terze parti e SaaS. Come ha dimostrato l’hacking di SolarWinds, il rischio della catena di approvvigionamento non è mai lontano con il software on-demand. In uno studio VMWare del 2022, circa 6 istituzioni finanziarie su 10 hanno affermato di aver notato un aumento degli attacchi alla catena di approvvigionamento quest’anno, un aumento del 58% rispetto all’anno precedente.
Eventi come fusioni e acquisizioni aggravano ulteriormente questi rischi introducendo più fonti di vulnerabilità in una rete.
Ma forse la principale fonte di rischio di trasformazione digitale per le istituzioni finanziarie è lo spostamento di processi, carichi di lavoro e archiviazione dei dati nel cloud. La maggior parte delle migrazioni cloud è piena di vulnerabilità. Ad esempio, le macchine virtuali di Microsoft Azure hanno un tasso di configurazione errata di oltre il 60%.
Attacchi avanzati contro le istituzioni finanziarie
L’ambiente di sicurezza che circonda le istituzioni finanziarie è una medaglia a due facce. Da un lato ci sono le vulnerabilità create dalle stesse istituzioni finanziarie. Dall’altro ci sono le minacce avanzate.
Attacchi fileless, attacchi zero-day, ransomware, attacchi alla catena di approvvigionamento e altri attacchi mirati alla memoria in fase di esecuzione erano un tempo le armi degli attori delle minacce persistenti avanzate (APT). Sono stati visti raramente in natura. Oggi sono ovunque. Un rapporto Picus del 2021 rileva che l’evasione della difesa è la tattica MITRE ATT&CK più comune vista nelle catene di attacco.
L’anno scorso, tre dei cinque metodi ATT&CK più comuni riguardavano la memoria del dispositivo. Le vecchie minacce specifiche del settore bancario come il trojan Emotet stanno riemergendo con nuove capacità in memoria.
Esiste anche un numero crescente di minacce avanzate che prendono di mira Linux. Il ceppo di malware Symbiote scoperto all’inizio di quest’anno è progettato per evitare il rilevamento basato sulla telemetria in ambienti Linux.
Gli attori delle minacce utilizzano strumenti come Cobalt Strike per indugiare nelle reti finanziarie, spostarsi lateralmente e aprire backdoor. Quindi utilizzano l’esecuzione di codice in remoto o implementano RAT come precursori di attacchi devastanti come il ransomware. Il team di risposta agli incidenti di Morphisec vede spesso minacce come queste inattive, in attesa di opportunità per trasferirsi in ambienti server critici.
Il rischio geopolitico sta anche aumentando la frequenza di questo tipo di minacce che prendono di mira le istituzioni finanziarie.
Altri fattori che guidano la necessità di una maggiore sicurezza informatica finanziaria
Le istituzioni finanziarie sono sempre state vincolate da un’ampia gamma di regole e standard legati al cyber. Ora, la visione delle autorità di regolamentazione della sicurezza informatica e della privacy sta cambiando.
La nuova legislazione in evoluzione dal GDPR dell’UE al CPRA della California mostra come le autorità di regolamentazione stanno cambiando. Il loro obiettivo era garantire l’integrità e la disponibilità dei sistemi IT; ora si tratta sempre più di rimediare ai rischi di riservatezza dei consumatori. 
I team di sicurezza finanziaria sovraccaricati dovranno dedicare più tempo al rispetto delle nuove normative incentrate sulla privacy. Un rapporto rileva come un CISO e il suo team trascorrano il 40% del loro tempo a conciliare i requisiti di varie agenzie di regolamentazione. A volte a scapito dell’effettiva sicurezza informatica.
Il mancato rispetto delle normative può significare multe elevate e azioni legali di gruppo. La violazione dei dati della banca Capital One nel 2019 ha comportato una sanzione di 80 milioni di dollari e numerose cause legali. È sempre più probabile che i consumatori incolpino le istituzioni finanziarie, non gli hacker, per le violazioni dei dati.
In passato, alcune istituzioni finanziarie potevano fare affidamento sull’assicurazione informatica per coprire la responsabilità parziale per violazioni che coinvolgono le informazioni di identificazione personale (PII) dei clienti. Ma l’assicurazione sta diventando sempre più costosa. Ed è sempre più difficile ottenere una copertura in primo luogo, quindi questa potrebbe non essere più una possibilità per molte istituzioni. Secondo quanto riferito, JPMorgan Chase ha già ridotto la sua assicurazione sulla sicurezza informatica. 
I fornitori di assicurazioni come i Lloyd’s di Londra intendono escludere gli attacchi informatici sostenuti dallo stato dalla copertura a partire dal 2023. Un recente sondaggio Trellix ha rilevato che il 45% degli istituti finanziari e degli assicuratori che hanno subito una violazione ha affermato di ritenere che dietro ci fosse la Russia.
Anche quando l’assicurazione informatica è possibile, non garantisce la tranquillità. Controintuitivamente, può effettivamente aumentare il rischio di attacchi informatici delle istituzioni finanziarie. Un rappresentante del famigerato gruppo di ransomware REvil ha definito le organizzazioni con assicurazione informatica “uno dei bocconcini più gustosi”. Ha detto che prima hanno hackerato gli assicuratori, “… per ottenere la loro base di clienti e lavorare in modo mirato da lì. E dopo aver esaminato l’elenco, colpisci l’assicuratore stesso”.
La difesa in profondità è fondamentale per le istituzioni finanziarie
Grazie al malware evasivo in grado di spostarsi lateralmente, gli attori delle minacce che prendono di mira il settore finanziario hanno molte strade da sfruttare. Questi vanno da dispositivi ed endpoint IoT a server esposti e vulnerabilità nei prodotti della catena di approvvigionamento, nonché il software utilizzato da appaltatori o terze parti.
Tutti questi vettori di attacco offrono un potenziale percorso verso server critici e profitti. Per contrastarli, i team di sicurezza degli istituti finanziari devono implementare le migliori soluzioni su base a più livelli.
Questo è ciò che fa Defense-in-Depth (DiD). Anziché fare affidamento su un’unica soluzione o su un set di soluzioni fornito dal fornitore, DiD utilizza più livelli di meccanismi difensivi per proteggere la rete e le risorse di un’organizzazione, creando ridondanza critica.
Con DiD, anche se un livello del tuo stack di sicurezza si guasta, c’è un altro livello di fallback per rilevare/prevenire la minaccia.
MTD e Difesa in profondità
A livello macro, DiD controlla il fatto che nessun livello o controllo rileverà ogni minaccia che tenta di infiltrarsi nell’ambiente di un’organizzazione. Tuttavia, la stessa logica è vera anche all’interno di ogni livello.
Gli strumenti di sicurezza tradizionali come l’antivirus di nuova generazione (NGAV), l’EDR, le piattaforme di protezione degli endpoint (EPP) e il rilevamento e la risposta estesi (XDR) sono utili per individuare le minacce note con firme riconoscibili. Ma non sono efficaci nel rilevare e fermare il malware sconosciuto e le minacce senza file, in memoria ed evasive. Queste erano tre delle cinque minacce MITRE ATT&CK più comuni viste l’anno scorso. Per fermare efficacemente queste minacce avanzate, è necessario un altro livello, come la tecnologia Moving Target Defense (MTD).
MTD è progettato per bloccare le minacce avanzate su endpoint e server. A differenza dei tradizionali strumenti di sicurezza informatica, MTD non ha bisogno di trovare una firma o un’attività che sembri pericolosa. Al contrario, MTD trasforma l’ambiente di memoria durante il runtime per impedire alle minacce di trovare i propri obiettivi. Esce dalla corsa agli armamenti reattiva delle tradizionali soluzioni di sicurezza informatica, offrendo sicurezza proattiva, automatizzata e preventiva. Ciò mantiene le risorse di memoria critiche come le password hash nascoste agli attori delle minacce e impedisce a tecniche come l’iniezione di shell e gli exploit di overflow del buffer di trovare i loro obiettivi.
Scopri di più sul panorama delle minacce alla sicurezza informatica finanziaria e sulle migliori pratiche per fermare gli attacchi informatici all’evento virtuale sui servizi bancari e finanziari di Morphisec. Martedì 25 ottobre dalle 13:00 alle 15:00 ET, registrati per assicurarti il tuo posto ora.