Max Havey [00:00:02] Ciao e benvenuti a un'altra edizione del Security Visionaries Podcast, un podcast dedicato al mondo dei dati cibernetici e delle infrastrutture tecnologiche, che riunisce esperti da tutto il mondo e da diversi settori. Oggi diamo uno sguardo all'anno con le minacce con Ray Canzanese, Direttore di Netscape Threat Labs, che approfondisce alcune delle tendenze che ha osservato e cosa lo ha sorpreso dei risultati del 2023. Come va, Ray? Come va oggi?
Ray Canzanese [00:00:23] Ehi, buon New anno, Max. Felice di rivederti. Felice di essere qui di nuovo a parlare di cybersecurity. Niente più biscotti e torte.
Max Havey [00:00:30] Sì, abbiamo finito biscotti e torte. E siamo quasi fuori dalla stagione di riflessione di fine anno 2023. Questo è il chiuso per noi. Abbiamo finito le previsioni, abbiamo finito le risoluzioni. Parliamo. Guardiamo indietro all'anno sulle minacce e poi vediamo cosa ci riserva per il 2024. Per cominciare, guardando indietro al 2023, quali sono state alcune delle tendenze più importanti che hai riscontrato guardando quei dati?
Ray Canzanese [00:00:51] Sì, certo. Te ne do tre. A destra. Il primo deve essere l'IA generativa. E con questo intendo dire tipo un anno fa, giusto? Se guardiamo indietro alla fine del 2022, nessuno usava l'IA generativa per nulla. Arriviamo a oggi. Circa il 10% di tutti gli utenti enterprise ogni mese utilizza almeno una di queste app di IA generativa basate sul cloud. E ancora di più, la quantità di utilizzo di queste app che stiamo vedendo crescere esponenzialmente. A destra. Quindi queste cose stanno diventando sempre più popolari di minuto in minuto. Numero due Trojan, giusto? Abbiamo visto i Trojan come il metodo di attacco più popolare che gli attaccanti usavano per entrare nelle organizzazioni vittime e abbiamo visto che gran parte di questa infiltrazione avviene tramite la consegna di questi Trojan tramite app cloud molto popolari. E poi direi che il terzo è probabilmente l'evoluzione continua del manuale dell'estorsione. A destra? È iniziato come ransomware. A destra. E poi la gente ha smesso di pagare riscatti ed è stato tipo, ok, riveleremo tutti i tuoi segreti pubblicamente, giusto? Se non paghi il nostro riscatto, si è evoluto un po' di più rispetto a come vediamo ora, è come i ransomware che rubano informazioni e i tergicristalli. E quando è meglio che paghi quello, ransomware paga quel riscatto in fretta, altrimenti inizierò a rompere cose e a rilasciare dati. A destra. Sono solo altri strumenti per cercare di incentivare le vittime a pagare.
Max Havey [00:02:19] Sicuramente. E tra queste tendenze, c'è qualcosa che ti ha davvero colpito come una grande sorpresa? C'è qualcosa che ti ha colpito in mente?
Ray Canzanese [00:02:25] Sì. Quindi non è per una delle tre cose che ho appena detto. E questo perché penso sia difficile sorprendermi quando si tratta delle tendenze legate alle minacce. Penso che la cosa che mi ha sorpreso di più quando abbiamo guardato tutto questo materiale a fine anno sia stato che ero convinto, da tutti i media che ho consumato durante l'anno, che nessuno usasse più Twitter. A destra. Mi sarei aspettato che l'uso di Twitter dopo l'acquisizione da Elon Musk, basandomi su quello che avevo letto, fosse in calo significativo, ma è rimasto per lo più piatto. Era quasi esattamente come un anno fa. Quindi forse è così che mi sorprendi con una tendenza del genere che sta emergendo, dove ovviamente i social media hanno alti e bassi. A destra? Abbiamo visto alcune piattaforme perdere popolarità come Facebook. Abbiamo visto questa situazione guadagnare popolarità. Ma sono rimasto molto sorpreso quando ho visto Twitter. Hanno ragione più o meno agli stessi livelli. È successo un anno fa.
Max Havey [00:03:18] Assolutamente. Penso che questa fosse la sensazione di molte persone, come qualcun altro che usa Twitter da più di un decennio. A questo punto. Sono rimasto sorpreso di sentire questo, quando hai menzionato che Twitter viene usato per campagne malware, per persone che usano attacchi e cose del genere?
Ray Canzanese [00:03:31] Questo è solo l'uso generale di Twitter, giusto? È proprio come le persone che si collegano a Twitter e guardano cosa fanno i loro amici o gli eventi attuali o qualunque cosa i ragazzi usino Twitter oggi.
Max Havey [00:03:42] Assolutamente. L'ho sempre descritto. Continuavo a tornarci dicendo: oh sì, so che è una lavanderia a gettoni, ma qui servivano hamburger davvero buoni. È così, è così che mi sento di più. Da lì si parte, però. Molte cose stanno succedendo nel mondo. Quindi, pensando a molti dei tumulti geopolitici che abbiamo visto quest'anno, avete visto questo fenomeno nel panorama delle minacce informatiche? È qualcosa che è emerso tra queste tendenze chiave che hai notato?
Ray Canzanese [00:04:04] Assolutamente. Viviamo in un mondo in cui le operazioni cibernetiche, giusto, quando parliamo di spionaggio, sabotaggio, guerra informativa, campagne di disinformazione, tutte quelle cose, sono come componenti standard e centrali delle relazioni internazionali. E quindi ovunque tu veda un conflitto geopolitico, vedrai il conflitto cibernetico che rispecchia quel conflitto geopolitico. È semplicemente così che il mondo è ora, ovviamente, ad esempio in Ucraina, abbiamo visto e seguito nel nostro ambito nettico attraverso il blog dei laboratori, molteplici attacchi contro servizi pubblici in Ucraina, cittadini privati in Ucraina, aziende in Ucraina. E proprio a causa di quel conflitto e di altri in tutta l'Asia, abbiamo visto un'attività geopolitica molto elevata dei gruppi di minaccia più che in qualsiasi altra regione.
Max Havey [00:05:05] Assolutamente. E penso che abbia molto senso, e che le tendenze che stiamo vedendo altrove saranno popolari tra gli attori minacciosi che si trovano da tutte le parti di questi tipi di conflitti. La guerra cibernetica è solo l'ultima frontiera di tutto questo. Passando da questo ad altre tendenze che abbiamo visto qui, il ransomware è stato una tendenza davvero ampia e ampia entrando nel 2023. Ha davvero dominato le conversazioni come ti aspettavi? Quando pensavamo alle cose nel 2022, entrando nel 2023.
Ray Canzanese [00:05:30] Il ransomware è stato assolutamente dominante come previsto e ha continuato a crescere. Quindi l'estorsione è stata una grande fonte di guadagno per i cybercriminali. E quindi, quando si guadagna così tanto, continuerai a vedere New gruppi cercare di entrare in quel gioco. E così vedrete ai laboratori Netskope Threat. Parleremo di queste cose continuamente. New famiglia di ransomware rilasciata in questo New linguaggio che prende di mira questo New gruppo di vittime. New gruppi che si formano da vecchi gruppi che si sono sciolti o frammentati in membri di vecchi gruppi. A destra. È diventata questo settore, giusto? Sarà molto difficile lasciarla. E ho detto quando abbiamo iniziato che avevamo visto quel manuale di estorsione che prima era solo ransomware, poi diventato ransomware e rubatori di informazioni. Ora sembra che si tratti di ransomware, di rubatori di informazioni e di tergiatori, dove sono solo gruppi che raddoppiano la testa, trapelano dati, distruggono dati, fanno qualsiasi cosa per far pagare le loro vittime. E hai visto molti gruppi nell'ultimo anno che si definivano i buoni, giusto? Tipo che stiamo estorcendo persone, ma le uniche persone che estorciamo sono compagnie petrolifere, giusto? Non estorceremmo mai un ospedale. A destra. Ora vedi molti gruppi che non tracciano più quel limite, giusto? Che hanno finito di giocare a quel gioco del fatto che stiamo benevolamente estorcendo la gente qui per estorcere chiunque posso. A destra. Siamo qui solo per guadagnare da chiunque possiamo, qualunque cosa succeda.
Max Havey [00:07:15] Decisamente. E penso sia particolarmente interessante pensare a questo tipo di cambiamento che è avvenuto con gli aggressori. E questo è qualcosa che hai visto evolvere nel corso del 2023? Perché ricordo che con alcuni gruppi specifici di hacker di cui hai parlato, nei precedenti rapporti mensili sulle minacce, si diceva, oh, non prenderemo di mira infrastrutture critiche, non colpiremo ospedali, ma si vedono meno di quel tipo di dichiarazioni etiche, come missione, tra virgolette, etiche all'interno di questi gruppi.
Ray Canzanese [00:07:40] Direi che in precedenza, praticamente ogni gruppo aveva una dichiarazione di missione così. E quello che stiamo iniziando a vedere ora sono gruppi che certi gruppi non hanno una tale dichiarazione di missione, non che non abbiamo mai visto ospedali o infrastrutture critiche colpiti prima. A destra. Era solo dire, cerchiamo di evitare di farlo, giusto? Primo, perché non stiamo cercando di ferire o uccidere nessuno. A destra? Stiamo solo cercando di fare soldi. E secondo, quando inizi a fare cose che feriscono e uccidono persone, c'è un livello diverso di controllo che viene posto su di te e vuoi, se agisci in un'impresa illegale, limitare il più possibile la tua esposizione alle forze dell'ordine e alle pressioni geopolitiche.
Max Havey [00:08:25] Ovviamente, non si vuole necessariamente quel tipo di fumo che deriva dal colpire quegli enti essenziali.
Ray Canzanese [00:08:31] Esatto.
Max Havey [00:08:33] Interessante. È un approccio molto interessante. Vedere come l'ideologia dell'hacker o non hacker cambiasse in quel modo. È un approccio interessante. Sì, l'abbiamo fatto.
Ray Canzanese [00:08:42] Ha anche visto gruppi che, durante la fase di richiesta di estorsione, dicevano cose tipo: siamo noi i buoni qui, giusto? Ci sono altri gruppi molto peggiori di noi che avrebbero fatto cose molto più terribili di quelle che abbiamo fatto a te. Quindi dovresti ringraziarci per non averti fatto cose peggiori. Una volta che abbiamo avuto accesso alla tua rete.
Max Havey [00:09:11] Sì, il vecchio dovresti essere grato che lo faccio solo perché potrei fare cose molto peggiori di questa.
Ray Canzanese [00:09:15] Sì
Max Havey [00:09:17] E da lì andiamo avanti. Ci sono state tendenze specifiche per settore o regione che ti hanno colpito? Oppure i modelli erano gli stessi tra regioni e settori rispetto a quelli del 2023?
Ray Canzanese [00:09:29] Certo. Quindi, come il quadro generale, giusto. Se facciamo un grande passo indietro, il quadro generale era il cybercrimine e l'estorsione, giusto? Questa era la grande storia. Non importava in quale industria o regione lavoravi, e la Russia era dall'altra parte nella maggior parte dei casi, cioè gruppi operanti dalla Russia o presumibilmente operanti dalla Russia. Quando inizi a vedere le differenze, il primo punto in cui inizi a vedere differenze è quando inizi a guardare le cose a livello regionale. A destra. Abbiamo già parlato dell'Ucraina, giusto? E quindi, se guardi solo alle organizzazioni asiatiche e analizzi la suddivisione tra attività criminale e attività geopolitica, vedi una percentuale molto più alta di attività geopolitica in Asia, soprattutto attorno a quel conflitto in Ucraina. In America Latina, anche molti tumulti geopolitici, non molto distanti in termini di attività cibernetica geopolitica che vediamo lì. Poi penso che il livello successivo in cui inizi a vedere differenze sia quando inizi a riflettere, in quale settore lavoro, in quale geografia e chi mi sta puntando lì? Ad esempio, abbiamo evidenziato alcuni di questi gruppi nel nostro ultimo rapporto. Guarda il TA-505. Sono un gruppo criminale russo. Prendono di mira principalmente organizzazioni in Asia ed Europa. A destra. Così non devi preoccuparti così tanto di loro. A destra? Se sei basato da qualche altra parte nel mondo. Analogamente, APT-241 è un gruppo geopolitico affiliato al governo cinese. L'anno scorso ha preso di mira principalmente organizzazioni di servizi finanziari. E la maggior parte delle organizzazioni che hanno preso di mira si trovava a Singapore. A destra. E così inizi a guardare i dettagli e le sfumature di ciò che sta accadendo. È lì che il settore in cui lavori, e la geografia di dove ti trovi, determina davvero a quali gruppi specifici sei preso di mira. E ognuno di quei gruppi ovviamente ha il proprio modus operandi in termini di strumenti e tattiche che utilizzano. A destra. E se pensi a questo dal punto di vista della difesa, conta, giusto? Conta chi è in attacco, giusto? Conta perché è così che prenderai di mira le tue difese. Assicurati che tutti i tuoi strumenti proteggano dagli strumenti che gli attaccanti stanno usando contro di te.
Max Havey [00:11:58] Sicuramente la sensazione di conoscere il proprio avversario. Come stavamo dicendo l'ultima volta che eri sulla capsula qui. Conoscere i propri avversari, il primo passo per capire come proteggersi al meglio da quell'avversario, e più o meno prendere quel tipo di dati per rafforzare meglio le difese. Guardando avanti all'anno a venire. Quindi, tornando a un argomento che hai sollevato all'inizio del podcast, l'IA generativa, che tipo di impatto stiamo davvero vedendo dall'IA nel panorama delle minacce, e viene utilizzata dagli attori minaccevoli? Viene usato dalle squadre di difesa? E se sì, a che scala stiamo vedendo che questo accade?
Ray Canzanese [00:12:30] Sì, è una domanda interessante, giusto. Perché da quando lavoro nella cybersecurity, c'è stata l'IA nella cybersecurity, giusto. Stavamo usando l'IA per rilevare e bloccare malware e ridurre il rumore nel SOC. Lo usiamo da molto tempo per identificare minacce interne e altre minacce difficili da rilevare. Quindi, da quando esiste, è sempre lì perché ovviamente, come settore, stiamo cercando di creare strumenti migliori e fare di più con meno. E tutte le cose che l'IA promette. New La cosa che vediamo proprio quest'anno è l'idea che si possono usare questi grandi modelli linguistici come interfaccia copilot per questi enormi set di dati di sicurezza che abbiamo, cosa davvero interessante e fantastica da fare con il grande modello linguistico, alimentarlo con un sacco di dati e poter estrarre insight da essi. Quindi è sicuramente una cosa New che vediamo usare nelle persone nell'ultimo anno. Ora, dal punto di vista di un attaccante, è la stessa cosa, giusto? Ecco alcuni strumenti New . A destra. Perché non dovrei usare qualche strumento New . È un esempio sciocco, ma spesso uso questo nel modo giusto. Quando scrivo tutto il mio codice, uso un IDE, giusto? Sto usando prodotti di Intelligent. A destra. Rende più facile scrivere codice. È un'interfaccia davvero bella. Se scrivessi codice scadente, userei Intelli-J? A destra? Certo che lo farei, vero? Questi sono strumenti che rendono più facile scrivere codice. Ovviamente, userò gli strumenti che rendono più facile scrivere codice, soprattutto se quegli strumenti sono gratuiti. A destra? E ovviamente, gli attaccanti useranno tutti gli strumenti a loro disposizione, giusto, per rendere ciò che stanno facendo più facile ed efficace. Un'altra cosa che trovo interessante, però, è con qualcosa come l'IA e l'IA generativa e tutto il clamore intorno a tutto questo e tutti gli strumenti New , e che non so, Max, quale dei 75 strumenti AI per cui hai visto le pubblicità questa settimana stai usando? A destra? Ti ricordi come accedervi? Devi scaricare qualcosa per poterli usare? Giusto, con tutte queste domande. È un'opportunità per gli attaccanti. A destra. Abbiamo visto molte cose che non sono nemmeno come usare l'IA, ma che sfruttano il fatto che altre persone usano l'IA per cercare di ingannarle e farle entrare in una pagina di phishing e inserire le loro credenziali Google. Dall'interazione con un falso bot ChatGPT che registra tutta la conversazione per vedere cosa possono usare, fino a quando abbiamo visto troian, giusto? Se cerchi su Google, dove posso scaricare ChatGPT? Non so quali siano i risultati al momento, ma abbiamo dovuto segnalare più volte a Google. Ehi, quando cerchi su Google? Dove posso scaricare ChatGPT? I risultati principali sono come trojan, spyware, adware e ogni sorta di spazzatura. Perché ovviamente tu ed io sappiamo che non si scarica ChatGPT.
Max Havey [00:15:22] Ed è interessante da questo punto di vista capire dove si trovi l'IA come mezzo per realizzare queste campagne di phishing rispetto all'uso di minacce abilitate dall'IA. È davvero come la semplicità di ciò che la gente non sa dove trovare questi strumenti. Quindi trovare modi per ingannarli con questi strumenti è semplicemente la via di minor resistenza al momento. E so che nello stesso senso Colin Estep del vostro team ha scritto anche degli attacchi a suggerimento di iniezione all'inizio di quest'anno, che sono più nello stile dell'uso dell'IA generativa come vettore di attacco. Ma è interessante vedere che, come se la stragrande maggioranza di loro non lo stesse ancora facendo. Resta comunque solo il semplice inganno di persone che cercano di entrare nell'IA generativa.
Ray Canzanese [00:16:01] Esatto sì, ci sono tantissimi ricercatori che agiscono con buone e cattive intenzioni, cercando di far sì che queste app di IA rivelino cose che non dovrebbero. A destra? Per far trapelare informazioni tra gli utenti, giusto? Ci sono ogni sorta di attacco alle app di IA stesse. Ci sono attacchi alle aziende che gestiscono app di IA, giusto, con l'idea che debbano avere molti dati sensibili. A destra? Se volessi entrare in un'azienda e accedere a dati sensibili, sì, sceglierei quelle aziende di IA. A destra. Quindi ci sono così tanti livelli in tutto questo, giusto? Dove si vedono molti tipi diversi di cambiamenti e come le persone usano questi strumenti e come questo influenzi il comportamento e le interazioni più ampie delle persone. E mi aiuta a scrivere rapporti. A destra? Io scrivo le cose, queste vanno in Grammarly. Grammarly dice: ehi, avresti potuto dirlo diversamente, e sarebbe stato più chiaro e facile da capire, giusto, se avessi scritto qualcosa per convincere qualcuno di qualcosa che non è vero, o per visitare una pagina di phishing. Potrei usare gli stessi strumenti, giusto? E mi aiuterebbe comunque.
Max Havey [00:17:06] Esatto. Sì. Quindi quello che stiamo vedendo ora è che siamo solo la punta dell'iceberg. Continueremo a vedere questi progetti crescere e svilupparsi man mano che avanziamo nel 2024 e molto oltre.
Ray Canzanese [00:17:15] Assolutamente.
Max Havey [00:17:16] E guardando indietro al 2023 in modo olistico, Ray, se dovessi riassumere in un solo esempio le tendenze delle minacce del 2023, quello che ti viene in mente.
Ray Canzanese [00:17:25] Direi che una lezione è che gli attaccanti continuano a migliorare nel nascondersi, e il fatto che ora tutti usiamo app cloud per quasi tutto dà loro molte opportunità per nascondersi. A destra. Li abbiamo visti usare app cloud popolari per diffondere malware. Abbiamo visto alcuni attaccanti usare quelle stesse app come canali di comando e controllo. A destra. Perché usare l'infrastruttura di comando e controllo quando puoi semplicemente mandarti qualche DM su Twitter. A destra. Quindi sta diventando sempre più bravo a nascondersi, giusto? Il che rende più difficile per chi lavora nella cybersecurity distinguere tra bene e male. E quella tendenza degli attaccanti che diventano sempre più bravi nella furtività e nel mimetizzo, continuerà, giusto? Non è che abbiano scoperto il segreto, e questo è quello che faranno per sempre. Hanno capito come operare efficacemente in questo momento, e continueranno a farlo finché non sarà molto difficile per loro operare in quel modo, perché l'industria della cybersecurity è migliorata nel trovarli lì, e cambieranno di nuovo.
Max Havey [00:18:40] Esattamente. Trovano sempre una New una porta sul retro New in un New verso il giardino recintonato in cui stiamo cercando di lavorare. Allo stesso modo, allora, Ray, quale consiglio daresti ai leader della sicurezza che stanno raccogliendo questi dati da qualcosa come la riflessione di Cloud Threat Reports sul 2023?
Ray Canzanese [00:18:56] Sì, direi di concentrarsi su ciò che gli avversari stanno facendo attualmente che ha successo. A destra. Ad esempio, quello che stanno facendo ora è un successo. Stanno prendendo di mira e abusando delle app cloud. A destra. Quindi cosa faccio con queste informazioni? Cerco di limitare l'uso delle app cloud. A destra? Non lascio che i miei utenti usino sempre quello che vogliono a loro piacimento. Trovo le app che tutti usano, giusto? I Google Workspaces, Microsoft 365 e io ci assicuro che siano strettamente monitorati, che siano fortemente bloccati e che io sappia esattamente cosa succede in caso di violazione o minaccia interna. E mi assicuro che, sai, non abbia quegli occhi ciechi. A destra? Sto monitorando, sto ispezionando tutto il traffico di rete e sto facendo tutto il possibile per difendermi da ciò che stanno facendo gli attaccanti ora, con una precisazione: sono pronto ad adattarmi non appena cambierà il contesto. Non l'ho scritto come una cosa su cui mi concentrerò per tutto il 2024, e non ci tornerò né farò cambiamenti fino, ehm, al 2025. Sappi se questo cambia. Quindi preparati ad adattarti e cambiare insieme a essa.
Max Havey [00:20:16] Sì, questa adattabilità sembra essere l'unica cosa che oggi è la soluzione per ogni leader della sicurezza è che bisogna continuare a evolversi man mano che il panorama, gli attaccanti e i vettori di minaccia continuano a evolversi.
Ray Canzanese [00:20:26] Assolutamente. Ed è dura, vero? Perché non vuoi esagerare in questo senso, dove ogni articolo di giornale New su una minaccia New , lasci tutto quello che stai facendo e ti concentri su quella. A destra? Quindi c'è un equilibrio tra non cambiare mai e non adattarsi mai. A destra. E adattare iper-adatti questi flussi e riflussi quotidiani, che in realtà non rappresentano cambiamenti importanti che richiederebbero una sorta di cambiamento strategico.
Max Havey [00:20:57] Assolutamente. E Ray, mentre arrivo alla fine delle mie domande qui. Dove possono andare le persone per scoprire di più, ehm, dal vostro report cloud e minacce in revisione annuale per il 2023. Dove si può trovare questo per approfondire questi dati e dare un'occhiata?
Ray Canzanese [00:21:12] Sì, assolutamente. Puoi andare anche tu. Net scope.com/threat Laboratori. Troverai quel rapporto lì. Lì troverai la mia mailing list. E troverai un sacco di altri contenuti che pubblichiamo regolarmente sulle minacce e le tendenze che stiamo osservando.
Max Havey [00:21:27] Molto figo. A destra. Grazie mille per essere stato con noi oggi. Come sempre, è una conversazione sempre illuminante su come il mondo delle minacce stia cambiando, e hai sempre una prospettiva così valida da portare. Quindi grazie mille per essere con noi.
Ray Canzanese [00:21:37] Grazie per avermi invitato, Max.
Max Havey [00:21:38] Eccellente. Hai ascoltato il podcast Security Visionaries, e io sono stato il tuo conduttore, Max Havey. Se ti è piaciuto questo episodio, condividi e iscriviti a Security Visionaries sulla tua piattaforma di podcasting preferita. Lì puoi ascoltare il nostro catalogo di episodi e tenere New d'occhio quelli che escono ogni due settimane, condotti da me o dalla mia co-conduttrice, la grande Emily Wearmouth. E con questo, ci vediamo nel prossimo episodio.
){kind=icon}
