Nel mondo della cybersecurity, come segnale positivo, si riduce il discovery time, ovvero il tempo che un attaccante passa all’interno di una rete aziendale prima di essere individuato, migliora la capacità di detection delle imprese, ma la minaccia dei ransomware persiste e cresce.
Sono questi in sintesi i macro-trend che connotano oggi lo scenario della sicurezza, evidenziati dal Report M-Trends 2021, l’analisi che Mandiant, azienda di consulenza di FireEye, predispone ogni anno sulla base delle attività di intelligence e degli incidenti informatici gestiti, tracciando le tendenze sulle nuove minacce e suggerendo le tecniche di remediation.
Si riduce il discovery time
Negli ultimi dieci anni il discovery time o dwell time globale è costantemente calato passando dai 461 giorni del 2011 ai 24 giorni del 2020, con un netto calo anno su anno anche rispetto ai 56 giorni dell’ultimo dato.
“Si tratta di un miglioramento significativo su un parametro interessante che evidenzia come le aziende si stiano muovendo nella direzione giusta, con un approccio proattivo alla sicurezza e che indirizzando due o tre punti strategici è possibile proteggersi, ma alle organizzazioni è richiesta la definizione di un piano forte per la gestione delle vulnerabilità e migliori decisioni basate sul calcolo del rischio”, commenta Gabriele Zanoni, senior strategic consultant di Mandiant illustrando i risultati della ricerca.
Guardando alle geografie globali, il dato varia però sensibilmente. Il continente Americano continua la decrescita con un dwell time medio sceso da 32 a 9 giorni. Le aree Apac ed Emea registrano per contro un complessivo aumento del dwell time medio. In area Emea, in controtendenza, in realtà il tempo è oltre la media mondiale e aumenta nel 2020 di 12 giorni nel confronto con il 2019, passando da 54 a 66 giorni.
In generale, a favorire questa drastica riduzione dei tempi di intercettazione delle minacce è l’aumento delle capacità di detection dei team interni ma anche l’intensificarsi degli attacchi ransomware che aumentano le attività organizzative di rilevamento e risposta delle organizzazioni per affrontare le attività di estorsione e le intrusioni. “Un fenomeno più accentuato nella zona europea, dove è maggiore il numero di attacchi Nation-State Apt, non finalizzati ad un vantaggio economico e nei quali gli attaccanti tendono a rimanere nascosti il maggior tempo possibile”, spiega Zanoni.
Le attività di estorsione e i ransomware sono di fatto le minacce più diffuse per le organizzazioni e circa il 36% delle intrusioni esaminate è di natura finanziaria. Il furto di dati e la rivendita degli accessi non autorizzati alle reti delle vittime rimangono quindi elevati, gli aggressori che compiono attività di estorsione e diffondono ransomware prendono di mira le organizzazioni che sono maggiormente propense a pagare grandi somme di denaro per il riscatto.
Tra i vettori iniziali di compromissione utilizzati, il phishing si conferma quello privilegiato mentre cresce il numero di hacker che sfrutta exploit per compromettere le vittime. Il Report M-Trends 2021 rileva in particolare gli exploit al 29%, l’email phishing al 23% e le credenziali rubate o attività di forza al 19%.
Come dato positivo, cresce anche la capacità delle aziende di individuare in autonomia gli attacchi. Il rilevamento interno degli incidenti sale infatti al 59% nel 2020, con un aumento di 12 punti rispetto al 2019, seguendo una tendenza generale osservata negli ultimi cinque anni che riguarda tutte le aree a livello globale. In particolare, le aziende americane guidano il trend al 61%, seguite da Emea al 53% e Apac al 52%, con queste ultime aree vittime di un maggior numero di compromissioni da enti esterni, rispetto alle organizzazioni americane.
Servizi alle aziende, il settore più colpito
Nel periodo analizzato da Mandiant, tra ottobre 2019 e settembre 2020, ad essere maggiormente colpiti sono in particolare cinque settori, influenzati anche dagli effetti della pandemia; i servizi commerciali e professionali, retail&hospitality, finanza, sanità e high-tech.
L’emergenza sanitaria e la necessità di distanziamento sociale hanno costretto le aziende a ripensare la propria operatività con una forza lavoro remotizzata. Le infrastrutture Vpn, quelle di videoconference, le piattaforme di collaborazione e di condivisione di file indispensabili per la business continuity hanno ampliato il perimetro di attacco delle organizzazioni, rendendole più vulnerabili. L’aumento dei servizi aziendali necessari per lo svolgimento dell’attività lavorativa da remoto ha quindi impattato anche sulle aziende che si occupano di servizi professionali e per le aziende, tra settori più attaccati già a partire dal 2016 ma che nel 2020 è stato quello maggiormente colpito sia da parte di cybercriminali sia tramite attacchi state-sponsored.
Il comparto retail&hospitality è quello che ha registrato il maggior livello di compromissione, diventando il secondo settore più colpito, scalando dall’undicesimo posto dell’anno precedente.
Anche il settore sanitario, vitale in questa fase di emergenza, ha registrato un numero crescente di attacchi, diventando il terzo settore più colpito, rispetto all’ottavo posto dello scorso anno.
Il finance si conferma un settore storicamente sotto attacco, mentre oggi nei radar entrano sempre più hi-tech e supply chain che rappresentano sicuramente il veicolo ideale per sferrare l’attacco passando attraverso i fornitori.
© RIPRODUZIONE RISERVATA