Il panorama delle minacce informatiche evolve continuamente. Gli attaccanti aumentano la loro pericolosità e utilizzano tecniche di furto sempre più sofisticate che eludono il rilevamento e violano le difese delle organizzazioni.

Come nel caso dei ransomware, in costante aumento, sia in Italia, con diversi casi balzati agli onori della cronaca, come quello dell’Ospedale San Giovanni di Roma e della Regione Lazio nell’anno passato, sia a livello globale, come dimostra il recentissimo cyberattacco sul piano geo-politico ai siti governativi dell’Ucraina.

Un trend a cui si associa la doppia estorsione, un nuovo approccio adottato dai criminali informatici, che non utilizzano più solo la crittografia dei dati per le richieste di riscatto, ma si spingono anche a minacciare le loro vittime di violarne i dati con l’obiettivo di ottenere il riscatto richiesto o di estorcere ulteriori somme.

Uno scenario del cybercrime aggravato dalla pandemia, che spingendo il passaggio agli ambienti operativi remoti e ibridi, accresce la superficie di attacco e impone ai team di sicurezza informatica nuove modalità di protezione per le organizzazioni. 

Sulla base di questi elementi, trasformare l’infrastruttura di sicurezza diventa fondamentale per le aziende che vogliono evitare un danno finanziario e/o reputazionale. Il che significa abbracciare moderne tecnologie cloud-first, come il rilevamento degli endpoint e risposta (Edr), il rilevamento e risposta estesa (Xdr) e la strategia Zero Trust, potenziando al contempo le competenze del capitale umano. 

E’ questo il contesto di mercato nel quale si inserisce la ricerca Global Security Attitude di Crowdstrike commissionata a Vanson Bourne. Lo studio analizza nello specifico 2.200 aziende distribuite in diversi Paesi a livello globale, inclusa l’Italia (sono 100 le aziende intervistate nel nostro Paese), sondando diversi aspetti legati agli attacchi alla sicurezza informatica e indicando alcune linee guida. Gli intervistati sono decisori IT e responsabili della sicurezza, interpellati nei mesi di settembre, ottobre e novembre 2021, con rappresentanza nelle aree Usa, Emea e Apac.

Software supply chain da monitorare 

L’escalation degli attacchi informatici nella filiera del software è il primo dato che emerge dall’analisi, con il conseguente calo di fiducia verso le aziende fornitrici, inclusa MicrosoftIl 77% delle imprese a livello globale ha subito nella propria storia almeno un attacco alla supply chain del software, in aumento dal 66% rispetto al 2018, e il 45% ha sperimentato almeno un attacco negli ultimi 12 mesi, rispetto al 32% del 2018. Guardando al nostro Paese, il 44% delle imprese italiane ha subito almeno un attacco di questo tipo negli ultimi 12 mesi.

la tua organizzazione ha mai subito un attacco alla catena di fornitura del software
Fonte: Global Security Attitude – Crowdstrike/Vanson Bourne  – In che misura le imprese hanno subito attacchi alla supply chain del software

Per l’84% degli intervistati, gli attacchi alla filiera del software hanno il potenziale per diventare una delle più grandi minacce cyber per le loro organizzazioni entro i prossimi tre anni. Per contro, solo il 36% degli addetti alla sicurezza ha effettuato un controllo dei fornitori, nuovi o vecchi, negli ultimi 12 mesi.

A fronte dei frequenti incidenti di sicurezza, il 63% dei responsabili IT ammette una minor di fiducia nei fornitori di software. In generale, tale livello di fiducia da parte delle organizzazioni verso le loro catene di approvvigionamento è comunque alto, con il 93% degli intervistati che esprime una fiducia totale o moderata nella sicurezza informatica della propria supply chain. 

Si tratta di livelli di fiducia fuori luogo, sottolineano gli analisti di Crowdstrike, che rafforzano la necessità da parte delle aziende di rivedere le procedure di controllo e le strategie. Le organizzazioni devono infatti assumersi maggiori responsabilità per controllare a fondo tutti i fornitori esterni nella supply chain del software, mantenendoli ai loro stessi standard di sicurezza (cosa che nel 72% dei casi non avviene) per evitare attacchi futuri.

Ransomware, cresce il valore del riscatto

Il ransomware rimane una minaccia persistente, con costi e commissioni di estorsione in aumento. Indipendentemente dal fatto che il riscatto venga pagato o meno, questo tipo di attacco rappresenta un drenaggio di risorse per le imprese e può avere un impatto negativo significativo per la reputazione del marchio e per i dipendenti coinvolti nel contrasto alle minacce.

Il ransomware è considerato nel 44% dei casi come il vettore di attacco che causa maggiore preoccupazione quando si pensa alla sicurezza IT nella propria organizzazione
i prossimi 12 mesi. A livello globale, almeno il 66% delle organizzazioni ha subito un attacco ransomware negli ultimi 12 mesi, in aumento rispetto al 56% rilevato nel 2020, mentre il 33% ha subito più attacchi negli ultimi 12 mesi, rispetto al 24% dello scorso anno. Il focus sul nostro Paese vede il 65% delle imprese italiane subire almeno un attacco di tipo ransomware nell’ultimo anno, in linea con il dato generale.

Il valore medio del riscatto pagato dalle aziende che subiscono attacchi ransomware è aumentato del 63% nel 2021 a 1,79 milioni di dollari, rispetto a 1,10 dollari milioni nel 2020. Crowdstrike osserva che la cifra di riscatto richiesta in media all’azienda dai gruppi di attacco ransomware è di 6 milioni di dollari e che nel 57% dei casi, le aziende colpite dal ransomware non avevano una strategia globale in atto per coordinare la loro risposta.

Quale delle seguenti barriere esiste nella tua organizzazione quando si tratta di stabilire una migliore posizione di sicurezza contro il ransomware attacchi
Fonte: Global Security Attitude – Crowdstrike/Vanson Bourne  – Le barriere nello stabilire una migliore posizione di sicurezza contro gli attacchi ransomware

L’analisi del player della sicurezza informatica sonda anche il tempo medio impiegato per rilevare un incidente di sicurezza sui sistemi IT da parte di un’azienda sotto attacco: tale dato è di 146 ore nel 2021, rispetto a 117 ore nel 2020 e alle 120 ore nel 2019. Oltre al tempo di rilevamento, si stima che le organizzazioni avrebbero mediamente bisogno di ulteriori 11 ore per valutare, indagare e comprendere un incidente e 16 ore per neutralizzarlo.

Cybersecurity, cresce la consapevolezza

In questo scenario, il passaggio forzato al lavoro a distanza, ha messo alla prova i team IT  sottoponendo le organizzazioni a nuovi rischi. Il 69% delle imprese ha infatti subito un incidente informatico a seguito del lavoro in remoto dei team. Incidenti che includono in primo luogo l’errore umano e rafforzano il bisogno da parte delle organizzazioni di affrontare le loro carenze in sicurezza, per annullare i rischi aggiuntivi dati dall’allestimento di nuove postazioni di lavoro remote.

A fronte di ciò, c’è anche un aspetto positivo legato alla pandemia da un punto di vista IT, ovvero che la sicurezza informatica è entrata nella coscienza di una più ampia gamma di persone. Secondo l’86% di intervistati, il Covid-19 ha rappresentato una svolta significativa dal punto di vista della sicurezza informatica e c’è la sensazione che le persone stiano iniziando a rendersi conto dell’importanza della sicurezza IT.

Tuttavia, ci sono anche aree sotto il diretto controllo dei team IT che impediscono loro di rispondere in modo tempestivo quando si verificano incidenti. In primis, viene segnalato dal 47% dei responsabili di cybesecurity, il fatto che l’infrastruttura di sicurezza della loro organizzazione sia composta da troppe soluzioni eterogenee, che non si integrano facilmente per una protezione adeguata.

Fonte: Global Security Attitude - Crowdstrike/Vanson Bourne - Cosa impedisce alla tua organizzazione di rilevare, classificare, investigare, comprendere, contenere e rimediare incursioni e incidenti di sicurezza informatica
Fonte: Global Security Attitude – Crowdstrike/Vanson Bourne – Cosa impedisce alle organizzazioni di rilevare, classificare, investigare, comprendere, contenere e rimediare incidenti di sicurezza informatica

Questo sembra essere il problema più urgente, spiegano gli analisti, e mette in evidenza la necessità di un perseguire un approccio integratoLe organizzazioni devono liberare la rete da strumenti che hanno cucito insieme nel corso degli anni, e attuare invece un sistema completamente integrato di soluzioni in grado di ottimizzare la propria infrastruttura di sicurezza, migliorandone i livelli di prestazione. Al servizio di questa strategia, strategico è l’impiego di tecnologie per proteggersi dagli attacchi alla catena di fornitura del software come artificial intelligence, machine learning, threat hunting, blockchain. Aree di investimento chiave per capire il comportamento degli attaccanti e mettere in campo difese efficaci. Una strategia che per Crowdstrike deve identificarsi nel paradigma 1-10-60, ovvero 1 minuto per la detection, 10 per l’analisi e 60 per la remediation.

© RIPRODUZIONE RISERVATA

Condividi l'articolo: