Mandiant presenta l’edizione 2023 di M-Trends Report, lo studio con cui l’azienda fotografa ogni anno lo scenario delle minacce informatiche e le contromosse delle imprese con il supporto della threat intelligence. Sono i manager alla guida della country italiana ad illustrare i risultati dell’analisi nel corso del primo incontro con la stampa successivo all’integrazione di Mandiant in Google Cloud, lo scorso novembre; un momento che diventa anche l’occasione per raccontare come evolve il business della società a seguito del nuovo assetto organizzativo.
Mandiant conferma la roadmap
Il posizionamento di Mandiant resta il medesimo così come dal punto di vista dell’organizzazione l’azienda mantiene indipendenza e brand, spiega Giancarlo Marengo, country manager di Mandiant Italia. “Le nostre soluzioni e i nostri servizi sono oggi inseriti all’interno dell’offerta di Google Cloud Security con la quale vi sono pochissimi elementi di sovrapposizione – dichiara Marengo –. Ciò significa che i clienti del gruppo, grazie a questa nuova unione possono sfruttare un’offerta allargata di servizi storici ma anche ulteriormente ampliati negli ultimi mesi da parte di Mandiant sia per fronteggiare i nuovi scenari cyber in continua evoluzione sia per ribadire che la nostra roadmap in termini di investimenti e servizi non è cambiata”.
Dentro Google Cloud, Mandiant ha un duplice ruolo, prosegue Marengo: “Il primo è quello di dare un contributo in termini di miglioramento dell’offerta cloud sulla cybersecurity; il secondo è di continuare a incarnare il ruolo di azienda completamente agnostica rispetto alla tecnologia che si trova presso il cliente e rispetto al cloud service provider, poiché sappiamo che nel 70-80% dei casi oggi le aziende non hanno un singolo provider perché convivono nel mercato ambienti multicloud, e non dimentichiamo che in molti ambiti, soprattutto nella PA, si parla ancora oggi di ambienti on premis”.
Fin dai primi mesi dell’integrazione sono state portate avanti attività congiunte che vedono Mandiant e Google Cloud collaborare anche sullo sviluppo delle analisi; il nuovo M-Trends Report ne rappresenta un esempio.
M-Trends, come evolve lo scenario
E’ Gabriele Zanoni, consulting country manager di Mandiant Italia, ad entrare nel merito dei risultati dello studio, basati sulle attività di remediation di attacchi informatici ad alto impatto gestiti direttamente da Mandiant. “Nel 2022, a livello globale, nonostante le aziende abbiano alzato il livello di guardia sul fronte della sicurezza, gli attacchi si sono evoluti diventando sempre più sofisticati e serve aiutare le aziende ad individuare le aree di attacco più vulnerabili”, dichiara il manager partendo da una considerazione generale.
Guardando ai progressi compiuti dalle organizzazioni a livello globale, si rileva una riduzione progressiva del dwell time (medio), ovvero il tempo che intercorre tra il momento in cui un aggressore compromette un’azienda e quello in cui l’azienda stessa si rende conto di essere stata compromessa. Infatti, questo dato si attesta nel 2022 su 16 giorni, il più basso rilevato fino ad oggi, e si confronta con un dwell time medio di 21 giorni del 2021. “Una tendenza che testimonia il ruolo fondamentale dello scambio di informazioni e delle partnership nella realizzazione di un ecosistema di sicurezza maggiormente resiliente”, commentano dalla società. A livello Emea, il dwell time è di 20 giorni, quasi in linea con il trend globale ma con un decremento dei tempi ancora più marcato rispetto all’anno precedente quando il dwell time era di 48 giorni, segno del grande recupero delle imprese europee su questo fronte.
Un altro dato positivo rilevato a livello generale è il calo dei casi che coinvolgono il ransomware. Nel 2022, infatti, le indagini che riguardano il fenomeno sono del 18% rispetto al 23% del 2021. Anche questa volta si tratta della percentuale più bassa di indagini sul ransomware svolte finora da Mandiant. “A favorire questa diminuzione degli attacchi influiscono diversi fattori – spiega Zanoni –, come le azioni intraprese dai Governi e dalle forze dell’ordine nei confronti dei gruppi ransomware a causa del conflitto ucraino, che ha impattato fortemente sulla cybersecurity con gruppi di attaccanti che si sono dovuti riorganizzare e rimodulare, che si sono sciolti, divisi o che sono stati arrestati. A favorire il trend anche il fatto che le aziende stanno comunque migliorando la loro postura nel rilevare, prevenire o ritornare operative più rapidamente dopo gli attacchi ransomware”. Le intrusioni che coinvolgono il ransomware hanno avuto però un dwell time medio di 9 giorni nel 2022, rispetto ai 5 giorni del 2021. A livello Emea, a fronte di un calo del 10% nelle indagini relative al ransomware, si registra un aumento del dwell time a 33 giorni rispetto ai soli 4 giorni del 2021.
A fronte dell’attenuazione del fenomeno ransomware si accentua invece il furto di dati, con effetti non meno impattanti, poiché nel 40% delle intrusioni nel 2022 gli attaccanti hanno dato priorità proprio al data leak tentando di rubare o completando con successo furti di dati. Si rileva anche un aumento nell’utilizzo di malware per rubare informazioni e nell’acquistare credenziali compromesse rispetto al passato. In molti casi, le credenziali sono rubate al di fuori dell’ambiente dell’organizzazione e poi utilizzate contro l’organizzazione stessa, potenzialmente a causa di password riutilizzate o dell’utilizzo di account personali su dispositivi aziendali, come diretta conseguenza della diffusione del lavoro ibrido. Per il terzo anno consecutivo, gli exploit rimangono il vettore di infezione iniziale più utilizzato (32%) ma in diminuzione rispetto al 37% del 2021. Il phishing torna a essere il secondo vettore più utilizzato, rappresentando il 22% delle intrusioni rispetto al 12% del 2021.
Guardando ai settori più colpiti a livello globale, le attività per le organizzazioni governative hanno assorbito il 25% di tutte le indagini Mandiant rispetto al 9% del 2021, sempre a causa delle minacce cyber legate al conflitto in Ucraina. I quattro settori più colpiti nel 2022, in linea con l’anno precedente, sono i servizi aziendali e professionali, i servizi finanziari, l’high tech e l’healthcare, settori sensibili sia per motivi finanziari che di spionaggio.
Cresce l’interazione sul fronte della difesa. Infatti, nella maggior parte dei casi le aziende vengono a sapere dall’esterno di essere state attaccate; anche Mandiant svolge il suo ruolo in questa direzione, viene sottolineato. Le organizzazioni con sede in America sono state avvisate da un ente esterno nel 55% degli incidenti, rispetto al 40% del 2021, con un trend in forte aumento. Ancora di più in area Emea, le imprese vengono avvisate di un’intrusione da parte di un ente esterno nel 74% delle indagini del 2022, rispetto al 62% del 2021. Zanoni sottolinea però come questo marcato aumento delle notifiche esterne potrebbe essere un valore anomalo rispetto alla generale tendenza, poiché ancora una volta legato al supporto investigativo di Mandiant all’Ucraina.
© RIPRODUZIONE RISERVATA
