Abbiamo messo a confronto gli ultimi report sulle minacce cyber, ecco che cosa emerge
Analizzando le evidenze di tre degli ultimi report di sicurezza del 2018, il Verizon DBIR (Data Breach Investigations Report 2018), il Security Report Check Point 2018 e il Cyber Risk Management 2018 Survey di TIG (The Innovation Group), emergono dati sconfortanti sul gap da colmare da parte delle aziende per l’attuazione di modalità di difesa dalle minacce informatiche.
Indietro di 10 anni rispetto alle minacce attuali
Infatti, il panorama della minaccia è attualmente caratterizzato da attacchi su larga scala (Mega attacks), multivettore, tesi a colpire qualsiasi potenziale vittima (azienda o privato) sufficientemente vulnerabile. Sono stati definiti attacchi di V generazione da Check Point, a fronte di tecnologie di difesa giudicate solo di terza generazione dalla stessa azienda israeliana. Dal Security Report 2018 emerge come il 97% delle organizzazioni sia indietro di 10 anni rispetto alle minacce attuali e non sia ancora pronto ad affrontare gli attacchi informatici di ultima generazione.
Per comprendere questo disallineamento fra le tecniche di attacco e difesa è opportuno sapere che la generazione 1 (anni ‘80) ha riguardato attacchi su singoli PC mediante virus e le tecniche di contrasto erano basate su software antivirus signature based, mentre la generazione 2 (anni ’90) ha interessato attacchi provenienti dalla rete internet contro i quali sono stati creati e adottati i firewall; gli attacchi di terza generazione iniziati dal 2000, riguardavano le vulnerabilità insite nelle applicazioni ed hanno richiesto l’adozione aggiuntiva di apparati IPS (Intrusione Prevention System) come contrasto. Nella quarta generazione, sviluppata intorno al 2010, gli attacchi hanno utilizzato malware polimorfici, payload e 0-day richiedendo difese capaci di adottare sistemi anti-bot e sandbox di analisi. Infine, si è raggiunta la quinta generazione della minaccia, in cui le tecnologie di detection non sono più sufficienti ed è necessario adottare sistemi di prevenzione avanzata e analisi della minaccia basata su comportamento per istruire azioni di difesa specifiche.
Al di là delle categorie di attacco e difesa, il dato più rilevante riguarda la preoccupazione espressa dal 77% dei CISO (Chief Information Security Officer) per il fatto che le rispettive organizzazioni non siano attrezzate per gestire gli attacchi moderni, e la stragrande maggioranza delle infrastrutture di sicurezza risulti essere di gran lunga arretrata (fonte Check Point). Dato confermato anche dalla Survey del TIG, da cui però emerge anche che l’impreparazione non è solo da imputare ai reparti tecnici per la crescente complessità di gestione della cybersecurity che richiederebbe una progressiva automazione di alcuni task, ma interessa anche il top management che ancora fatica a comprendere le reali criticità della cybersecurity in termini di impatto sul business, tanto che ancora non si assiste ad un reale allineamento degli obiettivi della cybersecurity a quelli del business.
Campionamento dei dati
L’undicesima edizione del DBIR include i dati di 67 organizzazioni che hanno contribuito alla ricerca mediante informazioni provenienti dall’analisi di oltre 53,000 attacchi e 2,216 violazioni su 65 Paesi.
Ancora su base mondiale, i dati raccolti da Check Point, su un totale di 443 professionisti IT e security intervistati e informazioni provenienti dalle analisi dei dipartimenti IT e dei dirigenti C-level, oltre che dai report di threat intelligence e ThreatCloud dell’azienda.
Infine, l’indagine del TIG, giunta alla terza edizione è stata svolta su professionisti italiani che si occupano di Cybersecurity, quali CIO/Responsabili ICT, Security Manager, Chief Security Officer e Chief Information Security Officer, Risk, Audit e Compliance Manager, oltre che Professionals e Consulenti della Sicurezza. Complessivamente tra dicembre 2017 e gennaio 2018 hanno risposto 88 aziende, con una prevalenza di aziende medio grandi, dato che il 60% delle imprese partecipanti ha oltre 500 addetti.
Verizon DBIR
I ransomware la fanno ancora da padrone con circa 700 attacchi e una incidenza del 39 per cento rispetto al totale degli attacchi basati sul malware, (il doppio rispetto ai risultati del DBIR dello scorso anno) mentre il fattore umano permane come una debolezza su cui prosperano gli attacchi di social engeering a scopo di estorsione finanziaria, tipo il pretexting e il phishing che si specializzano su alcuni reparti, come quello delle HR, da cui i malintenzionati possono trafugare informazioni (lo stipendio dei dipendenti oppure informazioni relative alle tasse) per escogitare frodi, cercando di dirottare le somme dei rimborsi. L’incidenza di queste violazioni è pari al 93% e di questi la finalità di estorsione di denaro rappresenta il 98% mentre il mezzo più diffuso rimane la mail (96%). Il pretexting è quintuplicato rispetto a quanto rilevato dal DBIR 2017, con 170 attacchi rispetto ai 61 dell’edizione 2017. Sul phishing il 78% degli utenti non e’ caduto nel tranello, ma purtroppo il 4% si e ai criminali informatici basta un solo dipendente per riuscire ad avere accesso ad un’intera organizzazione.
I target dei ransomware sono rappresentati dagli asset più critici delle aziende: server o database e quanto più importante è l’asset che gli attaccanti riescono a compromettere, tanto maggiori sono i riscatti richiesti. Gli attacchi di tipo DDoS possono colpire chiunque, e spesso sono un trucco messo in atto, sospeso e poi rimesso in funzione per mascherare altre violazioni che agiscono sullo sfondo.
L’analisi degli attaccanti ha evidenziamo come il 72% degli attacchi siano perpetrati ad opera di criminali esterni, a fronte di un 27% di soggetti interni; il 2% ha visto il coinvolgimento di un partner, e un ulteriore 2% si è avvalso di partner diversi. La criminalità organizzata è ancora responsabile del 50 per cento degli attacchi analizzati.
“Le aziende faticano a tenere il passo delle minacce e si mantengono perennemente a rischio, perché non adottano strategie di sicurezza informatica dinamiche e proattive”. È questo il commento di George Fischer, Presidente di Verizon Enterprise Solutions.
Security Report di Check Point
L’analisi della minaccia è stata concentrata sulla specializzazione del malware per gli ambiti che costituiscono i maggiori trend nel periodo osservato: cryptojacking, Botnet su dispositivi Iot, attacchi al sistema operativo di Apple MacOS, con un focus sulla adozione di codici evoluti tratti dagli strumenti sottratti alla CIA (vault 7 leak n.d.r.). Accanto al panorama della minaccia, il report analizza i maggiori attacchi per i singoli settori di mercato: banche, retail, sanità, industriale manifatturiero e naturalmente il settore istituzionale e governativo. Per ogni ambito sono forniti suggerimenti mirati e raccomandazioni per la protezione, il contrasto e la prevenzione.
Cyber Risk Management 2018 Survey
Tra i principali risultati la survey ha evidenziato il Phishing e il social engineering, come principali e piu’ frequenti forme di attacco con una incidenza superiore al 55% delle aziende del campione, seguito da malware e ransomware, rispettivamente al 52% e 49%. La mail si conferma veicolo principale per aprirsi un varco verso i sistemi informativi interni con il 93% dei casi gli incidenti originati da una mail contenente un allegato o un link malevolo. Penalizzante nelle organizzazioni anche la struttura “a silos” dei reparti tecnici deputati alla sicurezza informatica, che restano separati dal resto dell’organizzazione causando una scarsa coordinazione con il top management/al board. Le attività di misurazione e reporting sono oggi poco strutturate, e solo qualitative invece che quantitative o in molti casi inesistenti. Infine i risultati della survey evidenziano ancora un problema di cultura: la sicurezza informatica è percepita più come un costo nel 68% delle risposte, piuttosto che non come un elemento che abilita l’innovazione e la trasformazione del business in chiave digitale, per il 32% delle risposte.
Azioni di prevenzione e contrasto
Check Point suggerisce una evoluzione di tutti mezzi di difesa per allinearli alla V generazione della minaccia e consiglia di implementare la sicurezza informatica avanzata che utilizzi la prevenzione avanzata delle minacce in tempo reale per la protezione di tutte le reti, delle operazioni virtuali, degli ambiti cloud, del remote office e dei device mobili di un’azienda. Ma sebbene l’approccio sia comprensibile, per molte aziende può essere non immediatamente perseguibile per motivi economici, e organizzativi. Eppure è necessario avviare una strategia dinamica e proattiva con una roadmap incrementale di interventi mirati.
Bryan Sartin, executive director security professional services di Verizon suggerisce di inziare con azioni di formazione e training continui come essenziali, dato che è sufficiente l’errore di una sola persona che apre una mail di phishing, per compromettere un’intera organizzazione. I dipendenti, dovrebbero costituire la prima linea difensiva di un’azienda, non l’anello debole della catena della sicurezza. Altri suggerimenti risiedono nel controllo dei registri dello storico dei dati, così come i cambiamenti dei sistemi gestionali possono essere sentinelle in caso di violazioni in corso. È necessaria una gestione dei dati secondo la logica “need to know” affinché l’accesso alle risorse ed ai sistemi da parte dei dipendenti sia limitato unicamente ai sistemi necessari per svolgere le proprie mansioni. Dovrebbe essere adottata estensivamente l’autenticazione a due fattori per limitare i danni che possono essere causati attraverso credenziali smarrite o rubate. Fondamentale il patch management puntuale e l’utilizzo della crittografia per i dati sensibili. Naturalmente non si deve tralasciare né la sicurezza di rete poiché tecniche di attacco “datate” possono essere riutilizzate (ad esempio i defacement a scopo dimostrativo o gli sql injection per la data exfiltration), né la sicurezza fisica dato che non tutti i furti di dati si svolgono online.
Approfondimenti
Il Report Cyber Risk Management 2018 Survey di TIG è stato presentato durante l’edizione romana del Cybersecurity Summit e sarà nuovamente commentato e distribuito durante la prossima edizione milanese del summit prevista per il 30 e 31 maggio prossimi.