“Quando i minuti sono fondamentali” è il titolo dell’indagine pubblicata da McAfee (Intel Security) e condotta da Evalueserve,che vaglia le competenze di un’azienda nel rilevare attacchi e potenziali violazioni di dati. Dalla ricerca emerge che, in generale, le aziende che analizzano in tempo reale più variabili di attacco, e che assegnano un punteggio a ogni tipo di rischio, riescono a proteggersi in maniera più efficace.

Tra i risultati raccolti emerge anche la scarsa fiducia di buona parte delle imprese nelle proprie capacità di rilevare e prevenire le minacce. Le aziende più preparate, invece, che lavorano con grandi volumi di eventi, identificano e gestiscono gli attacchi senza affrettare i tempi. I principali risultati, nel dettaglio, sono i seguenti:

– il 74% degli intervistati ha ammesso che gli attacchi mirati sono una seria preoccupazione per l’azienda
– il 58% ha analizzato dieci o più attacchi nel 2013
– soltanto il 24% delle aziende ha fiducia nella propria capacità di individuare un attacco in breve tempo; metà del campione afferma che sarebbero necessari anche mesi prima di accorgersi di un comportamento sospetto
– il 78% di chi riesce solitamente a rilevare un attacco entro pochi minuti dispone di un sistema SIEM in tempo reale
– la metà delle aziende, infine, dispone della tecnologia adeguata per fronteggiare le minacce, ma spesso non riesce a isolare dalla massa gli indicatori critici, e deve quindi vagliare ogni singolo tipo di attacco.

Identificare un  indicatore critico è dunque un passo fondamentale: il report Intel mette in luce le otto attività più diffuse tracciate dalle aziende sotto attacco.

1 – Host interni che comunicano con destinazioni pericolose o nelle quali l’azienda non opera
2 – Host interni che comunicano con l’esterno usando porte o protocolli non standard
3 – Host pubblici (DMZ) che comunicano con l’interno, pratica che abilita il leapfrogging e può causare una fuga di dati
4 – Rilevamento di malware fuori  dall’orario di lavoro
5 – Scansioni di rete da parte di host interni che comunicano con più host in un breve lasso di tempo. Le protezioni perimetrali (firewall e IPS) spesso non sono configurate per controllare il traffico su reti interne
6 – Più segnalazioni d’allarme da un solo host o eventi replicati su diversi computer di una stessa sottorete in un periodo  di 24 ore
7 – Segnalazioni di ripetute infezioni dopo la bonifica di un sistema, che possono indicare la presenza di un rootkit
8 – Un account che prova a collegarsi a più risorse in pochi minuti da varie regioni, segnale che le credenziali di accesso sono state sottratte

Tra le tecnologie adottate per prevenire episodi di questo tipo, spiega Lance Wright, Senior Manager, Information Security e Compliance di Volusion, “abbiamo impostato una regola per avvisarci se una workstation invia più di cinque richieste di autenticazione fuori dall’orario d’ufficio per consentirci di identificare l’attacco il prima possibile”.