Quasi la metà degli attacchi prende di mira le PMI, la cui mancanza di risorse si riflette in un approccio alla sicurezza più leggero

Data Breach Investigations: i principali fattori di rischio

A cura di Marco Rottigni, Chief Technical Security Officer EMEA di Qualys

Come ogni anno Verizon ci aggiorna sugli ultimi trend delle minacce globali subite a livello internazionale, realizzando il nuovo Data Breach Investigations Report (DBIR).

I risultati della relazione di quest’anno si basano sui dati forniti da oltre 70 fonti (tra cui Qualys) riguardanti più di 41.000 incidenti di sicurezza, tra cui circa 2.000 violazioni dei dati, con ripercussioni in oltre 80 paesi e in tutti i settori industriali.

Vi invito ad analizzare il report completo e formato da 78 pagine, ma oggi vorrei evidenziare tre temi che sono particolarmente rilevanti per i clienti Qualys:

  • Chi sono gli obiettivi preferiti degli hacker, e perché
  • L’importanza di ridurre il tempo impiegato per individuare i problemi di sicurezza, come le vulnerabilità o le violazioni, ed il tempo necessario per porre rimedio
  • In che modo la mancanza di visibilità, gli errori umani e le configurazioni errate aumentano i rischi per la sicurezza delle organizzazioni

Una lettura interessante per capire l’evoluzione della minaccia nell’anno passato, da cui derivano raccomandazioni e linee di azione.

Chi sono le vittime?

Quasi la metà delle violazioni ha coinvolto piccole imprese, a mio avviso per molte ragioni.

Le piccole imprese hanno in genere un approccio più leggero alla sicurezza, spesso a causa di risorse scarse e competenze tecniche scarse. Sono anche un obiettivo attraente come parte della catena del valore, agevolando gli hacker ad arrivare alle reti informatiche delle aziende più grandi.

Analizzando i settori verticali si evidenzia come Government, Healthcare e Finance siano stati quelli colpiti più duramente. Ciò conferma l’interesse di hacker nell’entrare in possesso di dati sensibili gestiti da queste organizzazioni, per procedere con la vendita o lo sviluppo di attacchi di scala superiore.

Cronologia sull’identificazione delle violazioni e sull’attuazione delle patch

Un aspetto preoccupante è che oltre la metà delle violazioni hanno richiesto mesi per essere scoperte. Questo è un segnale negativo di della scarsa visibilità che i team IT e di sicurezza hanno sulla infrastruttura informatica, sempre più ibrida e distribuita a causa della trasformazione digitale che complica monitorare, valutare, difendere e proteggere i vari ambienti.

Di seguito, un interessante set di grafici del report, che mostra le tempistiche di violazione:

Cronologia delle violazioni dal Data Breach Investigations Report 2019 di Verizon

I grafici mostrano come la compromissione dei dati e l’azione di exfiltration avvengano in pochi minuti o giorni, mentre la scoperta degli attacchi può richiedere giorni se non settimane, mesi o anni. Senza considerare che quando realizziamo di essere sotto attacco, serve spendere tempo, fatica e risorse per contenere i danni.

Per quanto riguarda le vulnerabilità, il 50% di queste vengono risolte entro 90 giorni dalla scoperta, mentre per il 25% sono necessari almeno 30 giorni. La tempistica può risultare efficace per molti, ma ritengo sia possibile fare molto meglio tramite l’integrazione tra programma di rilevamento e di rimedio.

I giorni in cui problemi puntuali di IT, Sicurezza e Compliance venivano risolti tramite soluzioni separate ed isolate sono finiti.

Prodotti eterogenei e scarsamente interoperanti causano ritardi e punti ciechi soprattutto per la prevenzione delle violazioni, area in cui una piattaforma integrata che includa asset inventory, la gestione delle vulnerabilità, la prioritizzazione delle minacce e la gestione delle patch si rivela molto più efficace.

Tattiche preferite

Nel report sono state rilevate tecniche di hacking nel 52% delle violazioni, mentre le infezioni da malware rappresentano il 28% dei casi e l’uso improprio dei dati dagli utenti autorizzati arriva al 15%. Oltre alla mancanza di visibilità, queste situazioni evidenziano la necessità di rafforzare la compliance e ridurre gli errori di configurazione nei nuovi ambienti digitali fatti di istanze cloud, container, data center tradizionali, e collaboratori che operano in mobilità.

Secondo Verizon è più comune la minaccia di errore non malevolo di un dipendente, piuttosto che parlare di sabotaggio premeditato. “I problemi nascono sia per una configurazione errata dei server che consente l’accesso indesiderato oppure per la pubblicazione dei dati su un server che non dovrebbe essere accessibile da tutti. Serve definire correttamente gli accessi”, sottolinea il report.

Un’altra tendenza preoccupante è il dominio delle minacce esterne che rappresentano il 69% delle violazioni, con il ransomware che rimane tra le minacce più diffuse (rilevato nel 24% degli incidenti). Tutto questo evidenzia l’importanza di applicare un adeguato programma di gestione delle vulnerabilità e dei rimedi, per ridurre la superficie vulnerabile esposta agli attaccanti.

Per aumentare sicurezza e velocità di risposta, si consiglia:

  • La prioritizzazione del processo di rimedio, in modo da identificare e risolvere immediatamente le minacce più critiche per la propria organizzazione
  • La distribuzione di dashboard dinamiche nei vari reparti dell’organizzazione, per potenziare la consapevolezza della situazione
  • Una automazione trasparente di tutte le piattaforme che coinvolgono i processi IT e Security

Un altro elemento che sottolinea l’importanza di avvalersi di un valido programma di gestione delle vulnerabilità è che queste si classificano al terzo posto tra le tecniche di compromissione più diffuse e spesso il vettore delle violazioni è legato proprio alle web application.

Aspetto chiave per una prioritizzazione efficace è la capacità di consumare dati di cyber threat intelligence; utilizzare criteri come quanto una vulnerabilità sia sfruttabile tramite exploit, disponibilità di patch ed altri indicatori di minacce da mettere in correlazione con le informazioni sulle vulnerabilità.

Il report evidenzia l’importanza di conformità ai regolamenti: abuso dei privilegi, gestione errata dei dati e processi temporanei non approvati sono infatti tra le prime cause di violazioni rilevate e sono sinonimi di mancata compliance. E’ frequente pensare alla conformità solo come l’ultimo tassello da inserire nelle fasi di implementazione dei nuovi progetti; l’approccio corretto sarebbe quello di armonizzare la raccolta e la gestione integrata dei dati IT, sicurezza e conformità. In questo modo, possiamo creare una fonte unica e affidabile di dati dove le informazioni vengono visualizzate da più prospettive, in base all’audience che ne richiede il consumo. Questo aiuterà anche a ridurre gli errori di configurazione.

Conclusione

È il momento per le organizzazioni di ripristinare fondamenta solide per sicurezza e conformità. Tutto deve partire dall’inventario delle risorse IT che deve essere continuamente aggiornato, assicurando poi una rilevazione efficace ed accurata delle vulnerabilità e delle configurazioni errate. Subito dopo, è necessario assegnare le giuste priorità alle attività di rimedio correlando gli indicatori di minaccia informatica con le risorse e le loro vulnerabilità. È fondamentale avere un programma di gestione delle patch integrato per correggere rapidamente gli asset interessati.

È indispensabile assicurarsi che tutti gli apparati, non solo i sistemi locali, siano inclusi nei processi di controllo e rilevamento: dispositivi mobili, cloud workload, applicazioni containerizzate, pipeline DevOps, sistemi IoT e dispositivi di Operational Technology (OT).