Secondo la ricerca di FireEye, la maggior parte degli accessi illegittimi alle reti aziendali non sono rilevati

Sicurezza: le organizzazioni alzano l'asticella

Il Mandiant Security Effectiveness Report 2020 di FireEye illustra il modo in cui le organizzazioni si stanno proteggendo dalle minacce informatiche e l’efficacia complessiva della loro infrastruttura di sicurezza.

Il report riassume i risultati di migliaia di test eseguiti dagli esperti del team Mandiant Security Validation (in precedenza conosciuto come Verodin). I test prevedevano attacchi reali, specifiche azioni malevole, nonché tecniche e tattiche adottate dagli attaccanti, tali test sono stati svolti in ambienti di produzione aziendali in 11 settori industriali diversi, dove sono stati lanciati contro 123 tecnologie di sicurezza leader del mercato – tra cui sistemi network, email, endpoint e soluzioni cloud. Il report rivela che, nonostante le organizzazioni continuino ad investire ingenti somme di denaro in controlli di sicurezza supponendo che questo porti ad una protezione completa delle proprie risorse aziendali, la realtà è che la maggior parte degli attacchi testati si è completata con successo negli ambienti di produzione delle diverse organizzazioni senza essere scoperti. Inoltre, il report include una guida per aiutare le organizzazioni a garantire che i loro controlli di sicurezza funzionino come previsto, implementando una strategia che includa una continua verifica della sicurezza.

“Ogni organizzazione desidera dati affidabili che li informino se i propri investimenti nella sicurezza stiano fornendo un effettivo risultato e se li proteggono dal diventare il prossimo titolo di giornale riguardo al attacco informatico emergente, ha dichiarato Chris Key, Senior Vice President di Mandiant Security Validation. La nostra ricerca mostra che nonostante la maggior parte delle aziende presume di essere protetta, la verità è che il più delle volte sono esposte. Utilizzando sistemi di validazione automatica della sicurezza, integrata con le più recenti informazioni sulle minacce e la competenza che arriva dalle attività di Incident Response svolte in prima linea, siamo in grado di aiutare i clienti a validare la sicurezza della loro infrastruttura, testando le minacce che hanno più probabilità di colpire la loro organizzazione. Questa combinazione non è solo una potente misura difensiva, ma aiuta anche le aziende a dare priorità agli investimenti dove avranno il maggiore impatto”.

Istantanea delle Sfide sull’Efficacia della Sicurezza

Nei test, il 53% degli attacchi si è completato con successo negli ambienti senza essere stato rilevato. Il 26% degli attacchi si è completato con successo negli ambienti ma è stato rilevato, mentre solamente il 33% degli attacchi è stato bloccato da strumenti di sicurezza. Sono stati generati allarmi solamente per il 9% degli attacchi, a dimostrazione che la maggior parte delle organizzazioni e dei loro team di sicurezza non hanno la visibilità di cui c’è bisogno sulle minacce gravi, anche quando utilizzano SIEM, SOAR e piattaforme di analisi.

Durante le analisi, il team di Mandiant Security Validation ha osservato che le ragioni più comuni che hanno portato ad una scarsa ottimizzazione degli strumenti di sicurezza in uso nelle organizzazioni sono state le seguenti:

  • Implementazione con configurazioni predefinite “out-of-the-box”
  • Mancanza di risorse per regolare e ottimizzare post-implementazione
  • Eventi di sicurezza che non arrivano al SIEM
  • Impossibilità di forzare i test di validazione
  • Modifiche inattese o alterazioni dell’infrastruttura sottostante

Il rapporto approfondisce anche le tecniche e le tattiche utilizzate dagli aggressori e sottolinea le principali criticità più comunemente riscontrate negli ambienti aziendali attraverso la validazione della sicurezza e la conduzione di test:

  • Ricognizione: nel testare il traffico di rete, le organizzazioni hanno riportato che solo il 4% delle attività di ricognizione hanno generato un allarme.
  • Compromissioni e Ransomware: nel 68% dei casi le organizzazioni hanno riferito che i loro controlli non hanno impedito o rilevato il diffondersi all’interno del loro ambiente.
  • Elusione delle policy: nel 65% dei casi, gli ambienti oggetto di validazione non sono stati in grado di impedire o rilevare gli le azioni condotte.
  • Trasferimento di file malevoli: nel 48% dei casi, i controlli in atto non sono stati in grado di prevenire o rilevare la trasmissione e o lo scaricamento di file malevoli.
  • Command & Control: il 97% delle azioni eseguite non ha generato un corrispondente allarme nel SIEM.
  • Fuga di dati: le tecniche e le tattiche di “exfiltration” hanno avuto successo nel 67% dei casi durante i test iniziali.
  • Movimenti Laterali: il 54% delle tecniche e delle tattiche utilizzate per eseguire i test di movimento laterale non sono state rilevate.

Oltre alle analisi menzionate precedentemente ed alle cause più probabili alla base delle diverse problematiche, il Mandiant Security Effectiveness Report 2020 offre esempi reali che dimostrano l’impatto negativo che questi gap di performance hanno causato in vari settori industriali.

“Che se ne rendano conto o meno, le organizzazioni di tutti i settori industriali devono combattere contro la realtà allarmante che viene rivelata nel nostro Security Effectiveness Report, ha continuato Key. L’unico modo efficace per farlo è la continua validazione dei controlli di sicurezza contro le minacce nuove ed esistenti, con una tecnologia che automatizzi la misurazione dell’efficacia della sicurezza e fornisca dei dati oggettivi per poterne misurare i risultati. Il nostro report fornisce una guida su come arrivare ad ottenere esattamente questo”.

Per scaricare una copia completa del Mandiant Security Effectiveness Report 2020, che include un elenco delle dieci regole fondamentali per la validazione dell’efficacia della sicurezza informatica, visitare il sito dedicato.