La società di intelligence-led security FireEye ha recentemente pubbicato il suo report annuale M-Trends, che mette in evidenza i trend e le tattiche emergenti utilizzati dagli attaccanti per compromettere le organizzazioni, basandosi sulle informazioni relative al 2017. Secondo il report, nel 2017 in EMEA la permanenza media dei criminali all’interno delle reti delle organizzazioni attaccate, prima che la loro presenza fosse rilevata, è stata di 175 giorni. Questo risultato corrisponde ad un incremento di circa il 40% rispetto al dato dello scorso anno (106 giorni).
Alcuni dei punti chiave del report:
- Il “dwell time” degli attaccanti nelle organizzazioni EMEA è stato di 175 giorni
Il dwell time medio – tempo che un attaccante passa all’interno dell’organizzazione prima di essere scoperto – è stato di 175 giorni. La media globale è invece di 101 giorni, il che vuol dire che in EMEA le organizzazioni sono state due mesi e mezzo più lente nella risposta alle minacce. Sembra tuttavia che siano stati compiuti dei progressi in quanto le aziende sempre più spesso scoprono le violazioni dall’interno, piuttosto che venirne a conoscenza tramite notifiche da parte delle forze dell’ordine o di fonti esterne. Il dwell time medio in EMEA per le rilevazioni interne è stato di 24,5 giorni, in netta discesa rispetto agli 83 giorni dello scorso anno, mentre la media globale è di 57,5 giorni.
- Il settore finanziario continua ad essere il principale bersaglio
Nel 2017, il 24% delle investigazioni effettuate da Mandiant in EMEA ha coinvolto aziende del settore finanziario, facendo di questo settore quello più colpito davanti alla pubblica amministrazione con il 18%. I servizi professionali si sono attestati al terzo posto con il 12%.
- Recidività degli attacchi
È molto probabile che le organizzazioni già vittime di un attacco mirato vengano colpite nuovamente. I dati globali degli ultimi 19 mesi hanno evidenziato che il 56% di tutti i clienti dei servizi di managed detection and response di FireEye, che non si avvalgono più del supporto di incident response fornito da Mandiant, sono stati di nuovo presi di mira dallo stesso gruppo di attacco o da un gruppo con motivazioni simili. I risultati mostrano inoltre che almeno il 49% dei clienti che ha subito almeno una volta un attacco significativo è stato nuovamente attaccato l’anno successivo. Nello specifico in EMEA, il 40% dei clienti che sono stati colpiti da una violazione grave ha subito più attacchi significativi provenienti da diversi gruppi nel corso dell’anno.
- Il rischio invisibile: la carenza di competenze di cyber security
La domanda di esperti di sicurezza continua ad essere superiore all’offerta, rendendo ancora più grave l’attuale carenza di competenze. I dati emersi da una ricerca del National Initiative for Cybersecurity Education (NICE) e le informazioni ottenute grazie alle investigazioni condotte da FireEye nel corso del 2017, indicano che la situazione peggiorerà nei prossimi cinque anni. I risultati mostrano che le principali aree impattate dalla carenza di competenze sono quelle della visibilità, detection e incident response. In questi ambiti la mancanza di figure esperte sta causando un ritardo potenzialmente costoso nella gestione delle attività malevole.
“È triste dover constatare che il dwell time medio ha subito un aumento significativo nelle aziende della regione EMEA nel corso dell’ultimo anno, ancor di più se si considera che il GDPR è ormai alle porte”, ha dichiarato Stuart McKenzie, Vice President of Mandiant di FireEye. “D’altro canto, volendo vedere il lato positivo della questione, nel corso del 2017 è stato scoperto un maggior numero di minacce storiche che erano attive da diverse centinaia di giorni. Rilevare attacchi di lunga durata è ovviamente uno sviluppo positivo ma fa chiaramente salire la statistica relativa al dwell time”.
