Mettere insieme e analizzare i big data raccolti in dieci anni di attività nel campo della sicurezza informatica può essere utile nel risk management, per capire a fondo come si muovono i cyber criminali, che strategie prediligono e quali siano i punti deboli da presidiare con più attenzione per chi deve difendersi a vuole evitare danni particolarmente gravi, e quindi costosi. A illustrare l’analisi portata a termine da F5 networks è Paolo Arcagni, system engineer nella società specializzata in cybersecurity, evidenziando che l’86% delle violazioni inizia con un attacco a identità o applicazioni, e che queste ultime sono le più costose per le aziende
Pubblichiamo di seguito le conclusioni a cui Arcagni è giunto prendendo in considerazione le evidenze emerse dal report della società
Gestione dei dati per definire una corretta strategia di Risk Management
Recentemente gli F5 Labs hanno analizzato 433 casi di violazione segnalati, avvenuti nell’arco di 12 anni, colpendo 37 settori di mercato in 27 diversi Paesi, per scoprire quali siano i modelli maggiormente diffusi nella fase iniziale dell’attacco che ha portato poi a violazioni consistenti.
Lo scopo della nostra analisi è stato quello di identificare dove le organizzazioni hanno maggiori probabilità di essere attaccate e quali possano essere gli sforzi per mitigare tali attacchi.
Premesso che possiamo conoscere solo una piccola parte di ciò che realmente accade, dato che spesso le aziende non sanno nemmeno di essere state compromesse e che il mix tra visibilità, logging, monitoraggio-segnalazione e comunicazione è estremamente complesso, abbiamo analizzato quali fossero le radici ultime delle violazioni, il modo in cui variava il costo per la remediation e l’impatto di tali violazioni in termini di dati violati su scala globale.
Rispetto agli incidenti segnalati abbiamo constatato che il 79% di essi rilevava una violazione, ma solo il 49% delle segnalazioni era corredato da dati sufficienti per determinare quale fosse il vettore di attacco iniziale e solo il 40% la causa reale.
Effettivamente, trovare la fonte di un attacco può essere difficile; senza un controllo sufficiente in termini di visibilità e logging, il rischio è quello di non scoprire mai come un utente malintenzionato sia entrato nei sistemi, di cosa si sia impossessato e cosa questa azione comporti.
I principali risultati della nostra analisi sono stati comunque sorprendenti:
- Le applicazioni sono gli obiettivi iniziali di un attacco nel 53% delle violazioni
- Le identità sono gli obiettivi iniziali di un attacco nel 33% dei casi
Sussiste però una differenza sostanziale: mentre le violazioni che iniziano con un attacco alle applicazioni hanno un impatto pari al 47% del costo totale delle violazioni ma corrispondono solo al 22% dei record raccolti – rendendo gli attacchi applicativi costosi – le violazioni che iniziano con un attacco alle identità sono pari al 75% dei record complessivi ma ammontano solo al 24% dei costi delle violazioni. Questo significa che le identità sono dei vettori di attacco molto più generosi per i cybercriminali e di meno impatto per il business delle aziende.
Più elevato è il numero di record esposti più è basso il costo della singola violazione, un aspetto che probabilmente a che fare con la tipologia di record violati: email, nomi utente e password sono i più violati anche perché non sono ancora soggetti a una regolamentazione stretta e non vi si dedica la giusta importanza, nonostante siano proprio questi elementi i più sfruttati dagli hacker per accedere a sistemi aziendali riservati, ai conti bancari personali e così via.
Dal punto di vista delle applicazioni, sono i forum vulnerabili installati sulle app ad essere la causa principale degli attacchi, seguiti dall’iniezione SQL
Dalla nostra analisi risulta che, globalmente, su un totale di 338 casi di violazione confermati, i record compromessi sono stati 11,8 miliardi, con una media di quasi 35 milioni di record per violazione. Una cifra altissima che si traduce in 10,3 miliardi di nomi utente, password e account di posta elettronica violati. Praticamente 1,36 record per persona nel mondo!
Le violazioni sono state così tante che i database degli aggressori sono stati arricchiti al punto da poter impersonare un individuo e rispondere alle domande segrete per ottenere l’accesso diretto agli account senza dover operare a partire dall’account convolto.
Tra i target che vengono più spesso compromessi abbiamo individuato i siti dating per adulti, alcuni dei quali contengono informazioni estremamente personali sugli individui, incluso l’orientamento sessuale.
Abbiamo, infine, notato come i casi di Social Engineering siano in costante crescita, soprattutto a causa delle innumerevoli informazioni personali disponibili in rete e della tendenza a non considerare i potenziali rischi di minacce che sempre più spesso insieme alle potenziali falle del sistema IT sfruttano la debolezza dell’uomo.
Il report complessivo degli F5 Labs è disponibile al seguente link