Sono stati recentemente presentati alla stampa i risultati del report annuale M-Trends di FireEye (come spiegato in un recente articolo di ZeroUno, l’azienda statunitense di Intelligence Led security si propone, attraverso un mix di tecnologie, know-how e servizi, di supportare le aziende nel gestire tutte le “fasi” della sicurezza informatica: assessment, detection, analysis, response).
Lo studio è basato sulle informazioni raccolte dagli analisti FireEye nel corso del 2017 (i dati sono tratti, in particolare, dai lavori di indagine di Mandiant Consulting, realtà acquisita da FireEye nel 2014) e mette in evidenza modalità d’attacco e tattiche emergenti utilizzate dal cybercrime per compromettere le aziende. “La sensibilità sul tema sicurezza It è aumentata – dice Marco Riboli, Vice President Southern Europe, FireEye – I provvedimenti normativi e gli episodi eclatanti come Wannacry e Petya hanno sensibilizzato molto le persone, le aziende e i governi e spinto tutti ad aumentare gli investimenti; oggi ci capita raramente di parlare con clienti a cui sono stati ridotti i budget per la cybersicurezza. E tuttavia gli attaccanti, sono sempre ‘un passo avanti’, studiano e tengono alti i livelli di rischio per le imprese”.
Who's Who
Marco Riboli
In media, il tempo che un attaccante passa all’interno dell’organizzazione prima di essere scoperto (“Dwell time”) è, a livello globale, di 101 giorni. “È tantissimo tempo – dice Marco Rottigni, Senior System Engineer di FireEye commentando alcuni punti chiave del report – e l’attaccante può investirlo nei modi più vari: può consolidare la sua posizione, creare nuovi punti di accesso nel caso in cui quelli che ha usato per entrare vengano bloccati, esfiltrare dati ripetutamente, spostarsi lateralmente per capire la struttura della rete aziendale”.
Who's Who
Marco Rottigni
A livello Emea il dato è anche peggiore rispetto alla media globale: non 101 giorni, ma 175 giorni (figura 1). Molti di più, peraltro, rispetto ai 106 giorni registrati per la stessa area Emea nel 2016. Un dato allarmante che però, fa notare Rottigni, può avere anche una lettura “ottimistica”: il fatto che si registri una media così alta è in buona parte una conseguenza dell’aumento degli sforzi legislativi e normativi compiuti in Emea, sforzi che spingono le aziende di quest’area ad aumentare le proprie capacità investigative e quindi a rilevare più attacchi rispetto a quanto accadeva in passato; il passaggio dai 106 giorni del 2016 ai 175 del 2017 non è qindi da leggersi come un peggioramento delle capacità di detection delle aziende Emea, quanto come una loro maggiore capacità di portare alla luce attacchi prima ignorati (avvenuti anche molti giorni prima della rilevazione e che dunque aumentano la media del Dwell Time).
Se si entra nel merito dei dati, è poi possibile rintracciare un elemento positivo: sempre più spesso le imprese scoprono le violazioni dall’interno, grazie alle proprie risorse, piuttosto che venirne a conoscenza tramite notifiche da parte delle forze dell’ordine o da fonti esterne e in Emea le aziende che scoprono gli attacchi internamente riescono a tenere la media del “Dwell time” (termine che indica appunto il lasso di tempo tra il momento in cui avviene una violazione e quello in cui la stessa viene scoperta dall’azienda attaccata) sotto i 25 giorni (figura 2).
Come spiega Rottigni interpretando il dato, se è vero che esistono ancora tante realtà con una bassa maturità, che scoprono le violazioni, quando le scoprono, in moltissimo tempo, solo perchè arriva una segnalazione esterna (ci vogliono 305 giorni in media, come si vede nella figura 2), esiste anche un secondo gruppo di aziende, sempre più numeroso, che invece – complice la spinta normativa sopra citata – ha sviluppato un livello di maturità in ambito detection nettamente diverso: questo gruppo di imprese, attraverso gli strumenti e le capacità di cui dispone, intercetta gli attacchi autonomamente, grazie alle proprie risorse interne, e lo fa con tempi decisamente migliori (la media è precisamente 24,5 giorni).
I settori più bersagliati in EMEA sono Finanziario (il 24% delle investigazioni di Mandiant ha coinvolto aziende di questo settore), Governativo (18%), Business & Professional Services (12% – figura 3). Come spiega Rottigni, per quanto riguarda il Financial, tra le ragioni di questo posizionamento, oltre alla storica attrattiva che esercita il settore, l’entrata in vigore della PSD2 (la direttiva europea sui pagamenti elettronici) che “apre il panorama dei pagamenti ai Third Party Payment Services Provider, ovvero ad aziende che non sono precisamente banche o istituzioni finanziarie [ma anch’esse movimentano denaro e rientrano quindi nel settore Finance – ndr]; è un passaggio che porta molta innovazione, ma anche ‘molto appetito’ per gli attaccanti [che vedono in queste realtà prede più vulnerabili-ndr]”. L’alto posizionamento del Government in EMEA (il dato per la altre macro aree è decisamente più contenuto del 18% registrato per l’area Emea: Americhe 6%, APAC 7%) è da ricollegarsi alla fortissima spinta per la digitalizzazione degli ambienti governativi “che se da un lato porta semplificazione e forti agevolazioni per i cittadini – dice Rottigni – dall’altro apre situazioni interessanti per gli attaccanti”. Il terzo posto per il Business & Professional Services (aziende della catena del valore, come aziende IT o di consulenza, generalmente partner di realtà più grandi e strutturate) “fa pensare – dice Rottigni – ad attaccanti che si muovono in modo organizzato, con una strategia, e vedono in queste realtà una via più facile per arrivare al loro reale obiettivo [il partner più grande – ndr], che è molto più resiliente, più difficile da attaccare direttamente”.
Un altro punto importante messo in evidenza è che se si è stati attaccati una volta, sono alte le probabilità di un altro attacco: prendendo in esame i dati degli ultimi 19 mesi, FireEye rileva che il 56% di tutti i clienti dei servizi di managed detection and response di FireEye che non si avvalgono più del supporto di incident response fornito da Mandiant, sono stati di nuovo presi di mira dallo stesso gruppo di attacco o da un gruppo con motivazioni simili. In EMEA si parla di un 47% di clienti che, subìto un attacco significativo (ovvero che produce danni e che si sviluppa in più in fasi), ne ha poi subìto un altro (figura 4). “È la riprova del fatto che dietro un attacco avanzato c’è strategia, e se gli attaccanti falliscono un tentativo, cambiano strumento e ritentano, non cambiano l’obiettivo”, dice Rottigni.
FireEye cita infine il tema delle competenze: il gap tra la domanda di esperti di sicurezza continua ad essere superiore all’offerta e i dati emersi da una ricerca del National Initiative for Cybersecurity Education (NICE), così come confermano le informazioni ottenute grazie alle investigazioni condotte da FireEye, indicano che la situazione peggiorerà nei prossimi cinque anni. Tra le figure più richieste vi sono cyber defenders e threat analysts e più in generale tutte quelle con skill negli ambiti della detection e dell’incident response.