Le imprese europee sono tre volte più lente rispetto alle aziende globali nella rilevazione di attacchi informatici. La media? 469 giorni contro 146. A rivelarlo è un report redatto da Mandiant che ha sottolineato com questo ritardo permetta agli hacker di rubare una media di 2,6 GB di dati. Come? Infiltrandosi nelle Reti prese di mira.
Dall’approccio difensivo a quello proattivo
Gli analisti hanno sottolineato che il tempo medio globale che intercorre tra attacco e rilevamento è influenzato dai dati provenienti dagli Stati Uniti, Paese in cui le aziende si dimostrano particolarmente proattive e dove un rapido rilevamento degli attacchi sta diventando la prassi per tutti i centri operativi di sicurezza (SOC).
Altrove invece, secondo i dati del report, la maggior parte delle aziende ha ancora un approccio difensivo e tendono ad aspettare fino a quando non si verifica realmente l’attacco, per poi agire successivamente. Sono queste le dinamiche che, secondo gli esperti, andrebbero modificate: una media di 15 mesi per rilevare un attacco, infatti, è un tempo ampiamente sufficiente per qualsiasi hacker che voglia progredire indisturbato attraverso la Rete aziendale e sferrare attacchi multipli e pericolosi.
In media, dicono gli analisti, è possibile ottenere le credenziali di amministratore di dominio entro tre giorni dall’accesso iniziale a un ambiente IT: una volta rubate tali credenziali, non ci vuole poi molto prima che un criminale informatico riesca a individuare e accedere alle informazioni desiderate. Durante un attacco, gli analisti hanno osservato che gli hacker utilizzano una media di trentasette account-utente e sette account a livello di amministratore: individuare quali sono le credenziali utilizzate durante l’attacco è fondamentale per intervenire contro il pericolo.
La notifica delle minacce che non arriva (ancora)
Il rapporto ha evidenziato che le imprese europee non possono ancora contare appieno sul supporto di governi e forze di polizia locali: solo il 12% delle minacce, infatti, vengono rilevate da una fonte esterna. Questo è dovuto al fatto che i criminali informatici si stanno affinando i loro strumenti, le loro tecnologie e le procedure utilizzate per portare a termine gli attacchi a un ritmo difficile da sostenere per gli enti governativi europei. E questo dato segna un netto contrasto con la situazione globale, dove la stessa percentuale sale al 55%. Tuttavia, una buona notizia c’è: il nuovo regolamento generale sulla protezione dei dati (GDPR) e la direttiva Network Information Security (NIS) potranno avere un impatto positivo sulla sicurezza IT delle aziende europee, perché entrambi introducono requisiti di notifica delle violazioni.
Pensare all’ambiente IT nel suo complesso
L’indagine ha rivelato che, durante l’anno scorso, molte organizzazioni sono state nuovamente compromesse pochi mesi dopo aver subito la violazione iniziale. Secondo gli esperti, questo accade perché tecniche di rilevamento inadeguate spesso non permettono di comprendere la reale portata dell’incidente.
I ricercatori hanno scoperto che molte aziende europee attuano ancora un approccio metodologico tradizionale, analizzando solo poche macchine palesemente coinvolte nella violazione, aumentando quindi il pericolo di essere nuovamente attaccate. Lo sbaglio è non pensare come gli hacker: i criminali informatici, come sottolineano gli esperti, non attaccano una macchina alla volta ma colpiscono l’intera rete.
E per questo è necessario tenere d’occhio tutto l’ambiente IT nel suo complesso. Una indagine completa – che utilizzi un’intelligence ad alta fedeltà e sia basata su una metodologia rapidamente scalabile – permette di coprire tutto il sistema IT aziendale e di comprendere davvero appieno la portata dell’attacco: solo così si può giungere a una completa eradicazione del pericolo.