«Il crimine informatico opera sotto molte forme e su scale differenti, ma combatterlo e prevenirlo è sempre ugualmente importante” commenta John Grim, principale autore del Verizon Cyber-Espionage Report, appena rilasciato dall’operatore statunitense. “L’obiettivo – prosegue Grim – è quello di condividere la nostra esperienza e i dati relativi allo spionaggio informatico, per aiutare le aziende e i governi ad adattare le loro strategie di sicurezza IT per renderle più efficaci».
Utilizzando i dati dei Verizon Business Data Breach Investigations Report (DBIR), gli esperti del Verizon Threat Research Advisory Center (VTRAC) hanno realizzato il Verizon Cyber-Espionage Report (CER). Il rapporto, disponibile qui, analizza le ultime sette edizioni del DBIR (dal 2014 al 2020) e si concentra sulla natura unica del cyberspionaggio, prendendo in esame gli autori degli attacchi e le azioni che intraprendono, nonché le capacità specifiche di cui i team di sicurezza IT hanno bisogno per rilevare questi attacchi e difendersi da essi.
Analizzando le tipologie di violazioni più diffuse, si evince che quelle determinate da motivazioni finanziarie sono le più comuni (con un range che varia tra il 67-86% nel periodo preso in esame), mentre quelle riconducibili al cyberspionaggio hanno numeri relativamente più bassi (tra il 10-26%). Tuttavia, non per questo sono meno dannose o preoccupanti; per loro stessa natura questi attacchi sono più invasivi e violenti rispetto agli altri. Mentre le violazioni motivate da scopi finanziari hanno maggiori probabilità di essere scoperte proprio a causa della perdita di denaro che determinano e segnalate anche a seguito di politiche normative, i dati rubati con una violazione di spionaggio informatico sono spesso estremamente importanti in termini di segretezza e sensibilità e criticità per le aziende.
Non sorprende che fra i settori maggiormente presi di mira vi siano quello pubblico (31%) seguito dal manifatturiero (22%) e da quello dei professionisti (11%), probabilmente perché detengono i segreti e le informazioni più desiderati dagli hacker. Rispetto alle altre tipologie di violazioni, gli attacchi di cyberspionaggio differiscono nelle tattiche utilizzate, nell’abilità e nella pazienza delle cyberspie. Malware (90%), social engineering (83%) e hacking (80%) sono le principali strategie messe in campo dai criminali per le loro attività di spionaggio informatico.
Ciò differisce rispetto a quanto accade prendendo in esame tutte le tipologie di violazioni: in questo caso l’hacking (56%) è la tattica dominante seguita da malware (39%) e social engineering (29%). Perché questa differenza? Le motivazioni possono essere rintracciate nel processo lento, metodico e prolungato che caratterizza queste strategie, che si adatta perfettamente alla complessità degli attacchi di spionaggio informatico. Gli attacchi perpetrati dalle cyberspie impiegano mesi o anni per essere scoperti, molto più di quanto accade per gli altri tipi di violazione, aspettando spesso nell’ombra finché non è il momento di colpire.
Il Cyber-Espionage Report riporta anche alcune raccomandazioni su come le organizzazioni possono difendersi e riprendersi da tali attacchi. In particolare, i dipendenti sono la prima linea di difesa. Il social engineering, o phishing, è un metodo comune utilizzato dalle cyberspie per ottenere l’accesso a sistemi sensibili; è fondamentale che i dipendenti intraprendano una formazione regolare in materia di sicurezza informatica. Bisogna poi rafforzare la sicurezza perimetrale. Questa (intesa ad esempio come segmentazione della rete) assieme a una più solida capacità di gestione degli accessi (ad esempio utilizzando restrizioni need-to-know) può mitigare gli attacchi di cyberspionaggio.
Una concreta strategia di Managed Detection e Response (MDR) può smascherare gli indicatori di compromissione sulla rete e sugli endpoint. I componenti essenziali dell’MDR includono le tecnologie SIEM (Security Information and Event Management), l’intelligence sulle minacce, l’analisi del comportamento di utenti ed enti (UEBA) e le funzionalità di ricerca delle minacce, nonché le integrazioni con le tecnologie di rilevamento e risposta degli endpoint (EDR), di rilevamento e risposta di rete (NDR) e antifrode. Prevenire il furto o la perdita di dati (DLP) può impedire che i dati sensibili vengono sottratti attraverso una backdoor. L’ottimizzazione dell’intelligence sulle minacce informatiche per aiutare a riconoscere gli indicatori di compromissione, il miglioramento di tattiche, tecniche e procedure e l’implementazione di un solido piano di risposta agli incidenti sono tutte strategie importanti per combattere il cyberspionaggio.