• 31 Ottobre 2024 0:31

Corriere NET

Succede nel Mondo, accade qui!

Verizon pubblica il Cyber-Espionage Report

Dic 2, 2020

«Il crimine informatico opera sotto molte forme e su scale differenti, ma combatterlo e prevenirlo è sempre ugualmente importante” commenta John Grim, principale autore del Verizon Cyber-Espionage Report, appena rilasciato dall’operatore statunitense. “L’obiettivo – prosegue Grim – è quello di condividere la nostra esperienza e i dati relativi allo spionaggio informatico, per aiutare le aziende e i governi ad adattare le loro strategie di sicurezza IT per renderle più efficaci».

Utilizzando i dati dei Verizon Business Data Breach Investigations Report (DBIR), gli esperti del Verizon Threat Research Advisory Center (VTRAC) hanno realizzato il Verizon Cyber-Espionage Report (CER). Il rapporto, disponibile qui, analizza le ultime sette edizioni del DBIR (dal 2014 al 2020) e si concentra sulla natura unica del cyberspionaggio, prendendo in esame gli autori degli attacchi e le azioni che intraprendono, nonché le capacità specifiche di cui i team di sicurezza IT hanno bisogno per rilevare questi attacchi e difendersi da essi.

Analizzando le tipologie di violazioni più diffuse, si evince che quelle determinate da motivazioni finanziarie sono le più comuni (con un range che varia tra il 67-86% nel periodo preso in esame), mentre quelle riconducibili al cyberspionaggio hanno numeri relativamente più bassi (tra il 10-26%). Tuttavia, non per questo sono meno dannose o preoccupanti; per loro stessa natura questi attacchi sono più invasivi e violenti rispetto agli altri. Mentre le violazioni motivate da scopi finanziari hanno maggiori probabilità di essere scoperte proprio a causa della perdita di denaro che determinano e segnalate anche a seguito di politiche normative, i dati rubati con una violazione di spionaggio informatico sono spesso estremamente importanti in termini di segretezza e sensibilità e criticità per le aziende.

Hacker

Non sorprende che fra i settori maggiormente presi di mira vi siano quello pubblico (31%) seguito dal manifatturiero (22%) e da quello dei professionisti (11%), probabilmente perché detengono i segreti e le informazioni più desiderati dagli hacker. Rispetto alle altre tipologie di violazioni, gli attacchi di cyberspionaggio differiscono nelle tattiche utilizzate, nell’abilità e nella pazienza delle cyberspie. Malware (90%), social engineering (83%) e hacking (80%) sono le principali strategie messe in campo dai criminali per le loro attività di spionaggio informatico.

Ciò differisce rispetto a quanto accade prendendo in esame tutte le tipologie di violazioni: in questo caso l’hacking (56%) è la tattica dominante seguita da malware (39%) e social engineering (29%). Perché questa differenza? Le motivazioni possono essere rintracciate nel processo lento, metodico e prolungato che caratterizza queste strategie, che si adatta perfettamente alla complessità degli attacchi di spionaggio informatico. Gli attacchi perpetrati dalle cyberspie impiegano mesi o anni per essere scoperti, molto più di quanto accade per gli altri tipi di violazione, aspettando spesso nell’ombra finché non è il momento di colpire.

Il Cyber-Espionage Report riporta anche alcune raccomandazioni su come le organizzazioni possono difendersi e riprendersi da tali attacchi. In particolare, i dipendenti sono la prima linea di difesa. Il social engineering, o phishing, è un metodo comune utilizzato dalle cyberspie per ottenere l’accesso a sistemi sensibili; è fondamentale che i dipendenti intraprendano una formazione regolare in materia di sicurezza informatica. Bisogna poi rafforzare la sicurezza perimetrale. Questa (intesa ad esempio come segmentazione della rete) assieme a una più solida capacità di gestione degli accessi (ad esempio utilizzando restrizioni need-to-know) può mitigare gli attacchi di cyberspionaggio.

Una concreta strategia di Managed Detection e Response (MDR) può smascherare gli indicatori di compromissione sulla rete e sugli endpoint. I componenti essenziali dell’MDR includono le tecnologie SIEM (Security Information and Event Management), l’intelligence sulle minacce, l’analisi del comportamento di utenti ed enti (UEBA) e le funzionalità di ricerca delle minacce, nonché le integrazioni con le tecnologie di rilevamento e risposta degli endpoint (EDR), di rilevamento e risposta di rete (NDR) e antifrode. Prevenire il furto o la perdita di dati (DLP) può impedire che i dati sensibili vengono sottratti attraverso una backdoor. L’ottimizzazione dell’intelligence sulle minacce informatiche per aiutare a riconoscere gli indicatori di compromissione, il miglioramento di tattiche, tecniche e procedure e l’implementazione di un solido piano di risposta agli incidenti sono tutte strategie importanti per combattere il cyberspionaggio.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. Guarda la Policy

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close