FireEye e Mandiant: “Aziende più reattive nell’individuare gli attacchi”

Apr 20, 2021 Marco Schiaffino In evidenza, News, Scenario 0

La nuova edizione del report annuale M-Trends mostra un miglioramento nella capacità di individuare le violazioni dei loro sistemi informatici.

La vera notizia è che le cose andrebbero un po’ meglio. A sostenerlo è il report M-Trends 2021 di FireEye e Mandiant che analizza gli attacchi (e le capacità di risposta) registrati nel corso del 2020.

La pubblicazione (scaricabile a questo indirizzo) è arrivata alla sua dodicesima edizione e, grazie a questa dimensione temporale, permette agli analisti di fare anche una valutazione sulle tendenze registrate nel corso degli scorsi 12 mesi.

Gli elementi positivi sono due: il primo riguarda la capacità di rilevare autonomamente le violazioni dei sistemi IT, che rispetto al precedente rilevamento è aumentata di un considerevole 12%. In altre parole, rispetto al 2019 le organizzazioni hanno migliorato le loro capacità di detection.

Buone notizie anche per quanto riguarda il dwell time, cioè il tempo che trascorre tra la violazione e la sua scoperta/eradicazione. In questo caso, però, il dato mostra delle differenze piuttosto rilevanti a seconda dell’area geografica che si considera.

Nel continente americano, infatti, il dwell time medio è precipitato da 32 a soli 9 giorni. Per quanto riguarda l’area asiatico-pacifica ed EMEA, invece, i tempi di rilevamento e contrasto hanno subito mediamente un aumento, attestandosi rispettivamente a 33 e 29 giorni.

Il dato, spiegano gli stessi autori del report, è però parzialmente “drogato” da alcuni fattori specifici. Uno di questi è il fatto che le medie per quanto riguarda Europa, Asia, Medio Oriente, Africa e Pacifico sono influenzate da singoli episodi con un dwell time eccezionalmente alto (più di 3 anni) che sposta la media verso l’alto.

Il secondo fattore distorsivo opera invece in senso inverso e riguarda il fenomeno dei ransomware, che per loro stessa caratteristica riducono il tempo necessario per individuare l’attacco.

Insomma: in molti casi, la scoperta della violazione non è merito degli esperti di sicurezza ma la diretta conseguenza di un evento terribilmente appariscente come il blocco dei sistemi.

Se si considera che le investigazioni su attacchi ransomware sono passate dal 14% del 2019 al 25% del 2020, si capisce il livello di impatto che hanno avuto sulle statistiche.

“Mentre le organizzazioni continuano a migliorare la capacità interna di rilevare le compromissioni, essere in grado di contenere gli avversari presenta sfide del tutto nuove. Le conseguenze della pandemia globale hanno costretto le aziende a ripensare la propria operatività con una forza lavoro attiva da remoto” spiega Jurgen Kutscher, Executive Vice President di Mandiant. “Questo ha fatto sì che le infrastrutture VPN, le video-conference, le piattaforme di collaborazione e di condivisione di file e materiali diventassero indispensabili e cambiassero la superficie e il perimetro di attacco delle organizzazioni”.

“In molti casi, dipendenti senza adeguate qualifiche sono stati trasformati improvvisamente in responsabili della connettività e della sicurezza cyber. Le aziende che si occupano di Servizi Professionali e di Servizi alle Aziende sono tra i primi cinque settori colpiti a partire dal 2016, crediamo che l’aumento dei servizi aziendali necessari per lo svolgimento dell’attività lavorativa da remoto abbia reso questo settore il più colpito nel 2020 sia da parte di cyber criminali sia tramite attacchi state-sponsored” conclude Kutscher.

Condividi l'articolo