FireEye, attiva in Italia dal 2014 con uffici a Roma e Milano, opera nel mondo della sicurezza dal 2004 ed ha potuto seguire l’evoluzione nel modo in cui cambiano gli attacchi e le contromisure messe in atto dagli Stati e dalle aziende. “Attualmente lo scenario della cyber security si trova in un momento di fermento perchè gli attacchi non sono più solo quelli portati avanti da Stato verso Stato – esordisce Marco Riboli, VP Southern Europe FireEye –, ma coinvolgono anche aziende, con una superficie degli attacchi molto ampliata come conseguenza dell’esplosione dell’IoT che coinvolge in maniera sempre più incisiva anche l’industria produttiva, vittima o potenziale vittima di attacchi con effetti devastanti”.
FireEye cerca di stare al passo con i tempi e per questo a sua volta è andata incontro ad una mutazione radicale proponendosi non più come mera società produttrice di tecnologia, ma anche e soprattutto (in seguito alle acquisizioni di Mandiant e iSight Security) come vero e proprio consulente che propone servizi di intelligence e servizi appunto di consulting. L’Italia si conferma essere un paese importante per l’azienda, con una crescita continua negli ultimi 4 anni, soprattutto nelle parte relativa ai servizi (oggi 60% del business deriva dai servizi e il 40% dalle tecnologie). Il team italiano conta su 15 persone ed è poi affiancato da partner che lavorano a stretto contatto sul territorio per segue clienti di fascia enterprise (prevalentemente sopra i mille dipendenti), lasciando fuori le piccole e medie imprese, se non per alcune eccezioni. “Tra i nostri clienti la sensibilità nei confronti delle tematiche di security è in crescita senza dubbio, anche se ancora non si investe abbastanza in formazione, mentre le imprese della fascia small e medium necessitano ancora di evangelizzazione”.
Le tendenze: l’M-Trends Report 2019
Per fare luce su questo mondo in continuo fermento anche nel 2019 FireEye presenta l’M-Trends Report, giunto alla decima edizione, il report che Mandiant dedica annualmente ai trend principali che coinvolgono il mondo della sicurezza basati su dati raccolti a livello globale.
Si parte con un dato costante: ad essere il più colpito resta il settore del Finance (che ha rappresentato il 24% delle investigazioni condotte da FireEye nel 2018) cui seguono i servizi di business e professionali (17%) e il settore retail e hospitality (12%).
Se guardiamo agli attacchi e ai tempi di reazione delle imprese si nota che il dwell time, il tempo intercorso tra l’attacco e la sua scoperta, è in miglioramento. Nel 2017 la durata media tra l’inizio di un’intrusione e il rilevamento da parte di un team interno era di 57,5 giorni, mentre nel 2018 questo dato è sceso a 50,5 giorni.
“I clienti – sottolinea Gabriele Zanoni, Senior Systems Engineer, FireEye – si sono dotati di tecnologie utili nella rilevazione degli attacchi e a livello EMEA si nota che ormai sia i team interni che esterni si stanno dividendo in modo equo la parte di notifica degli incidenti, anche se i cyber pirati possono fare ancora molto provocando danni importanti”.
Il fatto che le aziende ormai riescano a individuare l’attacco in tempi sempre minori sposta però il focus sulla gestione e la comunicazione di questo attacco.
Un altro trend importante è che gli attaccanti sono sempre più determinati: si evidenzia che le organizzazioni che sono state vittime di attacchi saranno probabilmente prese di nuovo di mira (per non vanificare l’investimento dei cyber criminali). Le probabilità di essere nuovamente vittima di un’intrusione crescono del 10% anno su anno.
Il report evidenzia poi come crescano gli attacchi di phishing legati ad operazioni di merge & acquisition: le email di phishing sfruttano fonti attendibili, così da mostrare al destinatario la provenienza da un mittente conosciuto, aumentando in questo modo la probabilità che le vittime possano abilitare le macro, aprire gli allegati o cliccare su un link. Per raggiungere i propri obiettivi, gli attaccanti ricorrono a vari espedienti, tra cui la compromissione degli strumenti di autenticazione a due fattori, il re-indirizzamento del flusso email e l’installazione di malware.
Focus su APT40
Nel report è anche preso in esame uno dei gruppi di hacker più discusso degli ultimi tempi, il gruppo APT40, sponsorizzato dal governo cinese e che ha preso di mira diverse realtà tra cui anche aziende europee in linea con il mandato del governo cinese di ricreare una sorta di via della seta. APT40 (noto anche come Periscope) ha condotto campagne contro una serie di settori tra cui quello navale, della difesa, dell’aviazione, delle aziende chimiche, degli enti impegnati nella ricerca e nell’istruzione e contro governi ed aziende tecnologiche. Secondo FireEye, questo gruppo è sponsorizzato a livello del governo di Pechino.
Per finire, un’altra delle tendenze in primo piano è quella dell’aumento del numero degli attacchi verso le criticità degli ambienti OT, che hanno come target sì aziende grandi ma anche di piccole e medie dimensioni, che quindi hanno apparati di difesa molto meno strutturati, da utilizzare come delle sorta di “cavalli di troia” per bucare poi i sistemi informativi delle grandi aziende di cui sono fornitrici.
Allarme elezioni politiche
FireEye ha infine messo in guardia i governi europei, che in vista delle prossime elezioni politiche europee, potrebbero prendere di mira i nostri Stati. Dietro questo tipo di attacchi si nasconde probabilmente il governo russo.
“Questi attaccanti cercano di avere accesso alle reti delle vittime per raccogliere informazioni che possano permettere alla Russia di prendere decisioni politiche più ponderate, oppure prepararsi per diffondere dati e danneggiare un particolare partito o candidato politico prima delle elezioni europee”.
