Nonostante le organizzazioni continuino a investire ingenti somme di denaro in controlli di sicurezza supponendo che questo porti ad una protezione completa delle proprie risorse aziendali, la realtà è che la maggior parte degli attacchi si completa con successo negli ambienti di produzione di diverse organizzazioni senza essere scoperti.
A dirlo sono i risultati del Mandiant Security Effectiveness Report 2020, che rivela i dati su come le organizzazioni si stanno proteggendo dalle minacce informatiche e sull’efficacia complessiva della loro infrastruttura di sicurezza.
Il report riassume i risultati di migliaia di test eseguiti dagli esperti del team Mandiant Security Validation (in precedenza conosciuto come Verodin). I test prevedevano attacchi reali, specifiche azioni malevole, nonché tecniche e tattiche adottate dagli attaccanti, tali test sono stati svolti in ambienti di produzione aziendali in 11 settori industriali diversi, dove sono stati lanciati contro 123 tecnologie di sicurezza leader del mercato – tra cui sistemi network, email, endpoint e soluzioni cloud.
Le sfide sull’efficacia della sicurezza
Nei test, il 53% degli attacchi si è completato con successo negli ambienti senza essere stato rilevato. Il 26% degli attacchi si è completato con successo negli ambienti ma è stato rilevato, mentre solamente il 33% degli attacchi è stato bloccato da strumenti di sicurezza. Sono stati generati allarmi solamente per il 9% degli attacchi, a dimostrazione che la maggior parte delle organizzazioni e dei loro team di sicurezza non hanno la visibilità di cui c’è bisogno sulle minacce gravi, anche quando utilizzano SIEM, SOAR e piattaforme di analisi.
Durante le analisi, il team di Mandiant Security Validation ha osservato che le ragioni più comuni che hanno portato a una scarsa ottimizzazione degli strumenti di sicurezza in uso nelle organizzazioni sono state le seguenti:
- Implementazione con configurazioni predefinite “out-of-the-box”
- Mancanza di risorse per regolare e ottimizzare post-implementazione
- Eventi di sicurezza che non arrivano al SIEM
- Impossibilità di forzare i test di validazione
- Modifiche inattese o alterazioni dell’infrastruttura sottostante
Il rapporto approfondisce anche le tecniche e le tattiche utilizzate dagli aggressori e sottolinea le principali criticità più comunemente riscontrate negli ambienti aziendali attraverso la validazione della sicurezza e la conduzione di test:
- Ricognizione: nel testare il traffico di rete, le organizzazioni hanno riportato che solo il 4% delle attività di ricognizione hanno generato un allarme.
- Compromissioni e ransomware: nel 68% dei casi le organizzazioni hanno riferito che i loro controlli non hanno impedito o rilevato il diffondersi all’interno del loro ambiente.
- Elusione delle policy: nel 65% dei casi, gli ambienti oggetto di validazione non sono stati in grado di impedire o rilevare le azioni condotte.
- Trasferimento di file malevoli: nel 48% dei casi, i controlli in atto non sono stati in grado di prevenire o rilevare la trasmissione e o lo scaricamento di file malevoli.
- Command & Control: il 97% delle azioni eseguite non ha generato un corrispondente allarme nel SIEM.
- Fuga di dati: le tecniche e le tattiche di “exfiltration” hanno avuto successo nel 67% dei casi durante i test iniziali.
- Movimenti laterali: il 54% delle tecniche e delle tattiche utilizzate per eseguire i test di movimento laterale non sono state rilevate.
Oltre alle analisi menzionate precedentemente e alle cause più probabili alla base delle diverse problematiche, il Mandiant Security Effectiveness Report 2020 offre esempi reali che dimostrano l’impatto negativo che questi gap di performance hanno causato in vari settori industriali.
Come riferito in una nota ufficiale da Chris Key, Senior Vice President di Mandiant Security Validation: «La nostra ricerca mostra che nonostante la maggior parte delle aziende presume di essere protetta, la verità è che il più delle volte sono esposte. Utilizzando sistemi di validazione automatica della sicurezza, integrata con le più recenti informazioni sulle minacce e la competenza che arriva dalle attività di Incident Response svolte in prima linea, siamo in grado di aiutare i clienti a validare la sicurezza della loro infrastruttura, testando le minacce che hanno più probabilità di colpire la loro organizzazione. Questa combinazione non è solo una potente misura difensiva, ma aiuta anche le aziende a dare priorità agli investimenti dove avranno il maggiore impatto. Che se ne rendano conto o meno, le organizzazioni di tutti i settori industriali devono combattere contro la realtà allarmante che viene rivelata nel nostro Security Effectiveness Report. L’unico modo efficace per farlo è la continua validazione dei controlli di sicurezza contro le minacce nuove ed esistenti, con una tecnologia che automatizzi la misurazione dell’efficacia della sicurezza e fornisca dei dati oggettivi per poterne misurare i risultati. Il nostro report fornisce una guida su come arrivare a ottenere esattamente questo».
