Sono preoccupanti i dati condivisi da Kaspersky nel report Incident Response 2023 relativo ai cyberattacchi prolungati, ovvero quegli attacchi informatici che persistono per più di un mese. Essi hanno costituito il 21,85% del totale, con un aumento del 5,55% rispetto al 2022. Una tendenza significativa osservata in questi attacchi è lo sfruttamento delle relazioni di fiducia come vettore primario. Le compromissioni basate sulle relazioni di fiducia non sono una novità, ma nel 2023 la loro frequenza è aumentata, rappresentando il 6,78% del numero totale di attacchi.
Le caratteristiche dei cyberattacchi prolungati
Dal momento il metodo dei cyberattacchi prolungati consente agli attori delle minacce di colpire più vittime grazie alla compromissione di una sola organizzazione, i team investigativi devono affrontare diverse sfide aggiuntive. In primo luogo, le aziende inizialmente prese di mira non sempre riconoscono l’importanza di indagini approfondite e possono essere riluttanti a collaborare.
In secondo luogo, gli attacchi avviati attraverso relazioni di fiducia spesso richiedono più tempo per passare dall’intrusione iniziale alla fase finale di violazione. Per questo motivo, il 50% dei cyberattacchi prolungati è durato più di un mese. Una percentuale simile di attacchi di durata superiore a un mese è stata registrata esclusivamente nell’ambito dei vettori insider e phishing.
I consigli di Kaspersky
Per mitigare i rischi evidenziati nel report sui cyberattacchi prolungati, Kaspersky consiglia di:
- Promuovere una cultura di consapevolezza della sicurezza tra i dipendenti.
- Limitare l’accesso pubblico alle interfacce di gestione.
- Applicare una policy a tolleranza zero per la gestione delle patch o implementare misure di compensazione per le applicazioni accessibili al pubblico.
- Eseguire il backup dei dati critici per ridurre al minimo i danni.
- Implementare robusti criteri per le password e l’autenticazione a più fattori.
- Per migliorare la protezione delle aziende contro gli attacchi avanzati e rilevarli nelle fasi iniziali, è importante adottare servizi di sicurezza gestiti come Kaspersky Managed Detection and Response (MDR).
- In caso di attività sospette che possono portare a violazioni o di incidenti già avvenuti, chiedere l’aiuto di esperti di cybersicurezza che forniscono servizi, come Kaspersky Incident Response.
Il parere dell’esperto
“Le minacce alla sicurezza informatica sono in continua evoluzione e i nostri risultati sottolineano il ruolo critico della fiducia negli attacchi informatici. Nel 2023 e per la prima volta negli ultimi anni, gli attacchi basati su relazioni di fiducia sono stati tra i tre vettori più utilizzati. La metà dei cyberattacchi prolungati è stata rilevata solo dopo la scoperta di una fuga di dati. Sfruttando le relazioni di fiducia, i criminali informatici possono prolungare gli attacchi e infiltrarsi nelle reti per periodi più lunghi con rischi significativi per le organizzazioni. È indispensabile che le aziende rimangano vigili e diano priorità alle misure di sicurezza per proteggersi da tattiche così sofisticate”, ha commentato Konstantin Sapronov, Head of Global Emergency Response Team di Kaspersky.
