Lo dwell time (il tempo che impiega un’azienda ad accorgersi che è stata vittima di un attacco informatico e a porvi rimedio) sta diminuendo in maniera progressiva. L’attribuzione degli attacchi sta diventando sempre più difficoltosa e si ravvisa sempre più forte la necessità per le aziende di dotarsi di intelligence. Le brecce sono inevitabili e il reale obiettivo è la resilienza all’attacco.
Sono questi i tre concetti chiave che emergono dal report FireEye M-Trends 2017, un’analisi che arriva direttamente dalla “trincea” e che pertanto è proprio più preziosa. La necessità, per le aziende, è quella di aumentare la consapevolezza e cambiare forma mentis, in un percorso dove la sicurezza non è più concepita solo come un insieme di tecnologie per la prevenzione, ma dove giocano un ruolo cruciale anche gli aspetti di detention e remediation. All’insegna della resilienza. L’obiettivo è quello di individuare il paziente zero, cercare di non perderlo, curarlo per poi condividere la cura con gli altri attori presenti sul mercato. Per far fronte ad un nemico comune che diventa sempre più astuto e pericoloso.
Come evolve il nemico
Quello che sottolinea il report è che la minaccia cyber è ormai trasversale: non sono più interessati solo il settore del government e del finance, ma un po’ tutti i settori verticali, a partire dalla GDO e dal retail, per arrivare fino all’Healthcare e all’Oil&Gas. Il nemico inoltre diventa sempre più organizzato e strutturato, innova le sue tecniche (tra le maggiori novità anche il crescere dell’impertinenza arrivando addirittura a contattare telefonicamente i bersagli per aiutarli ad attivare le macro in un documento di phishing per ottenere l’indirizzo email personale di un dipendente per aggirare i controlli che proteggono gli indirizzi email aziendali) e si avvale anche di apparati infrastrutturali di un certo rilievo.
Diminuisce lo dwell time
La buona notizia è la riduzione proprio dello dwell time, che arriva a quota 99 giorni in media (47 in meno che nel 2015). Un dato positivo ma non ancora abbastanza buono se si pensa che un Red Team Mandiant può infatti ottenere l’accesso alle credenziali di amministratore di dominio entro tre giorni dall’accesso iniziale a un ambiente (quindi 99 giorni sono ancora 96 giorni di troppo).
A livello EMEA il numero si aggira invece sui 106 giorni, a testimonianza che comunque la maturazione delle aziende sta crescendo. Worldwide le aziende scoprono da sole l’attacco ai propri danni in media in 80 giorni, mentre se la segnalazione arriva dall’esterno (ad esempio dalla stampa) i giorni crescono a 107. In EMEA il numero di giorni è invece rispettivamente di 83 e 128 nel caso la notifica arrivi dall’interno piuttosto che dall’esterno.
Numeri positivi se si pensa ai 400 giorni del 2011, rispetto al quale crescono anche i casi di notifica interna (53%) rispetto a quella esterna (47%).
Focus sull’Italia
Se ci focalizziamo sull’Italia nell’ultimo anno l’attività cyber è cresciuta del 28%, senza un grande sforzo da parte degli attaccanti, che con il phishing vanno quasi sempre a segno. L’ammontare delle perdite sale a 9 miliardi e anche qui i bersagli sono trasversali in tutti i settori verticali.
Il nostro Paese si trova al quinto posto in Europa come numero degli attacchi. Siamo un target importante ma 1/3 dei top manager sottovaluta ancora la questione non ravvisando tuttora la necessità di investire pesantemente in cyber sicurezza, soprattutto a livello di piccole e medie imprese. Piano piano però la situazione sta cambiando e si assiste a una maggiore sensibilizzazione (solo il 6% delle aziende ritiene di non essere a rischio).
Quello che è evidente, anche in Italia, è che la prevenzione non è più sufficiente tanto è vero che Garnter prevede che nel 2020 il 60% delle aziende investirà in detection e response.
Una spinta a muoversi in questa direzione dovrebbe arrivare anche dal GDPR, dal quale ci si aspetta di traghettare le imprese verso una maggiore maturità sulla necessità di protezione del dato.
