Il guadagno economico rimane lo scopo principale per il crimine informatico, con quasi 9 violazioni su 10 (86%) fra quelle analizzate motivate da finalità finanziarie.
A dirlo è il Data Breach Investigations Report 2020 condotto da Verizon Business (DBIR 2020) analizzato 32.002 attacchi, di cui 3.950 violazioni confermate, in casi provenienti da 81 aziende globali di altrettanti Paesi, coprendo 16 settori verticali.
Ne esce un quadro secondo cui la maggioranza delle violazioni continua a essere causata da attori esterni – il 70% – con il crimine organizzato che ne rappresenta il 55%. Il furto di credenziali e gli attacchi social engineering, così come il phishing e le compromissioni delle e-mail aziendali causano la maggior parte delle violazioni (oltre il 67%), e in particolare:
Il 37% delle violazioni legate al furto di credenziali è stata determinata dall’utilizzo di credenziali rubate o deboli
Il 25% ha coinvolto attività di phishing
L’errore umano ha interessato il 22% delle violazioni
Rispetto al 2019, il DBIR 2020 ha anche messo in evidenza il raddoppio delle violazioni delle applicazioni web, che si attestano al 43%, e che nell’80% di questi casi sono stati utilizzate credenziali rubate – una tendenza preoccupante considerando che i principali flussi di lavoro aziendali si stanno spostando sempre più verso il cloud. Anche il ransomware ha visto un leggero aumento, rilevato quest’anno nel 27% degli attacchi malware (rispetto al 24% del DBIR 2019); Il 18% delle organizzazioni ha riferito di aver bloccato almeno un attacco ransomware durante lo scorso anno.
Come suggerito in un commento ufficiale da Tami Erwin, CEO di Verizon Business: «Man mano che il lavoro da remoto aumenta a causa della pandemia globale, la sicurezza end-to-end abbraccia l’intero flusso di lavoro, dal cloud al laptop dei dipendenti, diventando fondamentale. Oltre a proteggere i loro sistemi dagli attacchi, esortiamo tutte le aziende a continuare la formazione dei dipendenti man mano che gli schemi di phishing diventano sempre più sofisticati e dannosi».
I modelli comuni offrono un vantaggio per la difesa
Il DBIR 2020 ha ribadito l’esistenza di modelli comuni riscontrati nei processi di attacco informatico, consentendo alle organizzazioni di identificare gli obiettivi dei malintenzionati mentre l’aggressione è ancora in corso. Se associati al tipo di minaccia (ad esempio errore, malware, fisica, pirateria informatica), questi processi di violazione possono aiutare a prevedere l’eventuale obiettivo della stessa, consentendo così di bloccare gli attacchi sul nascere. Le organizzazioni sono quindi in grado di ottenere una sorta di “vantaggio per la difesa” e comprendere meglio dove concentrare gli sforzi per la sicurezza.
Le piccole imprese non sono immuni
Il numero crescente di piccole e medie imprese che utilizzano applicazioni e strumenti cloud e web le ha rese i principali obiettivi per i cybercriminali.
I risultati DBIR del 2020 mostrano che:
Il phishing è la principale minaccia per le piccole organizzazioni e rappresenta oltre il 30% delle violazioni, seguita dall’uso di credenziali rubate (27%) e dai dumper per le password (16%).
- Gli aggressori hanno preso di mira credenziali, dati personali e altri dati interni relativi al tipo di attività svolta quali cartelle cliniche, informazioni riservate o dati di pagamento.
- Oltre il 20% degli attacchi ha riguardato applicazioni web e ha comportato l’uso di credenziali rubate.
Settori analizzati
Il DBIR 2020 include un’analisi dettagliata di 16 settori e mostra che, nonostante la sicurezza resti una sfida a tutto tondo, ci sono differenze significative tra i vari verticali. Ad esempio, nel settore manifatturiero, il 23% degli attacchi malware è stato causato da ransomware, rispetto al 61% nel settore pubblico e all’80% nell’istruzione. Gli errori hanno rappresentato il 33% delle violazioni nel settore pubblico, ma solo il 12% di quelle nel settore produttivo.
Altri dati significativi sui vari settori includono:
- Manifatturiero: gli attori esterni che sfruttano malware, come dumper di password, capturer per i dati delle app e downloader per ottenere dati proprietari a scopo di lucro, rappresentano il 29% delle violazioni del settore produttivo.
- Retail: il 99% degli incidenti è stato motivato da finalità economiche, con i dati di pagamento e credenziali personali che continuano ad essere informazioni appetibili. Le applicazioni web, e non più i dispositivi Point of Sale (POS), sono ora la principale causa di violazioni in quest’ambito.
- Finanza e assicurazioni: il 30% delle violazioni in questo settore è stato causato da attacchi alle applicazioni web, lanciati principalmente da attori esterni che utilizzano credenziali rubate per ottenere l’accesso ai dati sensibili archiviati nel cloud. Il passaggio ai servizi online è un fattore chiave.
- Istruzione: quest’anno gli attacchi ransomware sono raddoppiati, rappresentando a oggi circa l’80% degli attacchi malware – contro il 45% dell’anno scorso – mentre il social engineering ha rappresentato il 27% degli incidenti.
- Sanità: il banale errore umano ha determinato il 31% delle violazioni del settore sanitario, di cui il 51% è costituito da violazioni esterne (rispetto al 42% del DBIR 2019), poco più frequenti di quelle causate dagli addetti ai lavori che si attestano al 48% (59% nel report 2019). A causa del maggior accesso alle credenziali, questo settore rimane quello con il più alto numero di attacchi provenienti dall’interno.
- Settore pubblico: il ransomware ha rappresentato il 61% degli attacchi malware. Il 33% delle violazioni è stato determinato da incidenti causati dagli addetti ai lavori. Tuttavia, le organizzazioni sono notevolmente migliorate nell’individuare le violazioni: grazie all’introduzione di standard di reportistica legislativa, solo il 6% delle violazioni non è stata scoperta per un anno, rispetto al 47% rilevato nell’edizione precedente.
Trend regionali
Le 81 aziende coinvolte nel DBIR 2020 hanno fornito ai ricercatori approfondimenti specifici sulle tendenze informatiche regionali, evidenziando le principali similarità e differenze. Ad esempio, le violazioni motivate da finalità finanziarie hanno rappresentato il 91% dei casi in Nord America, rispetto al 70% in Europa, Medio Oriente e Africa e 63% nell’area Asia-Pacifico.
Altri risultati importanti sono:
- Nord America: la tecnica più comunemente sfruttata è stata quella delle credenziali rubate, che rappresentano oltre il 79% delle violazioni di hacking; il 33% delle violazioni era associato al phishing o al pretexting.
- Europa, Medio Oriente e Africa (EMEA): gli attacchi Denial of Service (DoS) hanno rappresentato oltre l’80% degli attacchi malware; il 40% delle violazioni era diretto alle applicazioni web, utilizzando una combinazione di tecniche di hacking che sfruttano credenziali rubate o vulnerabilità note. Infine, il 14% delle violazioni è stato associato al cyber-spionaggio.
- Asia-Pacifico (APAC): il 63% delle violazioni era motivato da scopi finanziari e anche gli attacchi di phishing sono risultati elevati, oltre il 28%.
Per Alex Pinto, fra i principali autori del Data Breach Investigations Report di Verizon Business: «I titoli dei giornali sui temi della sicurezza spesso parlano di spionaggio o di vendetta, come motivazioni chiave per il cyber-crimine – i nostri dati mostrano che non è così. Il guadagno economico continua a spingere la criminalità organizzata a sfruttare le vulnerabilità del sistema o l’errore umano. La buona notizia è che le organizzazioni possono fare molto per proteggersi, incluso trovare schemi comuni nei diversi percorsi che caratterizzano un attacco informatico – questo è un punto di svolta per la sicurezza – che rimette il controllo nelle mani delle organizzazioni».