Nel campo della sicurezza informatica vige una regola d’oro: mai abbassare la guardia. I criminali informatici sfruttano ogni tipo di vulnerabilità per “portare a casa il bottino” e aspettano il momento giusto per attaccare. Per questo motivo gli esperti di cybersecurity consigliano di non abbassare mai le difese dei propri sistemi IT, soprattutto nei periodi delle festività, dei week end o di eventi aziendali importanti. È proprio in questi frangenti che gli attacchi ransomware hanno maggior successo!
Semperis, pioniere nella resilienza informatica basata sull’identità, ha rilasciato i risultati di uno studio che evidenziano notevoli lacune nelle difese delle organizzazioni contro gli attacchi ransomware legate alla riduzione del personale di sicurezza informatica durante le festività e nei fine settimana. Gli attaccanti prevedono questo comportamento da parte delle aziende e lanciano attacchi ransomware proprio in quei giorni, oltre che durante eventi aziendali importanti, quando il livello di distrazione dei dipendenti è alto.
Lo studio “2024 Ransomware Holiday Risk Report” è stato condotto da Censuswide con interviste a 900 professionisti dell’IT e della security in differenti mercati verticali negli Stati Uniti, Regno Unito, Francia e Germania. È stato poi condotto uno studio più ristretto in Italia, con interviste a un panel di 100 professionisti dell’IT e della security in differenti mercati verticali (education, finance, manufacturing, healthcare, IT/telecom, trasporti/travel).
Gli attacchi ransomware in Italia
Dal report riferito all’Italia emerge che il 58% delle organizzazioni italiane intervistate hanno subito attacchi ransomware durante una festività o un fine settimana. Tra i mercati verticali più colpiti vi sono: Education (100%), Healthcare (100%), Finance (67%), IT/telcom (57%), Travel/Trasporti (50%), Manufacturing (43%).
Alla domanda “avete un SOC attivo 24/7 per 365 giorni l’anno e il SOC è interno o esterno?”, le risposte sono state differenti per i vari mercati verticali, anche nello split SOC interno o SOC in outsourcing: Healthcare 100% (interno), Education 100% (interno), Travel/Trasporti 100% (interno), Finance 100% (92% interno – 8% esterno), IT/Telecom 93% (67% interno, 26% esterno), Manufacturing 86% (57% interno, 29% esterno).
Agli intervistati è stato poi chiesto se durante i weekend o i giorni di festività riducono le risorse dedicate alla sicurezza informatica e di quanto: l’82% ha dichiarato di ridurre le risorse di security del 50%. Le organizzazioni nell’industria dei trasporti sono quelle che dichiarano di mantenere il 50% o più delle risorse di security durante le festività o i weekend. Il 59% delle organizzazioni che ha ridotto il personale SOC durante le festività e i fine settimana lo ha fatto per proteggere l’equilibrio tra lavoro e vita privata.
Il report ha anche indagato se le aziende sono più colpite dagli attacchi ransomware durante eventi aziendali come IPO, acquisizioni, fusioni. Il 38% delle aziende italiane intervistate è stato vittima di un attacco ransomware dopo un evento aziendale rilevante, a dimostrazione che anche in questi frangenti occorre tenere alta la guardia.
La resilienza aziendale dipende dall’Identity Protection
La protezione dell’identità è fondamentale per la resilienza aziendale ed è il motivo per il quale Microsoft Active Directory è uno dei principali obiettivi degli autori delle minacce. È stato quindi chiesto se le aziende intervistate hanno un piano di recupero dell’identità. L’87% ha risposto in modo affermativo, con risultati differenti nei mercati verticali indagati: Healthcare (100%), Finance (92%), IT/Telcom (89%), Manufacturing (71%), Education (50%) e Trasporti (50%).
Alla domanda “Quanto tempo ha impiegato l’azienda per ripristinare le funzionalità IT minime?” le risposte sono state: meno di 5 ore (21%), da 5 ore a 1 giorno (44%), da 1 a 7 giorni (31%), più di 7 giorni (4%).
“Durante le festività e i weekend le aziende non devono ridurre la propria vigilanza contro gli attacchi informatici. Al contrario, dovrebbero prendere in considerazione l’idea di aumentare le proprie difese contro gli attacchi ransomware” ha dichiarato Bruno Filippelli, Sales Director Italia di Semperis. “La migliore salvaguardia contro le minacce durante le festività è la consapevolezza e un solido piano di backup e ripristino pronto per essere implementato quando si verificano queste minacce”.
I dati emersi dal Report Globale
Il report globale ha rilevato che l’86% delle organizzazioni intervistate negli Stati Uniti, nel Regno Unito, in Francia e in Germania che hanno subito attacchi ransomware sono state prese di mira nei giorni festivi o nel fine settimana. Tuttavia, l’85% delle aziende intervistate — e il 90% negli Stati Uniti — riduce il personale di sicurezza fino al 50% in questi periodi.
“I criminali informatici sono calcolatori e persistenti nei loro metodi di attacco. La consapevolezza della sicurezza e la sua operatività non dovrebbero oscillare. Anzi, le organizzazioni dovrebbero aumentare la loro vigilanza durante le festività e i fine settimana, sapendo che i criminali informatici non si prendono pause”, ha affermato Chris Inglis, Strategic Advisor di Semperis e primo Direttore Nazionale della Cybersecurity degli Stati Uniti. “Non si può mai abbassare la guardia nella difesa del proprio ambiente, specialmente durante l’imminente stagione delle festività”.
Inoltre, il 63% dei rispondenti che hanno subito attacchi ransomware sono stati presi di mira durante un importante evento aziendale, come una fusione, un’acquisizione o un’IPO. Nel settore finanziario, questa percentuale è salita al 76%, un dato preoccupante considerando la presenza di meccanismi di sicurezza più rigorosi come il Sarbanes-Oxley Act e il Graham-Leach-Bliley Act.
Attacchi ransomware: le AD tra i bersagli più ambiti
In nove attacchi ransomware su dieci, i criminali informatici compromettono il sistema di identità di un’organizzazione, più spesso Microsoft Active Directory (AD) o Entra ID. Tuttavia, i risultati dello studio mostrano che il 35% delle organizzazioni non prevede un budget per la difesa di AD o Entra ID. Inoltre, il 61% delle aziende non dispone di sistemi di backup dedicati per AD o Entra ID.
“Considerando quanto sia vulnerabile AD, i leader aziendali dovrebbero rivalutare i rischi da una prospettiva di resilienza operativa per comprendere meglio l’esposizione della loro infrastruttura IT”, ha dichiarato Mickey Bresman, CEO di Semperis. “Ogni consiglio di amministrazione dovrebbe chiedere al proprio CISO quale sia il livello di rischio e quali sistemi, se compromessi, paralizzerebbero completamente l’azienda. Scoprirete che le compromissioni di AD bloccano intere reti, lasciando la maggior parte delle organizzazioni in difficoltà nel tentativo di riprendersi”.
Nel complesso, le organizzazioni sovrastimano le proprie difese per l’identità. L’81% degli intervistati ritiene di avere le competenze necessarie per proteggersi dagli attacchi legati all’identità, eppure l’83% ha subito un attacco ransomware riuscito negli ultimi 12 mesi.
“Gli attacchi informatici, inclusi quelli ransomware, avvengono spesso dove ci sono delle fessure: durante fusioni, acquisizioni, licenziamenti e nei punti deboli delle relazioni tra fornitori e partner”, ha dichiarato Kemba Walden, Presidente del Paladin Global Institute ed ex Direttore Nazionale ad interim per la Cybersecurity degli Stati Uniti. “Per combattere gli incessanti attacchi ransomware, le organizzazioni dovrebbero concentrarsi sull’integrare la resilienza nelle proprie reti”.
