Intel Security ha rilasciato il proprio report McAfee Labs sulle minacce: dicembre 2016, che include informazioni sul modo in cui le imprese utilizzano i propri Security Operations Center (SOC), analizza i principali sviluppi del ransomware nel 2016 ed evidenzia come i criminali informatici stanno creando malware difficili da rilevare in grado di infettare codici legittimi con trojan e di sfruttare questa capacità per rimanere nascosti il più a lungo possibile. Il rapporto di dicembre evidenzia inoltre la crescita di ransomware, malware mobile, macro malware, malware indirizzato alla piattaforma Mac OS e altre minacce diffuse nel terzo trimestre 2016.
“Uno dei problemi più difficili nel settore della sicurezza informatica è l’identificazione delle azioni dannose di codici che sono stati progettati per comportarsi come software legittimi, mantenendo bassi livelli di falsi positivi”, ha dichiarato Vincent Weafer, Vice President McAfee Labs di Intel security. “Più un pezzo di codice sembra autentico, più è elevata la probabilità che non venga preso in considerazione. Proprio come nel 2016 il ransomware si è adattato alle sandbox, la necessità di nascondere le attività dannose è alla base di una tendenza a sfruttare applicazioni legittime come ‘Trojan’. Tali sviluppi aggiungono ulteriori carichi di lavoro all’attività di un SOC – il cui successo esige la capacità di rilevare rapidamente, identificare, e sradicare gli attacchi in corso”.
Lo Stato dei SOC nel 2016
A metà del 2016, Intel Security ha commissionato uno studio di ricerca con l’obiettivo di comprendere in modo più approfondito le modalità in cui le imprese utilizzano i SOC, come tale utilizzo è cambiato nel corso del tempo e cosa ci si può aspettare in futuro. Dalle interviste, che hanno coinvolto quasi 400 professionisti della sicurezza in diverse aree geografiche, settori e dimensioni aziendali, sono emerse preziose informazioni sullo stato del SOC nel 2016:
- Sovraccarico di alert. In media, le aziende non sono in grado di analizzare sufficientemente il 25% degli avvisi di sicurezza; un risultato che non varia in modo significativo al variare del paese o delle dimensioni aziendali.
- Problemi nell’affrontare le emergenze. Mentre la maggior parte degli intervistati ha ammesso di essere sopraffatto dagli avvisi di sicurezza, il 93% non è in grado di reagire prontamente a tutte le potenziali minacce.
- Incidenti in aumento. Se sia dovuto a un effettivo aumento degli attacchi o al perfezionamento delle capacità di monitoraggio, il 67% degli intervistati ha riferito un aumento degli incidenti di sicurezza.
- Causa della crescita. Tra gli intervistati che hanno segnalato un aumento degli incidenti, il 57% ha subito un maggior numero di attacchi, mentre il 73% ritiene di essere in grado di individuare meglio gli attacchi.
- Segnalazioni delle minacce. I segnali di rilevamento delle minacce più comuni per la maggior parte delle aziende (64%) provengono da punti di controllo di sicurezza tradizionali, come antimalware, firewall e sistemi di prevenzione delle intrusioni.
- Sicurezza proattiva o reattiva? La maggioranza degli intervistati ritiene di progredire verso l’obiettivo di una sicurezza proattiva e ottimizzata, ma il 26% opera ancora in modalità reattiva, con approcci ad-hoc per le operazioni di sicurezza, il rilevamento delle minacce e la risposta agli incidenti.
- Avversari. Più dei due terzi (68%) delle indagini effettuate nel 2015 hanno coinvolto un’entità specifica, sia come fonte di un attacco esterno mirato che di una minaccia interna.
- Motivazioni delle indagini. Secondo gli intervistati i malware generici sono in testa alla lista di incidenti (30%) che hanno portato ad effettuare indagini sulla sicurezza, seguiti da attacchi mirati basati su malware (17%), attacchi mirati basati sulla rete (15%), incidenti accidentali avvenuti all’interno che hanno portato a potenziali minacce o perdita di dati (12%), minacce interne volontarie (10%), attacchi diretti perpetrati da stati-nazioni (7%) e attacchi indiretti provenienti da stati-nazioni o attivisti informatici (7%).
Gli intervistati hanno evidenziato come la massima priorità per la crescita e gli investimenti nei SOC sia il miglioramento della capacità di rispondere agli attacchi confermati, oltre alla capacità di coordinare, rimediare, sradicare, imparare ed evitare che si ripetano.
