In sei attacchi informatici su dieci (63%) analizzati dal team di Kaspersky Global Emergency Response, gli attaccanti hanno utilizzato attacchi di forza bruta per decifrare le password e hanno sfruttato le vulnerabilità come vettori iniziali per compromettere l’azienda. I risultati del nuovo Incident Response Analytics Report di Kaspersky mostrano che gestendo adeguatamente le patch si riduce il rischio di incidenti del 30%; mentre una solida policy sulle password riduce del 60% la probabilità di attacchi.
L’importanza di patch, password complesse e aggiornamenti regolari è risaputa anche per chi non è esperto in materia di sicurezza informatica. Nonostante ciò, questi aspetti costituiscono ancora oggi un punto debole nella sicurezza di molte aziende, fornendo così un punto d’accesso al sistema per i criminali informatici. Nella maggior parte degli attacchi il primo accesso avviene, infatti, sfruttando problemi relativi a password e software senza patch.
L’analisi dei dati anonimi relativi a casi di incident response[1] (IR) realizzata da Kaspersky mostra che la forza bruta è la tecnica più utilizzata per penetrare inizialmente nella rete aziendale. Rispetto allo scorso anno, la quota di attacchi di forza bruta è aumentata passando da 13% a 31,6%, probabilmente a causa della pandemia e dello smartworking. Il secondo tipo di attacco più comune è lo sfruttamento delle vulnerabilità, che ha raggiunto il 31,5%. La ricerca ha mostrato che sono pochi gli attacchi in cui sono state utilizzate vulnerabilità del 2020. In altri casi, i criminali informatici hanno utilizzato vulnerabilità ancora più vecchie senza patch, come ad esempio CVE-2019-11510, CVE-2018-8453 e CVE-2017-0144.
Più della metà di tutti gli attacchi iniziati con email dannose, tecniche di forza bruta e sfruttamento di applicazioni esterne è stata rilevata nel giro di ore (18%) o giorni (55%). Tuttavia, alcuni di questi attacchi si sono protratti molto più a lungo, con una durata media che arriva fino a 90,4 giorni. Il report mostra che gli attacchi che hanno sfruttato tecniche di forza bruta come vettore iniziale sono in teoria semplici da rilevare, ma in pratica solo una parte di questi è stata identificata prima che ci fossero ripercussioni.
La prevenzione degli attacchi di forza bruta e il controllo degli aggiornamenti non costituiscono di per sé un problema per i team di sicurezza informatica, ma di fatto l’eliminazione totale di questi problemi è praticamente impossibile:
“Anche se il team di sicurezza IT si impegna a garantire la sicurezza dell’infrastruttura aziendale, esistono altri fattori che comportano violazioni che possono mettere a rischio la sicurezza di un’azienda, ad esempio l’utilizzo di sistemi operativi legacy, apparecchiature di fascia bassa, problemi di compatibilità e infine il fattore umano. Le misure di protezione non possono da sole fornire una difesa informatica completa. Pertanto, dovrebbero sempre essere associate a strumenti di rilevamento e risposta in grado di riconoscere ed eliminare un attacco già dalle sue prime fasi, nonché di risolvere la causa dell’incidente”, ha commentato Konstantin Sapronov, Head of Global Emergency Response Team.
Per ridurre il rischio di attacchi alle infrastrutture aziendali, Kaspersky consiglia di:
- Implementare una solida policy per le password, che comprenda l’autenticazione a più fattori (MFA) e gli strumenti di gestione dell’identità e degli accessi;
- Assicurarsi che la gestione delle patch e delle misure di compensazione per le applicazioni rivolte al pubblico abbiano tolleranza zero. È fondamentale effettuare regolarmente gli aggiornamenti delle vulnerabilità dei fornitori di software, nonché installare patch ed effettuare scansioni della rete per individuare eventuali vulnerabilità;
- Mantenere un alto livello di sensibilizzazione alla sicurezza informatica tra i dipendenti. Fornire programmi di formazione completi ed efficaci ai dipendenti è utile per far risparmiare tempo al reparto IT e ottenere buoni risultati;
- Implementare una soluzione Endpoint Detection and Response con un servizio MDR, per rilevare subito gli attacchi e reagire prontamente. L’uso di servizi di sicurezza avanzati riduce il costo degli attacchi per le aziende ed evita conseguenze indesiderate.
Il report Incident Response Analytics completo è disponibile su Securelist.
[1] Kaspersky Incident Response è una soluzione che aiuta a ridurre l’impatto di un attacco alla sicurezza o all’ambiente IT di un’azienda. Il servizio copre l’intero ciclo di indagine sull’incidente, dall’acquisizione in loco delle prove, all’identificazione di ulteriori indicazioni di compromissione, fino alla preparazione di un piano di riparazione ed eliminazione della minaccia. Il report Incident Response Analyst fornisce informazioni sulle indagini relative agli incidenti condotte da Kaspersky da gennaio a dicembre 2020 in Sud e Nord America, Europa, Africa, Medio Oriente, Asia, Russia e CSI.