Le criticità nella sicurezza delineate dall’Incident Response Report di F-Secure

Il nuovo Incident Response Report di F-Secure evidenzia che la posta in arrivo è tra i punti più deboli nella sicurezza del perimetro e che le aziende non riescono a rilevare velocemente e con accuratezza incidenti di sicurezza.

Cyber security threat and attack concept.
© Tero Vesalainen | Dreamstime Stock Photos

-Secure ha pubblicato il nuovo Incident Response Report, analisi periodica che delinea gli scenari di attacco al mondo delle imprese in base ai risultati di investigazioni di risposta agli incidenti condotte da F-Secure.

Il Report evidenzia che oltre un terzo di tutti gli incidenti di sicurezza iniziano con un email di phishing e con allegati nocivi inviati a dipendenti dell’azienda

Tra tutte le violazioni risulta che gli attaccanti sfruttano maggiormente le vulnerabilità nei servizi internet di un’organizzazione (21%) ma il phishing e le email con allegati malevoli hanno rappresentato il 34% delle violazioni.

Tipologia di attacchi

“Sfruttare le vulnerabilità del software in scenari drive-by è tipico degli attacchi opportunistici – sostiene Tom Van de Wiele, Principal Security Consultant di F-Secure – ma violare le aziende via email è attualmente il metodo di gran lunga più commune. Ci sono svariati modi in cui gli attaccanti possono usare le email, e questi attacchi sono diffusi perché quasi ogni azienda si affida alle email per comunicare. Gli utenti devono riflettere prima di cliccare su un allegato o su un link, ma la pressione della vita lavorativa moderna supera questa logica, e gli attaccanti lo sanno bene e sfruttano questo punto debole.”

Di seguito altre scoperte interessanti riportate nel report:

  • Le organizzazioni sono state colpite da attacchi mirati e opportunistici in proporzione quasi uguale;
  • Le minacce dall’interno hanno pesato per un quinto degli incidenti di sicurezza;
  • Gli esperti di incident response sono stati contattati dopo che il perimetro è stato violato in quasi l’80% dei casi;
  • La più commune azione post-violazione compiuta dagli attaccanti è stata diffondere malware (prevalentemente per ottenere soldi, ma anche per scopi di spionaggio o per mantenere la capacità di accedere ai sistemi per scopi futuri);
  • Il 13% delle investigazioni si sono risolte in falsi allarmi.
Analisi per tipo di danno

Secondo Van de Wiele, il numero di falsi allarmi riportati come incidenti di sicurezza è sorprendente, e dimostra che troppe organizzazioni non riescono a rilevare attacchi informatici con accuratezza.

Veniamo spesso chiamati per investigare su ‘attività sospette’ che mi fanno capire che molte organizzazioni non hanno capacità di un’accurata rilevazione degli incidenti. Può capitare di investigare e scoprire un problema IT e non un attacco, il che spreca risorse e distrae ognuno dal trattare il vero problema.”

Il report raccomanda alle aziende di migliorare le loro capacità di rilevazione e risposta agli incidenti, investendo su soluzioni o servizi di “endpoint detection and response’.

Progressi dell’attaccante prima di una risposta

LASCIA UNA RISPOSTA

Per favore inserisci i tuoi commenti
Per favore inserisci il tuo nome qui