F5, cosa abbiamo imparato da un decennio di violazioni?

F5, cosa abbiamo imparato da un decennio di violazioni?

Paolo Arcagni, Systems Engineer Manager di F5 Networks, identifica quali organizzazioni e quali settori hanno maggiori probabilità di essere attaccate.
Recentemente, gli F5 Labs hanno analizzato 433 casi di violazione segnalati, avvenuti nell’arco di 12 anni, colpendo 37 settori di mercato in 27 diversi Paesi, per scoprire quali siano i modelli maggiormente diffusi nella fase iniziale dell’attacco che ha portato poi a violazioni consistenti.

Premesso che possiamo conoscere solo una piccola parte di ciò che realmente accade, dato che spesso le aziende non sanno nemmeno di essere state compromesse e che il mix tra visibilità, logging, monitoraggio-segnalazione e comunicazione è estremamente complesso, abbiamo analizzato quali fossero le radici ultime delle violazioni, il modo in cui variava il costo per la remediation e l'impatto di tali violazioni in termini di dati violati su scala globale.

Rispetto agli incidenti segnalati abbiamo constatato che il 79% di essi rilevava una violazione, ma solo il 49% delle segnalazioni era corredato da dati sufficienti per determinare quale fosse il vettore di attacco iniziale e solo il 40% la causa reale.
Effettivamente, trovare la fonte di un attacco può essere difficile; senza un controllo sufficiente in termini di visibilità e logging, il rischio è quello di non scoprire mai come un utente malintenzionato sia entrato nei sistemi, di cosa si sia impossessato e cosa questa azione comporti.

F5, cosa abbiamo imparato da un decennio di violazioni?

I principali risultati della nostra analisi sono stati comunque sorprendenti:
- Le applicazioni sono gli obiettivi iniziali di un attacco nel 53% delle violazioni
- Le identità sono gli obiettivi iniziali di un attacco nel 33% dei casi

Sussiste però una differenza sostanziale: mentre le violazioni che iniziano con un attacco alle applicazioni hanno un impatto pari al 47% del costo totale delle violazioni ma corrispondono solo al 22% dei record raccolti – rendendo gli attacchi applicativi costosi – le violazioni che iniziano con un attacco alle identità sono pari al 75% dei record complessivi ma ammontano solo al 24% dei costi delle violazioni. Questo significa che le identità sono dei vettori di attacco molto più generosi per i cybercriminali e di meno impatto per il business delle aziende.

Più elevato è il numero di record esposti più è basso il costo della singola violazione, un aspetto che probabilmente a che fare con la tipologia di record violati: email, nomi utente e password sono i più violati anche perché non sono ancora soggetti a una regolamentazione stretta e non vi si dedica la giusta importanza, nonostante siano proprio questi elementi i più sfruttati dagli hacker per accedere a sistemi aziendali riservati, ai conti bancari personali e così via.

Dal punto di vista delle applicazioni, sono i forum vulnerabili installati sulle app ad essere la causa principale degli attacchi, seguiti dall'iniezione SQL.

Dalla nostra analisi risulta che, globalmente, su un totale di 338 casi di violazione confermati, i record compromessi sono stati 11,8 miliardi, con una media di quasi 35 milioni di record per violazione. Una cifra altissima che si traduce in 10,3 miliardi di nomi utente, password e account di posta elettronica violati. Praticamente 1,36 record per persona nel mondo!
Le violazioni sono state così tante che i database degli aggressori sono stati arricchiti al punto da poter impersonare un individuo e rispondere alle domande segrete per ottenere l'accesso diretto agli account senza dover operare a partire dall’account convolto.
Tra i target che vengono più spesso compromessi abbiamo individuato i siti dating per adulti, alcuni dei quali contengono informazioni estremamente personali sugli individui, incluso l'orientamento sessuale.

Abbiamo, infine, notato come i casi di Social Engineering siano in costante crescita, soprattutto a causa delle innumerevoli informazioni personali disponibili in rete e della tendenza a non considerare i potenziali rischi di minacce che sempre più spesso insieme alle potenziali falle del sistema IT sfruttano la debolezza dell’uomo.