FireEye M-Trends: troppo tempo per rilevare gli attacchi

FireEye, troppo tempo per accorgersi degli attacchi informatici

Aumenta il tempo impiegato dalle aziende per rilevare i cyber attacchi. A sostenerlo il report M-Trends 2018 di FireEye che stima un incremento di circa il 40%.
Il report di FireEye mostra come nel 2017 la permanenza degli attaccanti all’interno delle reti delle organizzazioni in EMEA, prima di essere scoperti (il cosiddetto “dwell time”) sia stata mediamente di 175 giorni (vs i 106 giorni dell’anno precedente), prima che la loro presenza fosse rilevata.

Stuart McKenzie, Vice President of Mandiant di FireEye
È triste dover constatare che il dwell time medio ha subito un aumento significativo nelle aziende della regione EMEA nel corso dell’ultimo anno, ancor di più se si considera che il GDPR è ormai alle porte. D’altro canto, volendo vedere il lato positivo della questione, nel corso del 2017 è stato scoperto un maggior numero di minacce storiche che erano attive da diverse centinaia di giorni. Rilevare attacchi di lunga durata è ovviamente uno sviluppo positivo ma fa chiaramente salire la statistica relativa al dwell time”

Il report, che si basa su informazioni raccolte dagli analisti di FireEye nel corso del 2017 e mette in evidenza i trend e le tattiche emergenti utilizzati dagli attaccanti per compromettere le organizzazioni, sottolinea che:

-il “dwell time” degli attaccanti nelle organizzazioni Emea è stato di 175 giorni. La media globale è invece di 101 giorni, il che vuol dire che in Emea le organizzazioni sono state 2 mesi e mezzo più lente nella risposta alle minacce. Sembra tuttavia che siano stati compiuti dei progressi in quanto le aziende sempre più spesso scoprono le violazioni dall’interno, piuttosto che venirne a conoscenza tramite notifiche da parte delle forze dell’ordine o di fonti esterne. Il dwell time medio in Emea per le rilevazioni interne è stato di 24,5 giorni, in netta discesa rispetto agli 83 giorni dello scorso anno, mentre la media globale è di 57,5 giorni.

-Il settore finanziario continua ad essere il principale bersaglio. Nel 2017 il 24% delle investigazioni effettuate da Mandiant in Emea ha coinvolto aziende del settore finanziario, il più colpito davanti alla pubblica amministrazione (18%) e ai servizi professionali (12%).

-Recidività degli attacchi. È molto probabile che le organizzazioni già vittime di un attacco vengano colpite nuovamente. I dati globali degli ultimi 19 mesi hanno evidenziato che il 56% di tutti i clienti dei servizi di managed detection and response di FireEye, che non si avvalgono più del supporto di incident response fornito da Mandiant, sono stati di nuovo presi di mira dallo stesso gruppo di attacco o da un gruppo con motivazioni simili. Almeno il 49% dei clienti colpiti almeno una volta da un attacco è stato attaccato anche l’anno successivo. In Emea il 40% dei clienti colpiti da una violazione grave ha subìto più attacchi significativi provenienti da diversi gruppi nel corso dell’anno.

-Il rischio invisibile: la carenza di competenze di cyber security. La domanda di esperti di sicurezza continua a essere superiore all’offerta. I dati emersi da una ricerca del National Initiative for Cybersecurity Education e le informazioni ottenute dalle investigazioni condotte da FireEye nel 2017 indicano che la situazione peggiorerà nei prossimi 5 anni. Le principali aree impattate dalla carenza di competenze sono quelle della visibilità, detection e incident response. In questi ambiti la mancanza di figure esperte sta causando un ritardo potenzialmente costoso nella gestione delle attività malevole.