Verizon DBIR 2019, intervista a Mesut Eryilmaz

Verizon DBIR 2019, intervista a Mesut Eryilmaz

Intervistiamo Mesut Eryilmaz, Senior Investigative Response/Forensics Investigator di Verizon, che commenta per noi il recente DBIR 2019.

– Lo scollamento tra dipendenti e pericoli del mondo reale è davvero forte in alcuni contesti; come spiegate l’incremento degli attacchi alla dirigenza?
Ciò è riconducibile a diversi fattori che sono stati osservati negli anni precedenti. Gli attacchi di social engineering motivati da ragioni finanziarie sono aumentati nell’ultimo periodo. Questo fenomeno può essere riscontrato negli attacchi tramite BEC (Business E-mail Compromise), che rappresentano 370 incidenti (di cui 248 sfociati in violazioni accertate). Questo significa un incremento del 75% delle violazioni e il 128% degli incidenti rispetto all’anno precedente. Questo fenomeno può essere collegato alla mancanza di formazione mirata sui rischi del cyber crime degli executive coinvolti e al tempo limitato in cui essi fanno click su una mail prima di passare alla successiva. I dirigenti più alti sono un bersaglio molto attraente grazie ai loro accessi privilegiati – essi infatti hanno potere di approvazione, il che aumenta la probabilità che le operazioni fraudolente siano portate a termine senza che i normali controlli di processo siano messi in discussione.

Rispetto agli anni precedenti, i senior executive hanno 12 volte più probabilità di essere il target di incidenti correlati a questa tipologia di attacchi e 9 volte più probabilità di essere il target di vere e proprie violazioni. Nel 2018, lo 0,246% dei senior executive sono stati al centro di attacchi, mentre nel 2019 la percentuale è salita al 2,119%. Complessivamente, abbiamo riscontrato 60 incidenti e 36 violazioni nel Report di quest'anno, in aumento rispetto ai 9 incidenti e alle appena 5 violazioni del rapporto dell’anno precedente.

– Secondo le vostre analisi, quali sono le metodologie più utilizzate per raggiungere l’obiettivo?
Sono proprio questi i risultanti più scottanti del Report di quest'anno. La cosa eccezionale è che gli attacchi al personale delle Risorse Umane sono diminuiti di 6 volte rispetto all'anno scorso. È ipotizzabile che abbiano ricevuto così tanta risonanza mediatica in passato da diventare una priorità per la maggior parte delle aziende e dei provider, i quali hanno messo in atto politiche e procedure migliori per difendersi da questo tipo di attacchi. Non sorprende tuttavia che gli attacchi di ingegneria sociale restino uno dei punti deboli primari, così com'è stato osservato negli anni passati e che si è addirittura rafforzato.

Il ransomware è ancora la varietà più diffusa di software malevoli: è stato riscontrato nel 39% dei casi di malware esaminati quest'anno. L'aspetto più importante è che, sulla base del dataset di Verizon, ha iniziato ad avere un impatto sui sistemi aziendali critici rispetto ai soli ambienti desktop. Questo sta portando a maggiori richieste di riscatto, rendendo la vita di un criminale informatico più redditizia e con meno lavoro. A differenza di quanto viene riportato dai media, gli attacchi di cripto-jacking sono stati praticamente inesistenti e solo il 2% degli incidenti non è nemmeno elencato tra le prime 10 varietà di malware.

Il fattore umano continua ad essere una debolezza determinante: I dipendenti sono ancora vittime di attacchi di social engineering. Il pretexting finanziario e il phishing rappresentano il 98% di questo tipo di incidenti e il 93% di tutte le violazioni analizzate - l'e-mail continua ad essere il principale punto di accesso (96% dei casi). Le aziende hanno quasi il triplo delle probabilità di essere colpite da attacchi di social engineering rispetto a quelle attraverso le effettive vulnerabilità, il che sottolinea la necessità di una formazione continua sulla sicurezza informatica dei dipendenti.

Anche gli attacchi di phishing non possono essere ignorati: Nonostante una media del 78% delle persone non abbia fallito neanche un test l'anno scorso, il 4% delle persone continua a cadere in tutte le campagne di phishing. Un criminale informatico ha bisogno di una sola vittima per accedere a un'organizzazione.
Gli attacchi DDoS sono ovunque: Gli attacchi DDoS possono colpire chiunque e sono spesso usati come mascheramento, spesso essendo avviati, fermati e poi riavviati per nascondere altre violazioni in corso. Sono potenti, ma anche gestibili se è in atto la corretta strategia di mitigazione DDoS.

Una violazione può avere più colpevoli e abbiamo scoperto che il 72% degli attacchi provengono dall'esterno, il 27% ha coinvolto persone interne, il 2% ha coinvolto partner e un atro 2% coinvolge addirittura più partner. I gruppi di criminalità organizzata rappresentano ancora il 50% degli attacchi analizzati.

– Quali sono i settori più a rischio? Perché? Quali gli ambienti compromessi in maggior misura?
Ogni anno analizziamo i dati e mettiamo in guardia le aziende sulle ultime tendenze del cybercrime, per consentire loro di rivedere le proprie strategie di sicurezza e proteggere in modo proattivo le attività dalle minacce informatiche. I dati principali, relativi ai diversi settori, includono:

Istruzione: si registra un considerevole cambio di rotta verso i crimini compiuti prevalentemente per ragioni economiche (80%). Il 35% delle violazione è dovuto ad errori umani e, circa un quarto è sorto da attacchi derivanti da applicazioni web, la maggior parte dei quali attribuibili all’utilizzo di credenziali rubate e utilizzate per accedere alle e-mail su cloud.
Sanità: Questo settore continua ad essere il solo a mostrare un incremento del numero di attacchi interni rispetto a quelli esterni (rispettivamente 60 e 40%). Non sorprende che i dati medici siano18 volte più a rischio di essere compromessi in questo settore, e quando un attore interno è coinvolto, è 14 volte più probabile che sia un professionista come un medico o un infermiere.
Manifatturiero: per il secondo anno consecutivo, gli attacchi per ragioni economiche superano il cyber-spionaggio come ragione principale delle violazioni nel settore manifatturiero, e quest’ anno con una percentuale ancor più significativa (68%).
Settore pubblico: lo spionaggio informatico è aumentato quest’anno, tuttavia circa il 47% delle violazioni sono state scoperte solo anni dopo l’attacco inziale.
Retail: dal 2015 le violazioni dei terminali di pagamento (PoS) sono diminuite di 10 volte, mentre oggi le violazioni delle applicazioni Web sono 13 volte più probabili.

– Stante un grado di pericolosità in costante aumento, sia per i dirigenti, sia per i dipendenti: quali sono i rischi per le imprese, le PA e, come ultimo anello della catena, per tutti i cittadini?
La minaccia della criminalità informatica è applicabile a tutti e a tutte le imprese. In generale, è necessario che tutti siano adeguatamente formati sui rischi associati al cybercrime. Un aspetto ancora più importante è l'urgente necessità che le imprese - grandi e piccole - diano la priorità alla sicurezza della loro attività e alla protezione dei dati dei clienti. Spesso anche le pratiche di sicurezza di base e il buon senso scoraggiano la criminalità informatica.

– Volendo tracciare uno scenario aggiornato, tra ransomware, cripto-malware, phishing e tutte le minacce in circolazione: quali sono le tendenze attuali? Quanto impattano le vulnerabilità dei sistemi e dei software moderni in termini di sicurezza generale delle imprese e di capacità di fronteggiare simili minacce?
Gli attacchi di social engineering continuano ad essere un tema importante per la sensibilizzazione alla sicurezza. Poiché dobbiamo aspettarci che attacchi come il phishing restino una minaccia, e che i dipendenti possano caderne vittima, dobbiamo aumentare la nostra visibilità sul nostro ambiente e alzare il livello di sicurezza per gli aggressori, limitando l'accesso ai dati critici e implementando l'autenticazione multifattoriale. Anche se abbiamo osservato un netto cambiamento nel comportamento degli aggressori verso servizi basati sul cloud per i sistemi di elaborazione delle e-mail e delle carte di pagamento online, ciò non indica che vi siano necessariamente delle debolezze intrinseche associate a questi ambienti.
Mentre le aziende stanno passando ai servizi basati su cloud (e-mail, elaborazione dei pagamenti), osserviamo anche uno spostamento del comportamento degli aggressori nella stessa direzione , ma dobbiamo tenere presente che questo non indica che le debolezze siano necessariamente inerenti a questi servizi, ma crediamo sia il risultato dello spostamento delle tattiche degli aggressori e delle aziende in fase di comprensione e adattamento ai nuovi vettori di rischio che emergono con i servizi cloud-based.