Queste sono state le tendenze dei cyberattacchi nel 2018
Il numero di attacchi informatici distruttivi ha continuato ad aumentare nel 2018. I gruppi di hacker criminali hanno aumentato la loro efficacia, operando liberamente attraverso le aree geografiche e le industrie. Sono implacabili nella loro ricerca di lacune nell'infrastruttura IT delle organizzazioni. E quando le porte sono aperte, colgono l'opportunità. I loro obiettivi sono geopolitici o finanziari.
La società di cybersicurezza CrowdStrike ha analizzato grandi quantità di dati relativi alla sicurezza del 2018 nel suo ultimo rapporto, il Cyber Intrusion Casebook. Riassume le sfide che le organizzazioni e le aziende devono affrontare e come possono prepararsi meglio per la prossima ondata di attacchi. Si possono identificare quattro tendenze principali nei cyberattacchi e nei metodi di attacco:
1. Gli attori del crimine elettronico stanno usando tecniche sempre più creative per monetizzare i loro attacchi.
L'innovazione degli aggressori e la sofisticazione degli attori del crimine elettronico non sta diminuendo. L'ecosistema ostile continua ad evolversi e gli attori che prima lavoravano in modo discreto e isolato ora lavorano in modo coordinato e uniscono le forze. Nel 2018, per esempio, gli utenti di indirizzi e-mail aziendali lo hanno provato più volte. Il rapporto si è imbattuto in casi che sono andati ben oltre la semplice lettura delle e-mail: Gli attori potevano vedere dal vivo come le e-mail venivano scritte e inviate.
2. gli aggressori colpiscono rapidamente e profondamente
Gli attaccanti sono pazienti quando si tratta di raggiungere i loro obiettivi: entrano rapidamente nei sistemi, diventano attivi rapidamente, ma quando si tratta di questo, hanno una pazienza enorme. Gli aggressori statali sono particolarmente persistenti e pieni di risorse nella loro ricerca di dati di alto valore nell'organizzazione bersaglio.
Come negli anni precedenti, l'affidamento acritico sugli strumenti legacy ha fornito agli attaccanti l'opportunità di rimanere nei sistemi per un periodo di tempo prolungato. Spesso, per esempio, le aziende pensavano che il caso fosse risolto. Ma l'aggressore ha continuato a nascondersi o è tornato rapidamente.
Spesso le aziende hanno migrato i loro dati nel cloud con l'aspettativa che i fornitori di servizi cloud avessero meccanismi e controlli di sicurezza. Non avevano modo di sapere se i fornitori avessero configurato e applicato correttamente i controlli. Semplici configurazioni errate e incomprensioni dei controlli di accesso permettono agli hacker di ottenere l'accesso a un'azienda - semplicemente attraverso il fornitore di cloud.
3. il malware di base è spesso un precursore di un attacco altamente dirompente
L'accesso ottenuto con il commodity malware (codice maligno che colpisce il software utilizzato su una varietà di dispositivi) è sempre più venduto ad altri attori. Poi distribuiscono ransomware, rubano la proprietà intellettuale o iniziano il cryptomining, la frode e l'estorsione. Per esempio, gli aggressori sono stati osservati usare una famiglia di malware chiamata TrickBot, solo per passare l'accesso ottenuto ad altri gruppi ostili, che poi hanno lanciato attacchi di estorsione. Questo metodo è stato osservato anche in aziende di piccole e medie dimensioni. La vulnerabilità di un'azienda al malware commodity può essere in definitiva un indicatore dell'efficacia della sua strategia di sicurezza generale.
4. gli aggressori si nascondono in piena vista e si spacciano per utenti legittimi
Gli attacchi più veloci e dannosi sono ancora quelli in cui gli aggressori impersonano utenti legittimi. Spesso si verificano quando le credenziali dell'utente sono incontrollate, mal configurate o aggirate. Una volta acceduto, l'organizzazione è completamente esposta. L'uso non correttamente configurato e mal concepito dei controlli d'accesso spesso dà alle aziende un falso senso di protezione.
Alla luce di queste tendenze nei cyberattacchi, è anche evidente che la sicurezza non è solo un problema del dipartimento IT, ma riguarda l'intera azienda e deve essere considerata strategicamente. La regola d'oro è l'obiettivo temporale della "regola 1-10-60". In media, le aziende o le organizzazioni non dovrebbero concedere più di un minuto per identificare una minaccia, dieci minuti per indagare e 60 minuti per risolverla. Le aziende che agiscono con questo in mente aumentano le loro possibilità di stare davanti al nemico e prevenire un attacco.
Fonte: CrowdStrike
