Qualys ha analizzato il report di Verizon sulle Investigazioni di Data Breach (DBIR), i principali fattori di rischio per la sicurezza e che contromisure adottare
Come ogni anno Verizon ha con il suo il nuovo Data Breach Investigations Report (DBIR) ha messo in luce gli ultimi trend delle minacce globali subite a livello internazionale.
I risultati della relazione di quest’anno, osserva Marco Rottigni, Chief Technical Security Officer EMEA di Qualys, si basano sui dati forniti da oltre 70 fonti (tra cui Quali stessa) riguardanti più di 41.000 incidenti di sicurezza, tra cui circa 2.000 violazioni dei dati, con ripercussioni in oltre 80 paesi e in tutti i settori industriali.
Tre sono in particolare i temi che l’esperto nella security evidenzia come particolarmente rilevanti:
- Chi sono gli obiettivi preferiti degli hacker, e perché
- L’importanza di ridurre il tempo impiegato per individuare i problemi di sicurezza, come le vulnerabilità o le violazioni, ed il tempo necessario per porre rimedio
- In che modo la mancanza di visibilità, gli errori umani e le configurazioni errate aumentano i rischi per la sicurezza delle organizzazioni
Le vittime
Quasi la metà delle violazioni ha coinvolto piccole imprese, e questo per svariate ragioni.
Le piccole imprese hanno in genere un approccio più leggero alla sicurezza, spesso a causa di risorse scarse e competenze tecniche scarse. Sono anche un obiettivo attraente come parte della catena del valore, agevolando gli hacker ad arrivare alle reti informatiche delle aziende più grandi.
Analizzando i settori verticali si evidenzia come Government, Healthcare e Finance siano stati quelli colpiti più duramente.
Ciò conferma l’interesse di hacker nell’entrare in possesso di dati sensibili gestiti da queste organizzazioni, per procedere con la vendita o lo sviluppo di attacchi di scala superiore.
Tempistica nella reazione
Un aspetto preoccupante, nota Rottigni, è che oltre la metà delle violazioni hanno richiesto mesi per essere scoperte. Questo è un segnale negativo della scarsa visibilità che i team IT e di sicurezza hanno sulla infrastruttura informatica, sempre più ibrida e distribuita a causa della trasformazione digitale che complica monitorare, valutare, difendere e proteggere i vari ambienti.
Le tempistiche di una violazione evidenziano come la compromissione dei dati e l’azione di exfiltration avvengano in pochi minuti o giorni, mentre la scoperta degli attacchi può richiedere giorni se non settimane, mesi o anni. Senza considerare che quando si realizza di essere sotto attacco, serve spendere tempo, fatica e risorse per contenere i danni.
Per quanto riguarda le vulnerabilità, il 50% di queste vengono risolte entro 90 giorni dalla scoperta, mentre per il 25% sono necessari almeno 30 giorni. La tempistica può risultare efficace per molti, ma Rottigni ritiene, e di certo non a torto, che sia possibile fare molto meglio tramite l’integrazione tra programma di rilevamento e di rimedio.
Prodotti eterogenei e scarsamente interoperanti causano poi ritardi e punti ciechi soprattutto per la prevenzione delle violazioni, area in cui una piattaforma integrata che includa asset inventory, la gestione delle vulnerabilità, la prioritizzazione delle minacce e la gestione delle patch si rivela molto più efficace..
Le tattiche di un attacco
Nel report sono state rilevate tecniche di hacking nel 52% delle violazioni, mentre le infezioni da malware rappresentano il 28% dei casi e l’uso improprio dei dati dagli utenti autorizzati arriva al 15%.
Oltre alla mancanza di visibilità, queste situazioni evidenziano la necessità di rafforzare la compliance e ridurre gli errori di configurazione nei nuovi ambienti digitali fatti di istanze cloud, container, data center tradizionali, e collaboratori che operano in mobilità.
Secondo Verizon è più comune la minaccia di errore non malevolo di un dipendente, piuttosto che parlare di sabotaggio premeditato. I problemi nascono sia per una configurazione errata dei server che consente l’accesso indesiderato oppure per la pubblicazione dei dati su un server che non dovrebbe essere accessibile da tutti. Serve definire correttamente gli accessi, sottolinea il report.
Un’altra tendenza preoccupante è il dominio delle minacce esterne che rappresentano il 69% delle violazioni, con il ransomware che rimane tra le minacce più diffuse (rilevato nel 24% degli incidenti). Tutto questo evidenzia l’importanza di applicare un adeguato programma di gestione delle vulnerabilità e dei rimedi, per ridurre la superficie vulnerabile esposta agli attaccanti.
Per aumentare sicurezza e velocità di risposta, appare quindi consigliabile:
- La prioritizzazione del processo di rimedio, in modo da identificare e risolvere immediatamente le minacce più critiche per la propria organizzazione
- La distribuzione di dashboard dinamiche nei vari reparti dell’organizzazione, per potenziare la consapevolezza della situazione
- Una automazione trasparente di tutte le piattaforme che coinvolgono i processi IT e Security
Un altro elemento che sottolinea l’importanza di avvalersi di un valido programma di gestione delle vulnerabilità è che queste si classificano al terzo posto tra le tecniche di compromissione più diffuse e spesso il vettore delle violazioni è legato proprio alle web application.
Aspetto chiave per una prioritizzazione efficace è la capacità di consumare dati di cyber threat intelligence; utilizzare criteri come quanto una vulnerabilità sia sfruttabile tramite exploit, disponibilità di patch ed altri indicatori di minacce da mettere in correlazione con le informazioni sulle vulnerabilità.
Il report evidenzia anche l’importanza di conformità ai regolamenti: abuso dei privilegi, gestione errata dei dati e processi temporanei non approvati sono infatti tra le prime cause di violazioni rilevate e sono sinonimi di mancata compliance.
Che fare
È il momento per le organizzazioni, suggerisce Rottigni, di ripristinare fondamenta solide per sicurezza e conformità. Tutto deve partire dall’inventario delle risorse IT che deve essere continuamente aggiornato, assicurando poi una rilevazione efficace ed accurata delle vulnerabilità e delle configurazioni errate.
Ma non basta. Subito dopo, è necessario assegnare le giuste priorità alle attività di rimedio correlando gli indicatori di minaccia informatica con le risorse e le loro vulnerabilità.
È fondamentale avere un programma di gestione delle patch integrato per correggere rapidamente gli asset interessati.
E’ indispensabile assicurarsi che tutti gli apparati, non solo i sistemi locali, siano inclusi nei processi di controllo e rilevamento: dispositivi mobili, cloud workload, applicazioni containerizzate, pipeline DevOps, sistemi IoT e dispositivi di Operational Technology (OT).
Sono tutte attività complesse in cui, evidenzia l’esperto, Qualys può essere di supporto.