Alessia Valentini

Alessia Valentini

Giu 13, 2017

Il report di Verizon 2017. I maggiori pericoli per le aziende? Cyberspionaggio e ransomware

Abbiamo commentato il report con Laurance Dine, Managing Principle, Investigative Response di Verizon. "Tra gli errori più comuni c’è quello di pensare di non essere bersaglio degli hacker"

Come ogni anno è stato emesso il Verizon 2017 Data Breach Investigations Report giunto alla decima edizione.  Il Report raccoglie il contribuito di 65 aziende, con 42.068 incidenti di sicurezza e 1.935 violazioni perpetrate in più di 84 Paesi. Dei quasi 2000 breach, più di 300 sono legati a episodi di cyberspionaggio, che molto spesso hanno avuto origine da una email di phishing. Dai risultati emerge quindi un aumento esponenziale dei furti di proprietà industriali e intellettuali, prototipi e dati personali sensibili, che costituiscono un immenso valore per i cybercriminali e una incidenza gravosa e dannosa per le aziende del settore produttivo manifatturiero, la pubblica amministrazione e l’istruzione, vittime preferite nel 21% dei casi di Cyber-spionaggio.

Il pericolo viene dai ransomware

Sempre più frequenti anche gli attacchi ransomware che sono saliti al quinto posto nella classifica di tipologia di malware più diffusa, tanto che il report evidenzia un aumento dei ransomware del 50% rispetto all’anno scorso. Purtroppo sono ancora numerose le organizzazioni che si affidano a soluzioni di sicurezza datate, senza investire in sistemi di prevenzione migliori, tanto che sembrano più inclini a pagare per una richiesta di riscatto che per servizi di sicurezza che diminuirebbero l’eventualità di un attacco informatico. Highlights del report e contromisure suggerite sono gli argomenti che affrontiamo con Laurance Dine, Managing Principle, Investigative Response di Verizon.

 

Intervista

 

Commentiamo come prima l’entità dei data breaches ed il significato di un valore ancora così alto. Cosa vuol dire?

“Poiché abbiamo scoperto che il cyberspionaggio è l’attacco più diffuso nei settori della produzione, della pubblica amministrazione e, adesso, anche dell’istruzione ed è motivato dal furto dei dati personali e di dati inerenti alla proprietà intellettuale, sappiamo che questi dati sono preziosi per gli hacker. Su 2.000 violazioni, più di 300 erano legate al cyberspionaggio originato da email di phishing. Inoltre la criminalità organizzata ha iniziato a sfruttare sempre più i ransomware, rispetto agli anni precedenti. Quindi significa che nonostante tutti questi aumenti della minaccia e la risonanza dei media, molte organizzazioni si affidano ancora a soluzioni di sicurezza ormai obsolete, e non investono in nuove. Sono più aperti a valutare il pagamento di un riscatto che l’applicazione di nuovi servizi di sicurezza, in grado di arginare un eventuale attacco. Quindi vuol dire che molte aziende sono ancora impreparate”

Possiamo descrivere il campione di aziende intervistate e come è stata svolta l’indagine sui data breaches? Perchè 65 aziende sono abbastanza rappresentative?

 

Il “Data Breach Investigations Report 2017” di Verizon raccoglie i dati di 65 organizzazioni a livello mondiale. L’edizione di quest’anno analizza 42.068 attacchi e 1.935 violazioni, che si sono verificate in 84 Paesi. Le organizzazioni che contribuiscono sono di diversi tipi (locali, regionali e internazionali) e spaziano tra una moltitudine di settori, come la sanità, il retail, il settore finanziario, la pubblica amministrazione, e tanti altri. Le organizzazioni che condividono informazioni per redigere il DBIR in genere le inviano sotto forma anonima, e riguardo violazioni che hanno colpito altre organizzazioni. Le fonti utilizzate aumentano e cambiano di anno in anno, questo significa che il focus delle nostre analisi è soggetto a cambiamenti. E lo stesso vale per il modo in cui visualizziamo i dati e li organizziamo. Questa impostazione ci aiuta a mostrare i cambiamenti che si susseguono nel panorama della sicurezza informatica.

È importante ricordare che abbiamo dato origine alle serie di report DBIR con un unico contributore – noi stessi. Ma abbiamo quasi raggiunto il nostro obiettivo, ovvero mettere insieme tutte le aziende che hanno a cuore la lotta al cyber-crime. Il successo del DBIR si deve a tutti i contributori che ci sostengono anno dopo anno. Insieme abbiamo demolito le barriere che proteggevano il cyber-crime, utilizzando fiducia e credibilità come armi. Nessun’azienda deve restare in silenzio nella lotta al cyber-crime: la conoscenza dev’essere condivisa.

 

Le aziende sono ancora restie a parlarne o hanno accettato di buon grado di parlare dei propri incidenti?

Alcune organizzazioni sono ancora riluttanti nel parlare di questi episodi, ma anche queste barriere stanno venendo meno. La maggior parte delle organizzazioni condivide le informazioni di cui è in possesso, e impara dalle esperienze fatte, e tutto questo non farà che rafforzare la nostra lotta contro i cybercriminali.

Tra gli errori più comuni c’è quello di pensare di non essere bersaglio degli hacker

 

Qual è ancora l’errore delle aziende più comune e cosa manca veramente ?

Tra gli errori più comuni c’è quello di pensare di non essere bersaglio degli hacker – e di conseguenza non avere implementato nemmeno le difese di base – l’assenza di formazione del personale contro gli attacchi informatici, e sottovalutare la minaccia e l’intelligenza degli hacker!

 

Le aziende più piccole sono ancora le più indifese?

Qualsiasi organizzazione, che sia grande o piccola, può essere obiettivo dei cybercriminali. Ovunque ci siano dati che possono essere estorti e monetizzati, c’è un rischio. Il nostro report analizza attacchi contro aziende di varie dimensioni, e di vari settori. Quest’anno abbiamo rilevato che le organizzazioni più piccole (quindi quelle con meno di 1.000 dipendenti) non sono state risparmiate, quindi questo è un problema che non riguarda soltanto le più grandi multinazionali. Questo non significa automaticamente che siano meno protette contro gli attacchi, semplicemente che hanno dati di un certo valore, un tesoro per gli hacker.

Molto spesso è più semplice e veloce applicare una strategia di sicurezza completa in una piccola organizzazione piuttosto che in una multinazionale con milioni di dipendenti.

 

La maggior parte degli attaccanti sono “outside the company”, quindi si sono invertite le proporzioni rispetto a qualche anno fa. Che significato diamo a questo dato?

Lo schema n. 2 a pagina 5 del DBIR 2017 mostra un calo nella percentuale di violazioni che coinvolgono attaccanti esterni, il che comporta un corrispondente aumento degli attori interni. Nel numero assoluto, tuttavia, le violazioni realizzate da personale interno sono rimaste relativamente costanti, con un aumento di circa il 12 per cento.

La convergenza delle due linee nel 2016 è dovuta ad una diminuzione di due tipologie di attacchi esterni che comunemente presentano un elevato rapporto tra attore e vittima: i botnet per intercettare le password e le intrusioni opportunistiche nei sistemi POS (Point-Of-Sale). Le violazioni che coinvolgono più parti e / o partner commerciali esistono, ma sono molto meno frequenti e hanno mantenuto questo livello basso negli ultimi anni.

 

Dopo la lettura del DBIR quale dovrebbe essere il primo passo per ogni azienda?

Il nostro report dimostra che non esiste un sistema impenetrabile: per questo motivo, implementare una buona protezione di base è fondamentale come non mai.

 

Ogni azienda dovrebbe implementare una buona protezione di base

questo dovrebbe essere il primo passo da fare. Successivamente, questi sistemi di protezione dovrebbero essere aggiornati e sviluppati insieme alla strategia e all’infrastruttura tecnologica di ogni singola azienda. La sicurezza dovrebbe essere al primo posto nell’agenda di qualunque istituzione o impresa. Anche una protezione di base è spesso in grado di scoraggiare i cyber-criminali, che cercheranno un bersaglio più facile.

 

I suggerimenti

 

  • Non abbassare la guardia: file di registro e sistemi di change management possono indicare in anticipo la presenza di una violazione in corso;
  • Fare delle personein azienda la prima linea difensiva: formare il personale per far sì che sappia individuare eventuali segnali di crisi;
  • Consentire l’accesso ai dati soltanto se necessario: l’accesso ai sistemi dovrebbe essere garantito soltanto ai dipendenti che ne hanno davvero bisogno per il proprio lavoro;
  • Applicare rapidamente le patch: in questo modo, è possibile proteggersi da numerosi attacchi;
  • Crittografare i dati sensibili: per far sì che, in caso di furto, i dati siano comunque inaccessibili;
  • Utilizzare l’autenticazione a due fattori: in questo modo è possibile limitare il danno che può essere generato con credenziali perse o rubate.
  • Non dimenticare la sicurezza fisica: non tutti i furti di dati si verificano soltanto online.

Per implementare delle soluzioni di sicurezza aggiuntive e più robuste, è importante innanzitutto conoscere appieno quali sono i crimini informatici che affliggono maggiormente il settore in cui si lavora. Ogni settore aziendale ha una quantità variabile di dati memorizzati in luoghi diversi e quindi si trova di fronte a diverse minacce informatiche. Solo capendo i meccanismi di base di ogni settore è possibile apprezzare le sfide in termini di cybersicurezza da affrontare e suggerire le azioni appropriate.

Il report di quest’anno fornisce insight dettagliati per ogni settore economico, svelando le sfide specifiche che ogni industria si ritrova a gestire. I dati relativi ai vari settori comprendono: àI tre settori in assoluto più colpiti dalle violazioni, che sono i servizi finanziari (24%); sanità (15%) e pubblica amministrazione (12%) à Le aziende del settore produzione sono il bersaglio preferito dei malware che sfruttano lo strumento della mail e à Il 68% degli attori che minacciano il settore sanità è interno all’organizzazione.

 

NIS e regolamento GDPR che obbligano alla tenuta sotto controllo e alla denuncia dei data breaches, sono stati presi in considerazione dalle aziende che avete coinvolto nell’indagine? ovvero sono pronte a valutare, sintetizzare e informare sui propri breach di dati?  

 

Quando parliamo con i nostri clienti o potenziali tali, affrontiamo sempre argomenti come NIS e GDPR. Sulla base di queste riunioni, sembrerebbe che la maggior parte delle aziende sia pronta a fornire questa tipologia di informazioni soltanto quando richiesto dalla legge.