Il report annuale M-Trends di FireEye evidenzia un significativo incremento del tempo impiegato dalle aziende per rilevare gli attacchi
FireEye presenta i risultati del proprio report annuale M-Trends che mostra come nel 2017 la permanenza degli attaccanti all’interno delle reti delle organizzazioni in EMEA sia stata mediamente di 175 giorni, prima che la loro presenza fosse rilevata. Questo risultato corrisponde ad un incremento di circa il 40% rispetto al dato di 106 giorni dello scorso anno. Il report si basa su informazioni raccolte dagli analisti di FireEye nel corso del 2017 e mette in evidenza i trend e le tattiche emergenti utilizzati dagli attaccanti per compromettere le organizzazioni.
Alcuni dei punti chiave del report sono:
- Il “dwell time” degli attaccanti nelle organizzazioni EMEA è stato di 175 giorni
Il dwell time medio – tempo che un attaccante passa all’interno dell’organizzazione prima di essere scoperto – è stato di 175 giorni. La media globale è invece di 101 giorni, il che vuol dire che in EMEA le organizzazioni sono state due mesi e mezzo più lente nella risposta alle minacce. Sembra tuttavia che siano stati compiuti dei progressi in quanto le aziende sempre più spesso scoprono le violazioni dall’interno, piuttosto che venirne a conoscenza tramite notifiche da parte delle forze dell’ordine o di fonti esterne. Il dwell time medio in EMEA per le rilevazioni interne è stato di 24,5 giorni, in netta discesa rispetto agli 83 giorni dello scorso anno, mentre la media globale è di 57,5 giorni.
- Il settore finanziario continua ad essere il principale bersaglio
Nel 2017, il 24% delle investigazioni effettuate da Mandiant in EMEA ha coinvolto aziende del settore finanziario, facendo di questo settore quello più colpito davanti alla pubblica amministrazione con il 18%. I servizi professionali si sono attestati al terzo posto con il 12%.
- Recidività degli attacchi
Secondo il report FireEye, è molto probabile che le organizzazioni già vittime di un attacco mirato vengano colpite nuovamente. I dati globali degli ultimi 19 mesi hanno evidenziato che il 56% di tutti i clienti dei servizi di managed detection and response di FireEye, che non si avvalgono più del supporto di incident response fornito da Mandiant, sono stati di nuovo presi di mira dallo stesso gruppo di attacco o da un gruppo con motivazioni simili. I risultati mostrano inoltre che almeno il 49% dei clienti che ha subito almeno una volta un attacco significativo è stato nuovamente attaccato l’anno successivo. Nello specifico in EMEA, il 40% dei clienti che sono stati colpiti da una violazione grave ha subito più attacchi significativi provenienti da diversi gruppi nel corso dell’anno.
- Il rischio invisibile: la carenza di competenze di cyber security
La domanda di esperti di sicurezza continua ad essere superiore all’offerta, rendendo ancora più grave l’attuale carenza di competenze. I dati emersi da una ricerca del National Initiative for Cybersecurity Education (NICE) e le informazioni ottenute grazie alle investigazioni condotte da FireEye nel corso del 2017 indicano che la situazione peggiorerà nei prossimi cinque anni. I risultati mostrano che le principali aree impattate dalla carenza di competenze sono quelle della visibilità, detection e incident response. In questi ambiti la mancanza di figure esperte sta causando un ritardo potenzialmente costoso nella gestione delle attività malevole.
“È triste dover constatare che il dwell time medio ha subito un aumento significativo nelle aziende della regione EMEA nel corso dell’ultimo anno, ancor di più se si considera che il GDPR è ormai alle porte”, ha dichiarato Stuart McKenzie, Vice President of Mandiant di FireEye. “D’altro canto, volendo vedere il lato positivo della questione, nel corso del 2017 è stato scoperto un maggior numero di minacce storiche che erano attive da diverse centinaia di giorni. Rilevare attacchi di lunga durata è ovviamente uno sviluppo positivo ma fa chiaramente salire la statistica relativa al dwell time”.
