Verizon ha pubblicato l’ultimo Data Breach Investigations Report (DBIR) del 2020. Quello che distingue il DBIR è che combina i dati di violazione provenienti da più fonti utilizzando la common industry collection di VERIS, un repository terze parti in cui i dati sulle minacce vengono caricati e resi anonimi. Ciò conferisce al report una base autorevole, motivo per cui viene spesso citato dalla comunità della sicurezza. Le citazioni dei report provengono anche da fonti di telemetria dei fornitori, quindi può risultare un po’ autoreferenziale. (Avast non ha partecipato a questo sforzo.)
Trend generali delle violazioni
Una delle maggiori evidenze è il calo di popolarità del malware che per la prima volta non è più sul podio dalle prime tre cause di violazione. Le violazioni che coinvolgono applicazioni basate sul Web sono in aumento e hanno conquistato la vetta della lista quest’anno. Al secondo e terzo posto troviamo le compromissioni di desktop e server di posta. Questo perché sempre più attività commerciali vengono completate tramite app basate sul Web, ragion per cui sono diventate un bersaglio per i criminali che cercano le credenziali per ottenere l’accesso a tali risorse.
Il DBIR dell’anno scorso ha riferito che il 60% di tutti le compromissioni delle app Web si verificano con i front-end verso server di posta elettronica basati su cloud. Avere utenti cloud poco attenti alla sicurezza è certamente qualcosa a cui prestare attenzione. Parlando di disattenzione, tenere traccia delle risorse del server è un secondo problema. Molte delle violazioni sono avvenute su reti di grandi dimensioni che si estendono su più provider Internet e in diverse regioni. Se si ha intenzione di distribuire un solido programma di patching, assicurasi di poter prima individuare tutti i server. “Riscontriamo sempre più risorse che non sono tracciate e non vengono immediatamente riparate”, ha detto Gabriel Bassett, uno degli analisti del rapporto.
Sempre in calo, i malware basati su trojan, che hanno visto una riduzione del 15% nel numero di attacchi rispetto ai dati dell’anno scorso.
Le PMI sono molto diverse dalle grandi aziende
Il divario tra piccole e grandi imprese si è ridotto negli ultimi anni. E questa tendenza è continuata, secondo un’analisi speciale nel DBIR di quest’anno. Le PMI utilizzano sempre di più il cloud e di conseguenza i criminali hanno adattato le loro tattiche. Gli autori del rapporto hanno confrontato la situazione attuale con quella del 2013. Le violazioni sono ancora più del doppio rispetto alle aziende più grandi (oltre 1.000 dipendenti) rispetto alle aziende più piccole. Nel 2013, il problema principale era lo spyware per le PMI, mentre oggigiorno si tratta di app Web. Nel 2013, l’obiettivo preferito erano i dati delle carte di pagamento, mentre oggi sono le credenziali a essere più popolari. “Al giorno d’oggi, le organizzazioni a prescindere dalle dimensioni sono afflitte da attacchi a dispositivi utente, server di posta e attacchi social”, hanno affermato gli autori. Un punto positivo per le PMI è che le violazioni impiegano molto più tempo a essere scoperte nelle organizzazioni più grandi: mesi contro giorni, probabilmente a causa della ridotta superficie di attacco di queste ultime.
Tendenze ransomware
Come menzionato nel post del blog di Avast sul terzo anniversario di WannaCry, il ransomware affligge ancora Internet. Al tempo, gli hacker hanno ampiamente diffuso WannaCry in tutto il mondo e ciò ha portato a danni significativi. Ma gli attacchi ransomware di oggi sono molto più mirati e comportano il doxing – cioè colpiscono obiettivi selezionati in modo da spingere più facilmente la vittima a pagare il riscatto. Questo emerge anche nel rapporto DBIR di quest’anno, dove viene evidenziato come il ransomware continui ad aumentare di qualche punto percentuale. “Vediamo i ransomware ancora comparire periodicamente e spesso le vittime pagano i riscatti. Non andrebbero sottovalutati”, affermano gli autori del rapporto. Secondo il rapporto, i ransomware sono stati responsabili del 27% degli incidenti totali che hanno seguito. Era anche il terzo metodo di violazione malware più comune. Il ransomware rappresenta anche l’80% delle infezioni nel settore educativo ed è il secondo più frequente su molte reti con sede in Asia. Certamente i ransomware stanno battendo diversi record: per esempio recentemente si è verificato un attacco basato sul ransomware Sodinokobi verso lo studio legale di Grubman, sito nello Shire a New York City. Qui sono stati rubati più di 750 GB di dati personali su clienti noti, artisti dello show busines come Madonna e Lady Gaga.
Lascia un commento