Attacchi informatici silenziosi: oltre 260 ore per rilevarli

Gli attacchi informatici non solo sono sempre più sofisticati e insidiosi, ma anche “nascosti”: tanto che per individuarne uno possono occorrere fino a 260 ore, più di 10 giorni. Un’eternità. Lo rivela la nuova ricerca di Sophos “Active Adversary Playbook 2021” un vero e proprio manuale che riassume i comportamenti dei cybercriminali e le tecniche, gli strumenti e le procedure che gli esperti di sicurezza informatica hanno dovuto affrontare nel 2020 e nei primi mesi del 2021.

L’attacco più lungo? Inosservato per 15 mesi

In base ai dati raccolti durante l’analisi, è emerso che che il tempo medio di permanenza dell’autore di un attacco nella rete presa di mira è stato di 11 giorni (264 ore) mentre il tempo più lungo durante il quale un’intrusione è andata avanti inosservata è stato pari a 15 mesi. In merito alla natura dell’attacco, il ransomware è stato protagonista dell’81% degli incidenti di sicurezza e del 69% degli hackeraggi sfruttando il remote desktop protocol (RDP).

264 ore di tempo per agire indisturbati

Tra i dati più significativi contenuti nel manuale, si scopre che in media i cybercriminali hanno avuto 11 giorni – ovvero 264 ore – per svolgere attività malevole, come movimenti laterali, furto di credenziali e di dati sensibili e molto altro ancora. Tenendo conto che alcune di queste attività possono essere svolte in pochi minuti o al massimo in qualche ora, e che spesso ciò avviene di notte o al di fuori del consueto orario lavorativo, è facile capire che, con 11 giorni a disposizione, i danni che potrebbero essere causati all’azienda sono molteplici.

Il 90% degli attacchi utilizza Remote Desktop Protocol (RDP)

Sempre in merito alla natura degli attacchi, si scopre che il 90% di questi utilizza il Remote Desktop Protocol (RDP) che, nel 69% dei casi, viene anche usato per compiere movimenti laterali interni. Le misure di sicurezza per RDP, come le VPN e l’autenticazione a più fattori, tendono a concentrarsi sulla protezione dei punti di accesso dall’esterno. Tuttavia, questi accorgimenti non funzionano se il cybercriminale è già all’interno della rete.

L’esperienza umana fa la differenza

Come spiega John Shier, senior security advisor di Sophos, “Il panorama delle minacce sta diventando sempre più complesso, con attacchi sferrati da avversari dotati di grandi risorse e numerose competenze, dai cosiddetti “script kiddies” fino ai gruppi più esperti sostenuti da specifiche nazioni. Questo può rendere la vita difficile ai responsabili della sicurezza IT.  Nell’ultimo anno, i nostri team addetti a rispondere agli incidenti hanno fornito supporto volto a neutralizzare gli attacchi lanciati da più di 37 gruppi di attacco che hanno utilizzato più di 400 strumenti diversi. Molti di questi strumenti sono utilizzati anche dagli amministratori IT e dai professionisti della sicurezza per le loro attività quotidiane e di conseguenza individuare la differenza tra attività benigna e dannosa non è sempre facile. Con i cybercriminali che trascorrono una media di 11 giorni nella rete, implementando il loro attacco mentre si confondono con l’attività IT di routine, è fondamentale che i responsabili della sicurezza IT colgano le avvisaglie da tenere sotto osservazione. Uno dei principali segnali di allarme, per esempio, è quando uno strumento o un’attività legittima viene rilevata in un luogo inaspettato. Bisogna sempre tenere a mente che la tecnologia può fare molto ma, nel panorama delle minacce di oggi, potrebbe non essere sufficiente da sola. L’esperienza umana e la capacità di rispondere sono una parte vitale di qualsiasi soluzione di sicurezza”.