Un'azienda impiega 101 giorni per scoprire che la propria rete informatica è attaccata dagli hacker
Spesso, quando si guardano degli studi si nota una certa corrispondenza tra maturità del mercato informatico ed efficacia delle misure di sicurezza implementate dalle aziende, ma l'ultimo report di FireEye, che analizza gli attacchi informatici e le tendenze del cybercrimine nel periodo che va dal primo ottobre 2016 al 30 settembre 2017, mostra un quadro molto più variegato.
Il report è molto vasto e prende in considerazioni molti aspetti della sicurezza informatica, ma una tabella risulta particolarmente interessante per la peculiarità dei dati riportati. Secondo quanto rilevato dagli interventi dei tecnici FireEye, quando un attacco informatico a un'azienda ha successo, i criminali riescono a restare operativi nella rete del bersaglio per un arco di tempo molto ampio.
A livello globale, il tempo medio di permanenza degli hacker nelle strutture delle vittime è di 101 giorni, una durata praticamente invariata rispetto ai 99 giorni rilevati nel report dello scorso anno. Il dato medio, però, è poco indicativo, perché la reale permanenza varia molto a seconda se la scoperta viene fatta dal team interno o se l'avviso arriva dall'esterno.
Negli Usa, i team di sicurezza interni impiegano in media 42,5 giorni a scoprire una intrusione, mentre se a scoprirlo è una fonte esterna, si arriva a 124,5 giorni.
È ovvio che le scoperte del team interno siano mediamente più solerti di quanto non possano essere i tempi di rilevamento relativi a intrusioni scoperte da agenti esterni, ma in EMEA questo gap diventa incredibilmente ampio: gli attacchi scoperti da agenti esterni sono vecchi, in media, di 305 giorni mentre quelli scoperti dai team interni solo di 24,5. Nell'area Asia/Pacifico, invece, i tempi si assestano su valori molto più elevati con una permanenza media degli attaccanti nella rete di ben 498 giorni, che è il risultato di una media tra un incredibile 1088 giorni per le scoperte che arrivano da fonti esterne e un comunque poco lusinghiero 320,5 giorni relativo alle scoperte interne.
I dati EMEA vengono giustificati da FireEye come il risultato dell'incremento dell'attività criminale e APT nei nostri territori, ma anche con il fatto che siano stati scoperte dalle forze dell'ordine (quindi agenti esterni alle aziende) molte operazioni di lungo corso proprio nello scorso anno, alcune delle quali riguardavano stabilimenti industriali sotto osservazione da molto tempo.
Da quanto appreso, quindi, sembra proprio che la rilevazione degli attacchi in ambito EMEA abbia dei tempi molto più brevi che nel resto del mondo, ma per averne una conferma dovremo attendere i dati del prossimo anno.
Nel frattempo, FireEye fa notare come dai dati che ha raccolto risulti che le aziende che hanno subito degli attacchi andati a segno, diventino dei bersagli “privilegiati” per le successive azioni degli stessi gruppi criminali.
Infatti, il 49% delle aziende che è stata vittima di una intrusione ad alto livello, è stata nuovamente attaccata con successo entro un anno dagli stessi criminali o da criminali “simili”, mentre ben l'86% delle aziende che hanno subito più di un attacco andato a buon fine ha scoperto di avere più di un gruppo di criminali attivo nella sua rete.
Le aziende che si sono trovate a dover fronteggiare attacchi provenienti dal maggior numero di gruppi criminali diversi sono per lo più operanti nei settori dell'alta tecnologia e delle telecomunicazioni, seguite a ruota dagli enti scolastici, mentre il settore finanziario e governativo conta pochi gruppi attivi, probabilmente più specializzati.
Fonte: Il Sole 24 Ore