News

Data Breach 2022: il fattore tempo diventa fondamentale

Alcuni dati del DBIR Data Breach Investigations Report di Verizon 2022 per capire come si stanno muovendo gli aggressori e i settori più colpiti

Pubblicato il 16 Gen 2023

Data Breach 2022

Le aziende sono consapevoli dei rischi di compromissione dei dati e non riescono a sentirsi (ed essere) al sicuro. Questo ciò che emerge dal DBIR Data Breach Investigations Report di Verizon 2022.

Data breach, quanti dati sono stati compromessi nel 2022?

Il lavoro di ricerca compiuto da Verizon, in collaborazione con altri 87 partner, ha portato a osservare oltre 914.547 incidenti che hanno determinato 234.638 violazioni per un totale di 8,9 TB di dati coinvolti.

In generale, è emerso che è molto più probabile che la compromissione dei dati derivi da attacchi esterni piuttosto che da qualsiasi altra fonte. Quasi tre casi su quattro hanno prodotto prove che puntano al di fuori dell’organizzazione della vittima.

In linea con altre ricerche che rivelano i rischi inerenti all’impresa estesa, i partner commerciali sono stati coinvolti nel 39% delle violazioni dei dati rilevate dagli analisti. Le fonti interne hanno invece causato il minor numero di incidenti (18 per cento).

Chi sono gli aggressori e come si comportano

La maggior parte dei ladri di dati sono criminali professionisti che cercano deliberatamente di rubare informazioni che possono trasformare in denaro.

Negli anni (il DBIR è un appuntamento annuale dal 2008), e in particolare dal 2011, si è notato l’aumento dell'”hacktivism” contro le organizzazioni più grandi in tutto il mondo. La frequenza e la regolarità dei casi legati a gruppi di attivisti che sono entrati dalle nostre porte nel 2011 ha superato il numero in tutti gli anni precedenti messi insieme.

Inoltre, nel 2022 si è notato un incremento della dimensione media degli attacchi data breach (misurata nel numero di record compromessi).

Allo stesso modo, gli incidenti che coinvolgono i partner di filiera tendono a essere sostanzialmente più grandi di quelli causati da fonti completamente esterne. Ciò avvalora il principio che i soggetti privilegiati possono arrecare più danni all’organizzazione rispetto agli estranei.

L’importanza del movente

Secondo i responsabili di questo studio, il movente dell’attore della minaccia è importante da capire per tentare di quantificare quanti dei nostri guai sono causati dall’economia illecita, da vendette personali o da svarioni accidentali.

La finanza è stata la motivazione principale da quando si iniziato a seguirla nel 2015. Tuttavia, quello stesso anno l’aumento dell’hacktivism (in particolare le fughe di notizie) ha causato molti attacchi. Gli attacchi legati allo spionaggio non erano nemmeno nel radar, ma sette anni dopo il mondo è un posto molto diverso. E anche nel 2022 lo spionaggio ha decisamente conquistato posizioni tra i principali motivi di data breach.

Le principali minacce per la sicurezza dei dati oggi

Esistono 4 principali minacce per il tuo patrimonio informativo: credenziali, phishing, sfruttamento delle vulnerabilità e botnet. Tutte e 4 le tipologie sono diffuse nei vari comparti studiati dal DBIR e nessuna organizzazione deve percepirsi al sicuro da questi punti di vista.

Il 2021 ha illustrato come un incidente verificatosi nella catena di approvvigionamento possa portare a conseguenze di vasta portata. Compromettere il partner giusto è un moltiplicatore di forza per gli attori delle minacce.

L’errore umano continua a essere una tendenza dominante ed è fortemente influenzato da una archiviazione cloud configurata in modo errato. Anche se questo è il secondo anno consecutivo in cui si assiste a un leggero livellamento di questo modello, l’attenzione ai dipendenti non dovrebbe essere trascurata.

In generale, l’elemento umano continua a guidare le violazioni. Che si tratti di utilizzo di credenziali rubate, phishing o semplicemente di un errore, le persone continuano a svolgere un ruolo importante sia negli incidenti che nelle violazioni.

I malware

Una volta che gli aggressori sono all’interno della rete della vittima, spesso installano malware, che viola l’integrità di un sistema. L’installazione di malware è un fenomeno già affermato in passato e i dati recenti confermano che quest’ultimo periodo non fa eccezione, con oltre il 30% dei casi di violazione che coinvolgono qualche tipo di malware.

Il ransomware

L’importanza del ransomware non accenna a diminuire. Esso è presente in quasi il 70% delle violazioni di malware quest’anno. Quando viene attivato il ransomware, l’organizzazione subisce una perdita di disponibilità poiché non può più accedere ai propri dati.

Un’altra forma comune di impatto sulla disponibilità è l’interruzione che spesso deriva da attacchi DDoS (Distributed Denial of Service). Questi attacchi costituiscono un gran numero di incidenti, ma sono relativamente inesistenti tra i casi di violazione analizzati nel DBIR.

L’importanza del tempo

Il momento della scoperta è il punto di partenza quando si visualizzano le sequenze temporali. Sebbene il fatto che oggi è più probabile che rilevino violazioni entro pochi giorni piuttosto che in mesi (come succedeva tempo fa) possa sembrare una buona notizia diventa un po’ meno confortante quando si capisce come si arriva a tale consapevolezza. Oltre il 50% delle scoperte avviene per “Actor Disclosure”. E cioè solitamente una nota di ransomware o la propria comparsa su un forum criminale dove si annuncia la violazione o, addirittura, la messa in vendita dei dati.

Una volta emerso il problema, il compito dei sistemi di difesa è allungare il percorso di attacco. Gli aggressori tendono, infatti, a evitare catene di attacco lunghe perché ogni passaggio aggiuntivo è un’opportunità per il difensore di prevenire, rilevare, rispondere e riprendersi dalla violazione stessa.

Attenzione alla “catena del valore”

Esiste un ecosistema di attaccanti sia prima che dopo la violazione, che gioca e si nutre dell’incidente. L’analisi della catena del valore include le domande “Da dove viene quell’indirizzo e-mail?” O “Dove vanno a finire quelle credenziali rubate?

Spesso sembra che le violazioni generino altre violazioni, creando per così dire un circolo di violazione. Comprendendo le transazioni associate a questo ecosistema, possiamo comprendere i passaggi chiave coinvolti negli attacchi e lavorare in modo collaborativo per rendere tali transazioni più difficili, costose o insostenibili per gli aggressori.

I settori colpiti

Quando si parla di data breach, non tutti i settori sono uguali, almeno non quando si tratta di attaccare superfici e minacce. Il tipo di attacchi subiti da un particolare settore avrà molto a che fare con l’infrastruttura su cui fa affidamento, con i dati che gestisce e il modo in cui le persone (clienti, dipendenti e chiunque altro) interagiscono con esso.

Una grande organizzazione il cui modello di business si concentra interamente sui dispositivi mobili e in cui i clienti utilizzano app avrà rischi diversi rispetto a un piccolo negozio privo di Internet, ma che utilizza un fornitore di punti vendita che gestisce i propri sistemi per loro. L’infrastruttura e la superficie di attacco, determinano in gran parte il rischio.

In particolare, nello studio 2022 sono stati esaminati nel dettaglio 23.896 incidenti, che si sono ridotti a 5.212 violazioni di dati confermate. Gli studiosi ricordano che i numeri sono fortemente influenzati da diversi fattori, tra cui le leggi sulla segnalazione delle violazioni dei dati e la visibilità dei partner. Per questo motivo, alcune industrie hanno numeri molto bassi.

Nella tabella sottostante tutti i numeri.

DBIR 2022 – Numero di incidenti analizzati settore per settore

Focus sulle utility

Nel DBIR elaborato nel 2022 (periodo in cui il settore energetico è messo a dura prova da una serie di eventi drammatici) si calcola che si sono verificati 407 incidenti, più di uno al giorno, ai danni di aziende dei servizi di fornitura energetica e del settore minerario a livello globale.

Più nel dettaglio, 179 (oltre il 44%) hanno comportato una violazione di dati.

Il 96% degli attacchi provenivano da attori esterni alle aziende, mossi prevalentemente da motivi economici (78%) o di spionaggio (22%).

Le informazioni compromesse erano prevalentemente credenziali (73%) e dati personali nel 22% dei casi.

È interessante notare che questo settore ha avuto un tasso più elevato di violazioni di social engineering rispetto alla media. Il 60% di tutte le violazioni sono riconducibili al phishing, a queste segue il fenomeno delle credenziali rubate (potenzialmente raccolte dal phishing) e ransomware (potenzialmente tangenti al phishing).

Considerando tutto questo, non sorprende che i server di posta elettronica siano la risorsa più comunemente violata di questo settore, seguiti da applicazioni Web e desktop.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Aziende

Argomenti

Canali

Articoli correlati

  • Sponsored Story

    Cyber threat intelligence: come implementare misure di difesa efficaci

    22 Dic 2022

    Condividi

  • News

    Rapporto Clusit 2022, ecco l'edizione di fine anno

    22 Nov 2022

    Condividi

  • News

    Data breach, +8% in un anno

    28 Gen 2022

    Condividi

Prossimo

Cyber threat intelligence: come implementare misure di difesa efficaci

Articolo 1 di 4