Osservando oltre 200 attacchi di cybercrime messi a punto in un arco di tempo di 18 mesi, un report ne descrive le caratteristiche, anche se in continua evoluzione. Tenta di individuare un trend nel comportamento degli avversari di cui non si può che prendere atto, ma “bacchetta” anche le aziende perché non fanno tutto ciò che potrebbero per facilitare la vita al proprio team di sicurezza, spesso in affanno.
Attacchi in 5 ore: cyber criminali dalla “mano lesta”
Nel suo più recente Active Adversary Report, Sophos arriva a osservare il panorama di eventi di cybersecurity fino alla fine di giugno 2023, rilevando una repentina riduzione degli attacchi ransomware non del tutto prevista. Lo deduce prendendo in considerazione quanto emerso dai team Incident Response (IR) di X-Ops, in prima fila nell’affrontare le crisi di sicurezza in tutto il mondo.
Chi appartiene a questa categoria, ha infatti iniziato a parlare di “attacchi lenti”, quando ha a che fare con quelli che durano più di 5 giorni e che, per ora, sono ancora la maggior parte (62%). Si meritano di essere definiti “veloci” quelli del restante 38%, sotto i cinque giorni di durata. Il tempo che si considera è quello che tipicamente intercorre tra l’intrusione iniziale all’interno di un’organizzazione da parte del criminale e quello in cui si ipotizza inizi ad avvenire la distribuzione del ransomware.
Questa predominanza di attacchi lenti sembra una tendenza destinata a finire: si va verso un “tempo di attesa” di circa 24 ore, addirittura c’è un 10% di casi in cui il ransomware risulterebbe essere stato distribuito entro le cinque ore.
Nel report si osserva che, dato che cambiando le tempistiche “si vince facile”, la maggior parte dei malintenzionati non ha alcuna ragione per cambiare la propria tattica di attacco. Una buona notizia per chi stende strategie difensive che non si trova obbligato a cambiarle in modo radicale.
Questo non significa certo avere il permesso di stare con le mani in mano: Sophos suggerisce di “creare attrito”, per rallentare l’accelerazione in atto nel mondo dei ransomware. Soprattutto, però, fa notare una grossa falla nelle strategie di sicurezza di cui molte organizzazioni sono responsabili. Riguarda i registri, uno strumento che può rivelarsi particolarmente utile nelle indagini sui ransomware perché rivela i sistemi a cui è stato fatto accesso da un account presumibilmente compromesso.
Telemetria: strumento prezioso ma trascurato
Per inquadrare meglio il fenomeno dell’inadeguatezza delle misure di logging implementate, il report mostra alcuni numeri. In verità ne basta uno per comprenderne la diffusione: nel 42% dei casi di Incident Response (IR) analizzati le organizzazioni non disponevano dei log di telemetria. Ciò significa trovarsi totalmente impossibilitate ad analizzare correttamente quanto avvenuto e identificarne le cause.
I motivi che si nascondono dietro a questa inadempienza possono essere molteplici. L’insufficiente conservazione, il re-imaging o la mancanza di configurazione, per esempio, oppure la scarsità di risorse e delle capacità limitate di IT e di dati. Ciò vale soprattutto quando le vittime appartengono alla categoria delle PMI non ancora giunte a buon punto nel processo di digital transformation.
C’è anche chi, con un tocco di malizia, sospetta che alcune organizzazioni non abbiano poi così tanta voglia di indagare sull’attacco o non lo ritengano prioritario. Sophos indica però che l’assenza di log sia da imputare nell’82% dei casi a una azione compiuta dagli stessi criminali informatici. Spesso infatti sono loro che disabilitano o cancellano le funzionalità di telemetria e di registrazione per eludere il rilevamento, l’identificazione e l’attribuzione dell’attacco sferrato.
L’impatto è, in ogni caso, significativo: quando non ci sono dati a disposizione su quanto avvenuto, il team di sicurezza fatica a capire come abbiano agito i criminali. Per giunta, si trova anche a dover indagare sulla “sparizione dei dati”. Una grande perdita di tempo, evitabile, proprio in situazioni in cui ogni minuto è fondamentale, per amplificare l’efficacia di qualsiasi piano di risposta agli incidenti che miri a un rapido recupero.
Grazie a un buon uso della telemetria, si può infatti sperare di risalire all’origine dell’attacco e alle modalità utilizzate dall’aggressore per penetrare, traendo informazioni precise sul suo indirizzo IP, per esempio, o sull’account utente con cui ha eseguito una specifica attività.
Anche chi si sente (erroneamente) inattaccabile, avrebbe tutto l’interesse nel prendersi cura dei propri registri. È Sophos stesso a ricordarlo nel proprio report.
Le informazioni contenute, infatti, sono preziose anche per analisi e approfondimenti a scopo di business, non solo di protezione e sicurezza, sempre che tali ambiti non siano poi collegati. Partendo dai log si possono infatti ricavare valutazioni strategiche sulle attività di rete e di sistema utili per indagare su problemi di prestazioni. I casi d’uso più frequenti riguardano, per esempio, l’identificazione dei sistemi che possono, o meno, accedere a determinate risorse, oppure l’invio di avvisi all’approssimarsi della piena capacità dei dischi di archiviazione.
