Data protection relativa se è vero che oggi per il rilevamento di un’iintrusione il tempo medio di risposta va dai duecentocinquanta ai trecento giorni. Questo perché le aziende troppo spesso adottano misure di data protection completamente inaffidabili.
Per aiutare a capire meglio The Black Report, un sondaggio condotto da Nuix e ZDNet prende in esame l’opinione di noti penetration tester (conosciuti anche come ethical hacker) per aprirsi a nuovi punti di vista per migliorare la sicurezza aziendale.
Quali sono i metodi di attacco più efficaci?
Durante la fase di ricognizione di un attacco, 84% dei penetration tester utilizza tecniche di social engineering per raccogliere le informazioni relative ai propri obiettivi (solo il 16% ha affermato di non aver mai fatto uso di questa strategia d’attacco). Gli analisti evidenziano che il motivo per cui la maggior parte pentester utilizza questo sistema è dovuto al fatto che non esiste attualmente alcun controllo di sicurezza in grado di mitigare o prevenire completamente gli attacchi di ingegneria sociale. L’unica arma utile per fronteggiare questi attacchi è un buon programma di formazione dedicato al personale in grado di rendere gli utenti più consapevoli, attenti e preparati possibile in tema data protection.
Durante la fase successiva, la maggior parte degli hacker (86%) fa una scansione delle vulnerabilità per identificare le potenziali debolezze dei propri obiettivi. Più in dettaglio, il 22% conferma di farlo sempre mentre il 24% degli intervistati afferma di farlo spesso. Secondo gli esperti, la scansione delle vulnerabilità rappresenta solo una parte del processo in quanto, di per sé, non sostituisce un penetration test completo. I responsabili della sicurezza pensano solitamente che gli aggressori utilizzino strumenti commerciali o private exploit per compiere i loro attacchi? Questo sondaggio, invece, mette in luce una realtà diversa: solo il 10% degli ethical hacker fa uso di uno strumento commerciale, il 5% si serve di private exploit e il 3% di exploit pack (ovvero kit progettati per usi spesso discutibili o illegali, come quello di infettare sistemi per renderli parte di una botnet o implementare ransomware, reperibili solitamente nel Dark Web).
La grande maggioranza degli intervistati confida di affidarsi a soluzioni open source (60%) o creare propri strumenti personalizzati (21%). Tra i penterster, i metodi più popolari per entrare nei sistemi sono l’attacco diretto al server (43%) e il phishing (40%). Meno utilizzate le strategie di attacco watering hole e drive-by, entrambe citate dal 9% degli intervistati.
La velocità è una variabile chiave per garantire la data protection
I responsabili della sicurezza devono fronteggiare nemici molto veloci: l’88% dei penetration tester afferma di poter compromettere un obiettivo in meno di dodici ore. Il 28% necessita dalle sei alle dodici ore, mentre il 43% dice di poter colpire in meno di sei ore. Il 17% degli intervistati ha affermato di poter compromettere un sistema in meno di due ore. Stando a questi dati, gli esperti fanno notare che se non si è in grado di identificare e fermare un tentativo di intrusione in meno di dodici ore, con ogni probabilità, almeno un host sarà quasi certamente compromesso.
Al di là di ogni possibile tempistica, comunque, questi numeri sottolineano l’importanza di avere un team dedicato alla sicurezza IT ben addestrato e in grado di utilizzare le più avanzate tecnologie di data protection e monitoraggio attivo delle minacce. Ma non è tutto: l’88% degli ethical hacker in esame, una volta entrati nel sistema, potrebbe riuscire a identificare ed esfiltrare i dati in meno di dodici ore. Il 31% rivela di poter portare a termine l’estorsione in sei-dodici ore, il 29% necessita di un arco di tempo dalle due alle sei ore e il 21% sostiene di avere bisogno di meno di centoventi minuti.
Se si combinano questi ultimi dati con quelli espressi sopra (considerando l’88% degli hacker che dice di poter violare il perimetro IT in meno di una giornata) si ottiene una fotografia molto importante: nelle prime ventiquattro ore di un attacco, è molto probabile che un criminale informatico possa compromettere un sistema aziendale, individuando e sottraendo i dati sensibili, senza che i responsabili della sicurezza possano rendersi conto del suo passaggio.
Flessibilità e prontezza, per giocare alla pari con gli hacker
La metà esatta degli intervistati sostiene di aver cambiato le proprie metodologie di attacco in base ai singoli obiettivi, il 38% dice di aver modificato strategia almeno ogni sei mesi, mentre appena il 5% rivela di modificare il proprio comportamento circa una volta all’anno. Lato aziende, la maggior parte delle contromisure difensive messe in atto oggi per garantire la data protection si concentra sugli IOC (indicatori di compromissione): una strategia, questa, che secondo gli analisti potrebbe risultare efficace solo se gli schemi di attacco non venissero mai cambiati (o comunque fossero modificati raramente). Considerando dunque che l’80% circa degli intervistati modifica strategia almeno una volta ogni sei mesi, le aziende interessate a una data protection efficace dovrebbero porsi un’importante domanda: quanto spesso vengono cambiati gli IOC?
Un altro dato interessante su cui riflettere: il 56% dei pentester cambia spesso approccio solo per cimentarsi con tecniche nuove. Appena il 5% degli intervistati, infatti, ha riferito di aver scelto una nuova tattica perché quella precedente si era rivelata non più efficace. Da quest’ultima considerazione si evince quanto sia importante, per tenere testa ai criminali informatici, avere (almeno) il loro stesso livello di flessibilità e prontezza.
Serve un approccio olistico
Secondo quasi due terzi (65%) degli intervistati, la maggior parte delle aziende non risolve i problemi di vulnerabilità dopo averli identificati. Secondo gli analisti la causa di questa lacuna nella strategia di data protection è da ricondurre principalmente a questioni di budget e di tempo. Oltre il 70% degli ethical hacker intervistati ha detto che di aver speso più di undici ore alla settimana per portare a termine i propri attacchi e baypassare le difese IT aziendali, il 30% dedica circa sei-dieci ore alla settimana alla ricerca e un ulteriore 22% ne impiega oltre dieci per aggiornarsi e tenere il passo con le ultime tendenze sul fronte dell’hackeraggio. E non c’è motivo di dubitare che gli hacker malintenzionati siano ancora più motivati dei colleghi etici.
Considerando dunque che quasi la metà degli intervistati afferma di poter violare la sicurezza o rubare i dati in meno di sei ore, quanti danni potrà fare un reale malintenzionato in una settimana o un mese? In questo scenario, le aziende devono quindi interrogarsi quanto prima su come costruire un’intelligence in grado di garantire un’efficace data protection. Secondo gli esperti c’è bisogno di un approccio olistico (con robuste policy che coprano governance, risposta e ripristino) e di soluzioni endpoint che possano garantire protezione contro malware e ransomware, oltre a fornire una sorta di mitigazione per gli attacchi di social engineering. Una soluzione del genere permetterebbe di abbandonare un approccio troppo obsoleto e offrirebbe finalmente la flessibilità necessaria per fronteggiare efficacemente le mutevoli tattiche di attacco messe in campo dal cybercrime.
Nessuna strategia di sicurezza è davvero efficace?
Uno degli aspetti più interessanti della ricerca sono stati i risultati relativi all’efficacia delle misure di data protection. A partire da queste informazioni, i responsabili della sicurezza potranno capire quali aspetti funzionano davvero e quali no. La contromisura più efficace, secondo il 36% degli intervistati, è la sicurezza degli endpoint, seguita da sistemi di rilevamento e prevenzione delle intrusioni (29%) e firewall (10%). Gli antivirus? Hanno rappresentano un ostacolo per appena il 2% degli intervistati! Il 22% degli hacker professionisti dichiara addirittura che non esista nessuna contromisura di sicurezza in grado di essere davvero efficiente: un attacco andato a buon fine, per loro, è solo questione di tempo. Quindi nessuna strategia di sicurezza è davvero efficace? No, non è così.
Se è pur vero che ogni controllo di sicurezza possa essere eluso da un hacker che abbia a disposizione la giusta dose di tempo e la sufficiente motivazione, gli analisti sottolineano che con una strategia di difesa che unisca controlli efficienti e un’efficace formazione si può evitare che un attacco porti automaticamente alla compromissione dei dati.
