Principali fattori di rischio per la sicurezza

di Marco Rottigni - Chief Technical Security Officer EMEA di Qualys

“Come ogni anno Verizon ci aggiorna sui trend delle minacce globali subite a livello internazionale,  realizzando il nuovo Data Breach Investigations Report (DBIR). I risultati della relazione di quest’anno si basano sui dati forniti da oltre 70 fonti, riguardanti oltre 41.000 incidenti di sicurezza, tra cui circa 2.000 violazioni dei dati, con ripercussioni in oltre 80 paesi e in tutti i settori industriali. Tra i vari temi affrontati nel report, l’autore evidenzia alcuni temi di particolare rilevanza. 

1. Chi sono gli obiettivi preferiti degli hacker e perché?

2. Quanto conta ridurre il tempo per individuare i problemi di sicurezza (es. vulnerabilità o violazioni) e per porvi rimedio? 

3. In che modo la mancanza di visibilità, gli errori umani e le configurazioni errate aumentano i rischi? 

Le vittime

Quasi la metà delle violazioni ha coinvolto piccole imprese, a mio avviso perché le PMI hanno in genere un approccio più leggero alla sicurezza, spesso a causa di risorse e competenze tecniche ridotte. Le PMI sono anche un obiettivo attraente come parte della catena del valore, perché agevolano gli hacker ad arrivare alle reti IT delle aziende più grandi. Analizzando i settori si evidenzia come Government, Healthcare e Finance siano stati quelli colpiti più duramente. Ciò conferma l’interesse degli hacker nell’ottenere dati sensibili gestiti da queste organizzazioni, per procedere con la vendita o lo sviluppo di attacchi di scala superiore.

Quanto tempo ci vuole per scoprire la violazione?

Un aspetto preoccupante è che oltre la metà delle violazioni hanno richiesto mesi per essere scoperte. L’interessante set di grafici sulla cronologia delle violazioni Verizon mostra infatti come la compromissione dei dati e l’azione di exfiltration avvengano in pochi minuti o giorni, mentre la scoperta degli attacchi può richiedere giorni, settimane, mesi o anni. Senza considerare che quando realizziamo di essere nel mirino degli hacker, occorre poi spendere tempo e risorse per contenere i danni. Per quanto riguarda le vulnerabilità, il 50% di queste vengono risolte entro 90 giorni dalla scoperta, mentre per il 25% sono necessari almeno 30 giorni. La tempistica può risultare efficace per molti, ma ritengo sia possibile fare molto meglio tramite l’integrazione tra programma di rilevamento e di rimedio. 

Tattiche preferite

Nel report sono state rilevate tecniche di hacking nel 52% delle violazioni, mentre le infezioni a malware rappresentano il 28% dei casi e l’uso improprio dei dati dagli utenti autorizzati arriva al 15%. Oltre alla mancanza di visibilità, queste situazioni evidenziano la necessità di rafforzare la compliance e ridurre gli errori di configurazione nei nuovi ambienti digitali fatti di istanze cloud, container, data center tradizionali, e collaboratori che operano in mobilità. Secondo Verizon è più comune la minaccia di errore non malevolo di un dipendente, piuttosto che il sabotaggio premeditato. Un’altra tendenza preoccupante è il dominio delle minacce esterne che rappresentano il 69% delle violazioni, con il ransomware che rimane tra le minacce più diffuse (rilevato nel 24% degli incidenti). 

Come uscirne?

Tutto questo evidenzia l’importanza di applicare un adeguato programma di gestione delle vulnerabilità e dei rimedi, per ridurre la superficie vulnerabile esposta agli attaccanti. Per aumentare sicurezza e velocità di risposta, si consiglia:

• la prioritizzazione del processo di rimedio, in modo da identificare e risolvere immediatamente le minacce più critiche; 

• la distribuzione di dashboard dinamiche nei vari reparti per potenziare il livello di consapevolezza; 

• un’automazione trasparente di tutte le piattaforme che coinvolgono i processi IT e Security.

Il report evidenzia l’importanza della conformità ai regolamenti: abuso di privilegi, gestione errata dei dati e processi temporanei sono tra le prime cause di violazioni rilevate e sono sinonimi di mancata compliance. 

Conclusione

È il momento anche per le PMI di ripristinare fondamenta solide in termini di sicurezza e conformità. Tutto deve partire dall’inventario delle risorse IT, che dev’essere continuamente aggiornato, assicurando poi una rilevazione efficace ed accurata delle vulnerabilità e delle configurazioni errate. Subito dopo, è necessario assegnare le giuste priorità alle attività di rimedio correlando gli indicatori di minaccia informatica con le risorse e le loro vulnerabilità. È fondamentale avere un programma di gestione delle patch integrato per correggere rapidamente gli asset interessati. E’ indispensabile assicurarsi che tutti gli apparati, non solo i sistemi locali, siano inclusi nei processi di controllo e rilevamento. Per tutte queste attività, Qualys può essere di grande supporto.

La versione integrale dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato.