Rottigni precisa come, soprattutto in EMEA, la minaccia attacchi sia trasversale, dal finance al government, fino al mondo healthcare: “di fatto il cosiddetto cyber è diventato un vero e proprio dominio di warfare, con numerosi risvolti per i comuni cittadini”.
In tutto questo, come segnalato nel report annuale M-Trends, gli attaccanti sono presenti nei network delle organizzazioni EMEA per una media di tre mesi e mezzo prima di essere rilevati. Il tempo medio di permanenza è globalmente di 99 giorni, quindi le organizzazioni EMEA sono una settimana più lente nel rispondere rispetto alla media globale. Tuttavia, il tempo medio di permanenza in EMEA è diminuito significativamente, riducendosi a un quarto rispetto ai 469 giorni registrati nel 2015.
Marco Rottigni, Consulting SE di FireEye
Come detto, gli attaccanti con motivazioni finanziarie hanno raggiunto nuovi livelli di sofisticazione. Questo genere di hacker si è spostato verso backdoor personalizzate con una configurazione unica per ogni sistema compromesso, resilienza della propria infrastruttura ulteriormente incrementata e un miglioramento delle tecniche forensi impiegate. Tra le tendenze inaspettate, si è registrata l’attivazione di macro dei documenti di phishing tramite chiamate telefoniche intercorse tra vittime e attaccanti (!).
In alcuni casi la cybercriminalità è stata in grado di influenzare le attività comunitarie e le elezioni politiche. Nel 2016 FireEye ha osservato gruppi russi che hanno cercato di influenzare le elezioni presidenziali statunitensi e ci sono segnali che questi gruppi rivolgeranno le loro prossime attenzioni anche alle elezioni europee. Incidenti come quello dello scorso anno quando molti politici tedeschi sono stati presi di mira da gruppi Russi continueranno in quanto i cyber attacchi sono visti sempre di più come un modo per influenzare la politica europea. Secondo il report, un altro settore a rischio in EMEA è quello energetico. Gli attaccanti stanno causando disagi con l’obiettivo di acquisire informazioni riservate in modo da far progredire le capacità delle proprie aziende nazionali. Inoltre, i gruppi di cyber criminali potrebbero colpire i sistemi di controllo industriali per operazioni potenzialmente pericolose e distruttive.
A seguito di queste considerazioni, precisa Rottigni, le capacità di hunting diventano cruciali. Se, di fatto, poco tempo fa la caccia alle minacce era una capacità di nicchia, oggi è stata meglio codificata ed è accessibile ad analisti meno esperti. La caccia alle minacce rientra ora tra le competenze più comunemente ricercate nella sicurezza difensiva, e mercati di formazione e educazione si stanno evolvendo per soddisfare questa domanda.
Nel complesso è possibile affermare che le aziende siano oggi più reattive e attente in materia di security, lo testimonia un Dwell Time in riduzione. Nonostante questo l’attribuzione degli attacchi e la protezione proattiva rimangono attività complesse e difficili da attuare. Leak e meccanismi di offuscamento rendono necessaria una forte attività di intelligente. Non ultimo, è necessario cambiare il paradigma di protezione: non esistono meccanismi per una sicurezza totale, le brecce sono inevitabili, il vero traguardo è la resilienza.
