Sophos presenta la ricerca le sette scomode verità dell’endpoint security. Raramente gli attacchi vengono rilevati su endpoint e dispositivi mobile.
I dati in questo senso parlano chiaro: oggi gli attacchi dei cybercriminali vengono individuati sempre più spesso a livello di server o rete. Infatti, il 37% degli attacchi viene rilevati su server o network, mentre solo il 17% a livello di endpoint, e il 10% sui device mobili.
Il panel della ricerca è di ben 3100 decisione maker di reparti IT di aziende di medie dimensioni, da 12 diverse nazioni.
Chester Wisniewski, principal research scientist di Sophos
I server custodiscono informazioni sensibili relative all’azienda, ai suoi dipendenti e ai dati finanziari e le normative sempre più stringenti – come il GDPR – mettono le imprese nella condizione di dover comunicare tempestivamente eventuali attacchi subiti. La sicurezza a livello server e rete ha dunque conosciuto una notevole impennata e resta una priorità assoluta per le aziende. Di conseguenza, gli IT manager dedicano massimo impegno a proteggere queste aree al fine di prevenire il possibile ingresso di attacchi proprio da questi due punti di accesso che diventano inevitabilmente il luogo in cui è più facile individuare e bloccare i cybercriminali. Tuttavia, gli IT manager non devono ignorare gli endpoint perché molti cyber attacchi iniziano proprio lì ed è allarmante notare che troppo spesso ancora non sia possibile identificare come e quando le minacce siano entrate nel sistema.
Il 20% degli IT manager che nell’ultimo anno sono stati vittime di uno o più attacchi, non sono in grado di identificare come sia avvenuto l’ingresso delle minacce e il 17% non sa per quanto tempo tali pericoli siano stati presenti nel sistema prima di essere rilevati.
Al fine di ovviare a questa mancanza di visibilità, gli IT manager devono avvalersi di soluzioni EDR (Endpoint Detention and Response) in grado di rivelare il punto di partenza della diffusione delle minacce e l’impronta digitale lasciata dai cybercriminali che si muovono lateralmente all’interno di una rete.
Chester Wisniewski
Se i responsabili IT non riescono ad individuare l’origine o il modo in cui si muove un attacco, non saranno in grado di ridurre al minimo i rischi per la sicurezza aziendale ed interrompere la catena di attacco al fine di prevenire ulteriori infiltrazioni pericolose. L’EDR supporta gli IT manager nell’identificazione del rischio e nella messa a punto di un processo per le aziende che si trovano ad entrambi i lati del Security Maturity Model: nel caso in cui l’IT sia prevalentemente concentrato sul rilevamento, l’EDR potrà supportarlo trovando, bloccando e rimediando ai danni dell’attacco. Se invece l’IT aziendale sta ancora costruendo le fondamenta della sicurezza, l’EDR rappresenterà una componente fondamentale, andando a fornire la Threat Intelligence necessaria.
Secondo la ricerca Sophos, in media, le aziende che si trovano ad affrontare uno o più attacchi alla propria sicurezza ogni mese, dedicano circa 48 giorni all’anno per analizzarli.
Non c’è dunque da sorprendersi se gli IT manager hanno indicato l’identificazione di eventi sospetti (per il 27%), la gestione degli alert (per il 18%) e l’assegnazione di priorità agli eventi sospetti (per il 13%) come le tre principali funzionalità che si aspettano di trovare in una soluzione EDR, al fine di ridurre sensibilmente il tempo dedicato ad identificare e contrastare gli alert di sicurezza.
Chester Wisniewski
La maggior parte degli attacchi spray and pray può essere bloccata in pochi secondi a livello endpoint senza generare alcun allarme. Gli attacchi persistenti, inclusi quelli di tipo ransomware come SamSam, si prendono invece il tempo necessario per bucare un sistema aziendale, individuando ad esempio password o sistemi di accesso remoto (RDP, VNC, VPN…) semplici da bypassare e trovando così il punto d’appoggio dal quale muoversi silenziosamente fino a riuscire a portare a termine l’attacco. Con la sicurezza approfondita garantita dall’EDR, gli IT manager potranno analizzare molto più rapidamente l’attacco subito e utilizzare i risultati ottenuti attraverso la Threat Intelligence per trovare le infezioni simili all’interno di un sistema. Quando i cybercriminali capiscono che un certo tipo di attacco funziona, tendono a replicarlo all’interno dell’azienda che vogliono colpire. Scoprire e bloccare i modelli di attacco significa dunque ridurre drasticamente i giorni che i responsabili IT devono dedicare allo studio dei potenziali incidenti di sicurezza.
La ricerca Sophos ha evidenziato altri dati interessanti:
– il 57% degli intervistati ha dichiarato che prevede di implementare una soluzione EDR entro i prossimi 12 mesi.
– Scegliere l’EDR significa colmare una lacuna nelle competenze. L’80% degli intervistati ha ammesso che sarebbe utile avere a disposizione un team più ricco e preparato.