Secondo il Verizon Cyber-Espionage Report lo spionaggio informatico è una minaccia reale che compie attacchi contro aziende pubbliche e private. Il rapporto analizza le ultime sette edizioni del Verizon Business Data Breach Investigations Report (DBIR), (dal 2014 al 2020) e si concentra sulla natura unica del cyberspionaggio. E prende in esame gli autori degli attacchi e le azioni che intraprendono. Nonché le capacità specifiche di cui i team di sicurezza IT hanno bisogno per rilevare questi attacchi e difendersi da essi.
Cyberspionaggio: dati e strategie
Analizzando le tipologie di violazioni più diffuse, si evince che quelle determinate da motivazioni finanziarie sono le più comuni (con un range che varia tra il 67-86% nel periodo preso in esame). Mentre quelle riconducibili al cyberspionaggio hanno numeri relativamente più bassi (tra il 10-26%). Tuttavia, non per questo sono meno dannose o preoccupanti. Per loro stessa natura questi attacchi sono più invasivi e violenti rispetto agli altri.
Verizon Cyber-Espionage Report
Le violazioni motivate da scopi finanziari hanno maggiori probabilità di essere scoperte proprio a causa della perdita di denaro che determinano. Invece i dati rubati con una violazione di spionaggio informatico sono spesso estremamente importanti in termini di segretezza e sensibilità e criticità per le aziende. Non sorprende che fra i settori maggiormente presi di mira vi siano quello pubblico (31%) seguito dal manifatturiero (22%) e da quello dei professionisti (11%), probabilmente perché detengono i segreti e le informazioni più desiderati dagli hacker.
Rispetto alle altre tipologie di violazioni, gli attacchi di cyberspionaggio differiscono nelle tattiche utilizzate, nell’abilità e nella pazienza delle cyberspie. Malware (90%), social engineering (83%) e hacking (80%) sono le principali strategie messe in campo dai criminali per le loro attività di spionaggio informatico. Ciò differisce rispetto a quanto accade prendendo in esame tutte le tipologie di violazioni. In questo caso l’hacking (56%) è la tattica dominante seguita da malware (39%) e social engineering (29%).
Verizon Cyber-Espionage Report
Perché questa differenza? Le motivazioni possono essere rintracciate nel processo lento, metodico e prolungato che caratterizza queste strategie, che si adatta perfettamente alla complessità degli attacchi di spionaggio informatico. Gli attacchi perpetrati dalle cyberspie impiegano mesi o anni per essere scoperti. Molto più di quanto accade per gli altri tipi di violazione, aspettando spesso nell’ombra finché non è il momento di colpire.
Raccomandazioni per il futuro
Il Cyber-Espionage Report riporta anche alcune raccomandazioni su come le organizzazioni possono difendersi e riprendersi da tali attacchi. In particolare:
- I dipendenti sono la prima linea di difesa. Il social engineering, o phishing, è un metodo comune utilizzato dalle cyberspie per ottenere l’accesso a sistemi sensibili. Fondamentale che i dipendenti intraprendano una formazione regolare in materia di sicurezza informatica.
- Rafforzare la sicurezza perimetrale. Questa (intesa ad esempio come segmentazione della rete) assieme a una più solida capacità di gestione degli accessi può mitigare gli attacchi di cyberspionaggio.
Verizon Cyber-Espionage Report
- Una concreta strategia di Managed Detection e Response (MDR) può smascherare gli indicatori di compromissione sulla rete e sugli endpoint. I componenti essenziali dell’MDR includono le tecnologie SIEM (Security Information and Event Management), l’intelligence sulle minacce, l’analisi del comportamento di utenti ed enti (UEBA) e le funzionalità di ricerca delle minacce. Nonché le integrazioni con le tecnologie di rilevamento e risposta degli endpoint (EDR), di rilevamento e risposta di rete (NDR) e antifrode.
- Prevenire il furto o la perdita di dati (DLP) può impedire che i dati sensibili vengono sottratti attraverso una backdoor.
- L’ottimizzazione dell’intelligence sulle minacce informatiche per aiutare a riconoscere gli indicatori di compromissione, il miglioramento di tattiche, tecniche e procedure e l’implementazione di un solido piano di risposta agli incidenti sono tutte strategie importanti per combattere il cyberspionaggio.