CrowdStrike Threat Hunting è il report annuale che mette a fuoco le minacce e le tendenze di attacco nei settori più critici e negli ambienti di business.
Il rapporto comprende dati sulle minacce provenienti da Falcon OverWatch, il team Crowdstrike di esperti in threat hunting leader di settore, con il contributo di CrowdStrike Intelligence e Service, e fornisce uno sguardo sull’attuale scenario delle minacce, sui comportamenti e sulle tattiche dei principali avversari, oltre a suggerimenti per aumentare la resilienza informatica.
Nel report del 2021, gli esperti in threat hunting di OverWatch hanno identificato direttamente e contribuito a bloccare più di 65.000 potenziali intrusioni, approssimativamente una potenziale intrusione ogni otto minuti.
Gli esperti hanno registrato un aumento del 60% dei tentativi di intrusione in tutti i settori verticali e in tutte le aree geografiche.
Secondo le analisi, il tempo medio di breakout è sceso ad appena un’ora e 32 minuti, tre volte in meno rispetto al 2020.
Gli avversari si evolvono costantemente; stanno usando tecniche sempre più sofisticate e furtive, fatte su misura per eludere i rilevamenti; tra tutti i rilevamenti indicizzati da CrowdStrike Threat Graph negli ultimi tre mesi, il 68% era privo di malware.
Minacce online e trend di attacco
Cina, Corea del Nord e Iran sono stati i gruppi più sponsorizzati dagli stati. Il report rivela che la maggior parte delle intrusioni mirate da parte dei gruppi avversari aveva come base la Cina, la Corea del Nord e l’Iran. Non solo, il monitoraggio ha permesso di individuare una massiccia impennata dell’attività di intrusione interattiva, che prende di mira il settore delle telecomunicazioni. Questa attività si estende a tutte le maggiori aree geografiche ed è associata ad una gamma diversificata di avversari.
Param Singh, Vicepresidente di Falcon OverWatch, CrowdStrike
Nel corso dell’ultimo anno, le aziende hanno affrontato quotidianamente assalti informatici senza precedenti e sempre più sofisticati. Falcon OverWatch ha un’abilità unica nel rilevare e nel bloccare le minacce informatiche più complesse, affinchè gli avversari non abbiano modo di nascondersi.
Al fine di contrastare le tattiche e le tecniche furtive degli avversari, è indispensabile che le organizzazioni si affidino ad esperti in threat hunting e threat intelligence nelle loro stack di sicurezza, stratifichino il rilevamento degli endpoint e la risposta abilitati dal machine learning nelle loro reti e abbiano una visibilità completa sugli endpoint per fermare gli avversari sulle loro tracce.
Tra gli spunti del nuovo report, CrowdStrike evidenzia un aumento del 100% delle istanze di cryptojacking nelle intrusioni interattive anno su anno, in correlazione con l’aumento dei prezzi delle criptovalute.
Gli attori di eCrime specializzati nella violazione delle reti per la vendita dell’accesso ad altri hanno giocato un ruolo importante e in forte crescita per altri attori di eCrime, al fine di mettere in scena i loro tentativi di intrusione.
CrowdStrike Falcon OverWatch
Per fare qualche nome, Wizard Spider è stato il cyber-criminale più prolifico. Le intrusioni da parte di questo gruppo sono infatti quasi il doppio del numero dei tentativi di intrusione rispetto a qualsiasi altro gruppo di eCrime. WIZARD SPIDER è l’autore delle operazioni mirate che usano Ryuk e, più recentemente, il ransomware Conti.
La missione di Falcon OverWatch è quella di aumentare la potenza e l’autonomia della protezione della piattaforma Falcon. Esso sfrutta la potenza del CrowdStrike Threat Graph, arricchito con la threat intelligence di CrowdStrike.
La telemetria su scala cloud di 1 trilioni di eventi legati agli endpoint raccolti ogni settimana, unita allo spionaggio dettagliato di oltre 160 gruppi avversari, e arricchita dall’automazione della piattaforma CrowdStrike Falcon, fornisce al team di OverWatch la capacità unica di identificare e bloccare velocemente i più avanzati autori di minacce.
Le intuizioni di OverWatch sui nuovi e insoliti comportamenti degli avversari contribuiscono ad aumentare continuamente la protezione fornita da Falcon, con la conseguente prevenzione proattiva delle attività dannose su circa 248.000 endpoint unici.