Secondo “Active Adversary Report for Tech Leaders 2023” di Sophos, in media il tempo di permanenza dell’autore degli attacchi informatici è sceso da 10 a 8 giorni.
Nel 2022, il tempo mediano di permanenza era sceso da 15 a 10 giorni. Il tempo mediano di permanenza dell’autore di un attacco informatico è quello che intercorre dall’inizio di un attacco fino al suo rilevamento. Il report è basato sui dati Sophos Incident Response (IR) prodotti da interventi effettuati all’interno di 25 settori in tutto il mondo da gennaio a luglio 2023. Le aziende colpite erano situate in 33 Paesi di sei continenti. L’88% dei casi riguarda organizzazioni con meno di 1.000 dipendenti.
Come sfruttare l’Active Directory perché il tempo di rilevamento degli attacchi informatici è in calo
Sophos X-Ops ha anche rilevato che occorre mediamente meno di un giorno – circa 16 ore – prima che il cybercriminale riesca a raggiungere Active Directory (AD), uno degli asset più sensibili di molte aziende. AD gestisce solitamente le identità e l’accesso alle risorse all’interno di un’organizzazione. Questo significa che i malintenzionati possono sfruttare AD per elevare facilmente i propri privilegi sul sistema e compiere una vasta gamma di attività illecite.
Controllare l’intera organizzazione
John Shier, field Cto di Sophos
Attaccare l’infrastruttura Active Directory di un’azienda è una scelta sensata da un punto di vista offensivo. AD è normalmente il sistema più potente e privilegiato di una rete e fornisce accesso a sistemi, applicazioni, risorse e dati che gli attaccanti possono sfruttare nelle loro attività. Quando un cybercriminale riesce a ottenere il controllo di AD, può controllare l’intera organizzazione. L’impatto, l’escalation e la difficoltà di ripristino da un attacco contro Active Directory sono i motivi per cui questo sistema viene messo sotto tiro.Assumere il controllo del server Active Directory nel corso dell’attacco assicura diversi vantaggi ai malintenzionati, che possono trattenersi all’interno del sistema in attesa di decidere la mossa successiva. E, una volta pronti, scatenarsi nella rete della vittima senza alcun ostacolo. Il completo ripristino in seguito alla compromissione del dominio può essere un lavoro lungo e difficile. Un attacco del genere danneggia le fondamenta di sicurezza sulle quali si basa l’infrastruttura di un’azienda. Molto spesso il successo di un attacco contro AD costringe i team responsabili della sicurezza a ripartire da zero.
Tempo di rilevamento degli attacchi
Il tempo di permanenza è diminuito anche nel caso degli attacchi ransomware, la tipologia di attacco maggiormente diffusa tra le casistiche IR analizzate – responsabile del 69% degli eventi – la cui media si è ridotta a soli 5 giorni. Nell’81% degli attacchi ransomware, il payload finale è stato lanciato al di fuori del normale orario di lavoro. Negli altri casi, solo 5 si sono verificati durante una giornata lavorativa. Il numero degli attacchi rilevati è aumentato procedendo lungo i giorni della settimana, in particolare per quanto riguarda gli attacchi ransomware. Infatti quasi metà di essi (43%) è stata rilevata nei giorni di venerdì o sabato.
I criminali stanno perfezionato il loro modus operandi
John Shier, field CTO di Sophos
In un certo senso siamo vittime del nostro stesso successo. Con la diffusione di tecnologie come XDR e di servizi come MDR, si anticipa la nostra capacità di rilevare gli attacchi. Ridurre i tempi di rilevamento porta a una risposta più rapida, il che riduce la finestra operativa a disposizione degli attaccanti. Nel contempo i cybercriminali hanno perfezionato il loro modo di agire, specialmente i più esperti e dotati di risorse tra gli affiliati alle gang ransomware, continuando a velocizzare gli attacchi diretti contro difese sempre migliori.Ciò tuttavia non significa che siamo collettivamente più al sicuro, come dimostra la riduzione dei tempi di permanenza degli attacchi non ransomware. I cybercriminali continuano a entrare nelle nostre reti e, se non ci sono urgenze, tendono a permanervi. Ma nessun tool al mondo può salvarti se non presti attenzione. Per rendere difficile la vita degli attaccanti occorrono sia i tool appropriati che un monitoraggio continuo e proattivo. Qui è dove i servizi MDR possono colmare la distanza tra attaccanti e difensori, perché ci siamo noi a guardare anche se tu sei impegnato altrove.