Il tempo di permanenza dei cyber criminali all’interno delle reti – meglio noto come Dwell Time - sta calando. È una buona notizia, perché significa che le aziende riescono a individuare in tempi più brevi il tempo che intercorre fra l’ingresso in rete di un attaccante e la sua scoperta. Il dato emerge dal report M-Trends 2022 redatto da Mandiant basato sulle indagini condotte nel periodo fra il 1 ottobre 2020 e il 31 dicembre 2021.

In numeri, nel 2011 il dwell time mediano era di oltre un anno. Nel 2019 lo stesso parametro era di 56 giorni, nel 2020 è sceso ulteriormente a 24 giorni, per arrivare a 21 giorni nel 2021. Il calo è vistoso, e secondo gli analisti è dovuto da una parte all’efficacia sempre maggiore degli strumenti di rilevamento e risposta. Dall’altro all'impennata degli attacchi ransomware, che per loro natura sono più rapidi e finalizzati ad essere scoperti.

Sembra un controsenso, in realtà ha una logica: se l’intrusione in rete è motivata dallo spionaggio, gli attaccanti hanno tutto l’interesse a restare nascosti il più a lungo possibile, anche per anni, per sottrarre il maggior numero di informazioni possibile. Al contrario, se l’attacco è motivato finanziariamente e deve portare all’incasso di un riscatto, i cyber criminali devono rivelare la propria presenza per centrare l’obiettivo.

Segmentazione geografica

Il report identifica anche importanti differenze geografiche nel tempo di permanenza. La regione APAC è protagonista del calo maggiore, con un passaggio dai 76 giorni del 2020 ai 21 giorni del 2021. EMEA è scesa di poco - dai 66 giorni del 2020 a 48 giorni del 2021. Le Americhe restano stabili a 17 giorni, che comunque è un tempo di tutto rispetto.

Un’altra differenza geografica consiste nel fatto che nelle regioni EMEA e APAC la maggior parte degli attacchi viene rilevata da terze parti (per esempio forze dell'ordine, partner, clienti), mentre nelle Americhe la maggior parte delle detection è interna alle vittime.

Tecniche e obiettivi

Secondo M-Trends gli exploit software sono i più sfruttati per ottenere il primo accesso in rete. Sono stati impiegati nel 37% degli attacchi. L'11% invece risultanza di attacchi di phishing. Questi dati sono mediamente in linea con quelli dello scorso anno, ma non si può dire altrimenti per gli attacchi alla supply chain, che nel 2021 sono aumentati drasticamente, fino al 17% - contro l'1% del 2020.

A che cosa mirano gli attaccanti? Principalmente ai servizi aziendali e professionali e a quelli finanziari (14% ciascuno), seguiti dall’healthcare (11%), vendita al dettaglio e hospitality (10%). Fanalini di coda sono IT e governmet (entrambi al 9%).