Cyber attacchi: finalmente diminuisce il Dwell Time

L’efficacia degli strumenti di detection e response e l’incremento degli attacchi ransomware ha contribuito alla diminuzione del tempo di permanenza degli attaccanti all’interno delle reti prima che vengano individuati.

Business Vulnerabilità

Il tempo di permanenza dei cyber criminali all’interno delle reti – meglio noto come Dwell Time - sta calando. È una buona notizia, perché significa che le aziende riescono a individuare in tempi più brevi il tempo che intercorre fra l’ingresso in rete di un attaccante e la sua scoperta. Il dato emerge dal report M-Trends 2022 redatto da Mandiant basato sulle indagini condotte nel periodo fra il 1 ottobre 2020 e il 31 dicembre 2021.

In numeri, nel 2011 il dwell time mediano era di oltre un anno. Nel 2019 lo stesso parametro era di 56 giorni, nel 2020 è sceso ulteriormente a 24 giorni, per arrivare a 21 giorni nel 2021. Il calo è vistoso, e secondo gli analisti è dovuto da una parte all’efficacia sempre maggiore degli strumenti di rilevamento e risposta. Dall’altro all'impennata degli attacchi ransomware, che per loro natura sono più rapidi e finalizzati ad essere scoperti.

Sembra un controsenso, in realtà ha una logica: se l’intrusione in rete è motivata dallo spionaggio, gli attaccanti hanno tutto l’interesse a restare nascosti il più a lungo possibile, anche per anni, per sottrarre il maggior numero di informazioni possibile. Al contrario, se l’attacco è motivato finanziariamente e deve portare all’incasso di un riscatto, i cyber criminali devono rivelare la propria presenza per centrare l’obiettivo.


Segmentazione geografica

Il report identifica anche importanti differenze geografiche nel tempo di permanenza. La regione APAC è protagonista del calo maggiore, con un passaggio dai 76 giorni del 2020 ai 21 giorni del 2021. EMEA è scesa di poco - dai 66 giorni del 2020 a 48 giorni del 2021. Le Americhe restano stabili a 17 giorni, che comunque è un tempo di tutto rispetto.

Un’altra differenza geografica consiste nel fatto che nelle regioni EMEA e APAC la maggior parte degli attacchi viene rilevata da terze parti (per esempio forze dell'ordine, partner, clienti), mentre nelle Americhe la maggior parte delle detection è interna alle vittime.


Tecniche e obiettivi

Secondo M-Trends gli exploit software sono i più sfruttati per ottenere il primo accesso in rete. Sono stati impiegati nel 37% degli attacchi. L'11% invece risultanza di attacchi di phishing. Questi dati sono mediamente in linea con quelli dello scorso anno, ma non si può dire altrimenti per gli attacchi alla supply chain, che nel 2021 sono aumentati drasticamente, fino al 17% - contro l'1% del 2020.


A che cosa mirano gli attaccanti? Principalmente ai servizi aziendali e professionali e a quelli finanziari (14% ciascuno), seguiti dall’healthcare (11%), vendita al dettaglio e hospitality (10%). Fanalini di coda sono IT e governmet (entrambi al 9%).

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Speciale

Cyber security: dentro o fuori?

Calendario Tutto

Ott 12
Business Continuity in IperConvergenza per l’Edge e la PMI
Ott 18
IT CON 2022 - Milano
Ott 19
IDC Future of Data 2022
Ott 20
SAP NOW 2022
Ott 20
Dell Technologies Forum 2022
Ott 20
IT CON 2022 - Roma
Nov 08
Red Hat Summit Connect - Roma
Nov 30
Red Hat Open Source Day - Milano

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter