I team di cyber security sono sempre più sotto pressione. Complici la trasformazione digitale che ha aumentato la complessità delle infrastrutture, la carenza globale di personale qualificato e gli attacchi sempre più sofisticati, identificare gli attacchi prima che causino danni è una vera sfida. L’informazione è nota da tempo, ora è confermata anche dai dati contenuti in una ricerca di Kaspersky. Frutto dell’analisi degli incidenti anonimi dei clienti identificati nel 2021 tramite il servizio MDR. Il primo fatto rilevante è che nel periodo in esame le aziende di tutti i settori hanno subito gravi incidenti.

Chi opera in settori verticali ne ha dovuti affrontare di diversi tipi. Quanto alla ripartizione delle minacce, la percentuale maggiore (40,7%) va addebitata agli attacchi mirati, seguono i malware che hanno avuto un impatto rilevante (14% dei casi), lo sfruttamento di vulnerabilità critiche esposte pubblicamente (13%) e l'ingegneria sociale (circa il 5,5% degli incidenti). Il maggior numero di attacchi human-driven ha bersagliato maggiormente settori specifici quali governativo, industriale, informatico e finanziario.

Da notare che gli incidenti di gravità elevata si sono distinti per l'ampio uso di binari living-off-the-land (LotL). Si tratta di codice di natura non dannosa, che già presente nel sistema target con funzioni del tutto legittime. L’impiego di queste risorse è un modo astuto per nascondere le attività malevole ed eludere i controlli di sicurezza durante le prime fasi di un attacco. Rientrano in questa categoria i diffusissimi rundll32.exe, powershell.exe e cmd.exe, così come reg.exe, te.exe e certutil.exe, spesso sfruttati negli incidenti gravi.

La prevenzione

Il consiglio degli esperti per proteggersi da questo tipo di attacchi è appoggiarsi ai servizi che conducono esercitazioni ethical offensive - attività che simulano attacchi avversari complessi per esaminare la resilienza informatica di un'azienda. Secondo i dati di Kaspersky per ora vi aderisce solo il 16% delle imprese, nonostante la loro grande utilità.

Non mancano poi gli onnipresenti consigli sull’implementazione della threat intelligence più recente, i corsi di formazione e l’adozione di soluzioni per la security che offrano funzionalità quanto più possibile automatizzate di rilevamento e risposta.