Da un lato gli attacchi cyber veri e propri, dall’altro gli incidenti informatici che nascono da azioni imprudenti o maldestre commesse senza dolo. Le due facce del rischio informatico si riflettono nell’ultimo studio di Verizon, il “Data Breach Investigations Report”, basato sull’analisi di 30.458 incidenti cyber (tra cui 10.626 violazioni con furto di dati) accaduti nell’arco di un anno in 94 Paesi.
Un dato che balza all’occhio è riguarda gli exploit di vulnerabilità, cresciuti del 180% rispetto al report dell’anno scorso. L’incremento è dovuto in parte al fermento di attività cybercriminale che nel 2023 ha fatto leva sulla vulnerabilità di Moveit, un diffuso software per il trasferimento di file, e in parte a un più generale sfruttamento di falle zero-day a scopi di attacco ransomware. Su scala globale, le vulnerabilità hanno rappresentato il punto di accesso iniziale per il 14% degli attacchi osservati.
“Lo sfruttamento di vulnerabilità zero-day da parte di attori che privilegiano il ransomware rimane una minaccia persistente per le imprese, dovuta in gran parte all'interconnessione delle catene di fornitura”, ha commentato Alistair Neil, direttore sicurezza senior per l’Emea di Verizon Business. “L'anno scorso il 15% delle violazioni ha coinvolto un partner, compresi i data custodian, le vulnerabilità del software di terze parti e altri problemi diretti o indiretti nella catena di fornitura”.
L’analisi condotta sul catalogo Known Exploited Vulnerabilities (Kev) della Cybersecurity Infrastructure and Security Agency statunitense mostra che, in media, le aziende impiegano 55 giorni dal rilascio delle patch per rimediare al 50% delle vulnerabilità critiche. Inoltre, il tempo medio per rilevare gli sfruttamenti di massa su Internet segnalati dal Kev è di cinque giorni. Decisamente, le aziende sono troppo lente rispetto alla rapidità di azione degli attaccanti.
Come si diceva, gli errori umani sono l’altra faccia del fenomeno e colpisce scoprire che il 68% delle violazioni (percentuale in linea con quella del precedente report) ha coinvolto un’azione commessa senza intenzioni dolose. Si tratta, spesso, di un click imprudente su un allegato contenuto in un’email o su un link che rimanda a un sito di phishing. Verizon sottolinea, comunque, che rispetto al passato cresce la capacità di riconoscere i tentativi di “adescamento all’amo”: nelle simulazioni condotte, il 20% degli utenti ha correttamente identificato e segnalato il phishing. L’11% ha anche preso l’iniziativa di segnalare questi tentativi di attacco.
Nell’area Emea il 49% delle violazioni è partito da un’azione interna, commessa da un dipendente o collaboratore dell’azienda, con o senza dolo: si va dagli errori agli abusi di privilegi, anche a scopi di esfiltrazione di dati. I tipi di dati compromessi più comunemente sono quelli personali (64%), quelli interni aziendali (33%) e le credenziali utente (20%).
“La continua presenza dell'elemento umano nelle violazioni dimostra che le organizzazioni operanti in Emea hanno bisogno di invertire questa tendenza fornendo priorità alla formazione e alla sensibilizzazione sulle migliori pratiche di cybersecurity”, ha sottolineato Sanjiv Gossain, vicepresidente Emea di Verizon Business. "C’è però da sottolineare l'aumento delle autodenunce che è promettente e indica un cambiamento culturale importante: denota una maggiore e più diffusa consapevolezza nella sicurezza informatica tra i dipendenti”.
Fra gli altri dati interessanti evidenziati da Verizon, circa il 32% delle violazioni analizzate ha coinvolto una tecnica di estorsione (compreso il ransomware). Negli ultimi due anni, circa un quarto (tra il 24% e il 25%) degli incidenti tesi alla monetizzazione hanno sfruttato il pretexting, cioè la creazione di una storia o situazione truffaldina confezionata ad arte. Nell’ultimo decennio, l’uso di credenziali rubate è comparso nel 31% delle violazioni.