Mandiant M-Trends dwell time vulnerabilità cybersecurity

Come ogni anno, Mandiant (ormai parte di Google) ha realizzato il report M-Trends, nel quale si sofferma sull’andamento nella rilevazione delle vulnerabilità, il comportamento dei cybercriminali e le attività portate avanti soprattutto dagli stati-nazione,

Dall’edizione del 2022, si evince innanzitutto come il dwell time, ovvero il tempo che intercorre fra un tentativo di attacco e la sua scoperta da parte del bersaglio-azienda è sceso da ventuno a sedici giorni: “Resta un tempo alto”, commenta Gabriele Zanoni, consulting country manager di Mandiant, “ma il dato è positivo soprattutto se confrontato con i 416 giorni del 2011. Alla discesa, però, contribuisce il ransomware, che si palesa più rapidamente perché ha effetti più visibili e attiva rapidamente le richieste di riscatto”.

Un altro numero interessante è rappresentato dal 63% di segnalazioni di violazioni di sicurezza che lo scorso anno sono arrivate da soggetti terzi rispetto all’organizzazione aziendale. Il dato indica un progresso di sedici punti rispetto al 2021 e sale al 70% nelle casistiche di ransomware e al 74% se ci si limita alla sola area Emea. Secondo Mandiant, tuttavia, l’aumento è legato a una più intensa e proattiva attività sulle cyberminacce indirizzate verso l’Ucraina. Non è un caso che il settore pubblico risulti quello più colpito (25%), seguito da business & professional (14%) e finance (12%). Va specificato che il report viene creato sulla clientela della stessa Mandiant ed è per questo che, per esempio, non appare in vista il dato sul mondo manifatturiero, tradizionalmente non troppo presidiato dal vendor.

Giancarlo Marengo e Gabriele Zanoni di Mandiant

Il furto di dati rappresenta il principale obiettivo nel 40% del totale delle intrusioni registrate, ma in forte aumento è anche la sottrazione di credenziali: “Nella maggior parte dei casi, probabilmente sono state rubate al di fuori dell’ambiente dell’organizzazione e poi utilizzate contro l’organizzazione stessa, potenzialmente a causa di password riutilizzate o dell’impiego di account personali su dispositivi aziendali”, rileva Zanoni.

Gli exploit rappresentano il vettore d’attacco più diffuso (32%), ma in area Emea prevale il phishing (40%), segnale che le aziende ancora fanno fatica ad aggiornare tempestivamente i propri sistemi o a installare le patch.

Mandiant ha identificato nel 2022 913 nuovi gruppi di attacco, ma la maggior parte resta difficile da classificare. Fra questi, Apt42 è risultato un gruppo sponsorizzato dall’Iran e Apt43 proviene dalla Corea del Nord, dove agisce per rubare informazioni personali e creare domini e account ma anche fare mining di criptovalute: “Lo scenario sembra mostrare una maggior incidenza del furto di dati rispetto al ransomware”, osserva il country manager Giancarlo Marengo. “Un dato incoraggiante appare, a livello internazionale, la maggior collaborazione fra vendor per la difesa dei propri asset tecnologici e a sostegno dell’Ucraina”.