Cybersecurity, migliora il dwell time e cresce l’apporto esterno
L’ultima edizione del report di Mandiant indica che il tempo medio di scoperta di una vulnerabilità nelle aziende è sceso nel 2022 a sedici giorni, pur restando alto. Il 63% delle minacce scoperte grazie alle segnalazioni di specialisti esterni.
Pubblicato il 26 aprile 2023 da Roberto Bonino

Come ogni anno, Mandiant (ormai parte di Google) ha realizzato il report M-Trends, nel quale si sofferma sull’andamento nella rilevazione delle vulnerabilità, il comportamento dei cybercriminali e le attività portate avanti soprattutto dagli stati-nazione,
Dall’edizione del 2022, si evince innanzitutto come il dwell time, ovvero il tempo che intercorre fra un tentativo di attacco e la sua scoperta da parte del bersaglio-azienda è sceso da ventuno a sedici giorni: “Resta un tempo alto”, commenta Gabriele Zanoni, consulting country manager di Mandiant, “ma il dato è positivo soprattutto se confrontato con i 416 giorni del 2011. Alla discesa, però, contribuisce il ransomware, che si palesa più rapidamente perché ha effetti più visibili e attiva rapidamente le richieste di riscatto”.
Un altro numero interessante è rappresentato dal 63% di segnalazioni di violazioni di sicurezza che lo scorso anno sono arrivate da soggetti terzi rispetto all’organizzazione aziendale. Il dato indica un progresso di sedici punti rispetto al 2021 e sale al 70% nelle casistiche di ransomware e al 74% se ci si limita alla sola area Emea. Secondo Mandiant, tuttavia, l’aumento è legato a una più intensa e proattiva attività sulle cyberminacce indirizzate verso l’Ucraina. Non è un caso che il settore pubblico risulti quello più colpito (25%), seguito da business & professional (14%) e finance (12%). Va specificato che il report viene creato sulla clientela della stessa Mandiant ed è per questo che, per esempio, non appare in vista il dato sul mondo manifatturiero, tradizionalmente non troppo presidiato dal vendor.
Giancarlo Marengo e Gabriele Zanoni di Mandiant
Il furto di dati rappresenta il principale obiettivo nel 40% del totale delle intrusioni registrate, ma in forte aumento è anche la sottrazione di credenziali: “Nella maggior parte dei casi, probabilmente sono state rubate al di fuori dell’ambiente dell’organizzazione e poi utilizzate contro l’organizzazione stessa, potenzialmente a causa di password riutilizzate o dell’impiego di account personali su dispositivi aziendali”, rileva Zanoni.
Gli exploit rappresentano il vettore d’attacco più diffuso (32%), ma in area Emea prevale il phishing (40%), segnale che le aziende ancora fanno fatica ad aggiornare tempestivamente i propri sistemi o a installare le patch.
Mandiant ha identificato nel 2022 913 nuovi gruppi di attacco, ma la maggior parte resta difficile da classificare. Fra questi, Apt42 è risultato un gruppo sponsorizzato dall’Iran e Apt43 proviene dalla Corea del Nord, dove agisce per rubare informazioni personali e creare domini e account ma anche fare mining di criptovalute: “Lo scenario sembra mostrare una maggior incidenza del furto di dati rispetto al ransomware”, osserva il country manager Giancarlo Marengo. “Un dato incoraggiante appare, a livello internazionale, la maggior collaborazione fra vendor per la difesa dei propri asset tecnologici e a sostegno dell’Ucraina”.
VULNERABILITà
- Cybersecurity, migliora il dwell time e cresce l’apporto esterno
- Gli errori di configurazione del cloud sono quasi ubiqui
- L’intelligenza al servizio della ricerca di vulnerabilità
- Microsoft risolve i problemi di Dynamics 365 e di Windows
- Ivanti e SentinelOne unite nella lotta alle vulnerabilità nascoste
FOCUS
- Spindox, radicati nel presente ma proiettati al quantum
- Gdpr e Pubblica Amministrazione, la compliance non è facile
- Cybercrimine, carenza di competenze, AI: tre rischi legati fra loro
- Da Nvidia superchip e supercomputing per una nuova era del calcolo
- L’attenzione di Extreme è tutta sul monitoraggio delle reti