Si applica bene alle minacce informatiche il celebre motto (attribuito a Giulio Andreotti, che in realtà lo ascoltò pronunciare da un cardinale) secondo cui a pensar male si fa peccato, ma quasi sempre ci si azzecca. Nel 72% dei casi, infatti, un “oggetto sospetto” rilevato dai sistemi di sicurezza di Kaspersky si rivela effettivamente pericoloso una volta analizzato dai ricercatori di sicurezza. Il dato è emerso dalle statistiche del Threat Intelligence Portal, un servizio Web di Kaspersky, che ha accesso a diversi petabyte di dati di security intelligence, derivati da tutto il mondo e aggiornati quasi in tempo reale.
Nel 72% dei casi in cui i ricercatori di sicurezza hanno richiesto dettagli su un elemento sospetto (per esempio un file, un dominio Web, un Url o un indirizzo IP), esso si è poi rivelato malevole e potenzialmente danno, al punto di mettere a rischio la sicurezza dell’azienda bersaglio. Le percentuale è più elevata per gli oggetti correlati al Web, ovvero domini (86%), indirizzi IP (75%) e Url (73%), mentre per i file scende al 61%, restando comunque significativa.
Come distinguere i falsi allarmi dalle minacce reali? Abbiamo tempo, in azienda, di analizzare tutto, caso per caso? Kaspersky sottolinea il fatto che, mediamente, il 44% dei security alert affrontati dalle aziende non vengano poi indagati dai team o dai responsabili della sicurezza informatica: spesso gli avvisi in entrata sono molti, troppi per poter dedicare attenzioni a tutti. E nonostante le competenze dei professionisti, senza il supporto di una efficace threat intelligente risulta difficile distinguere tra oggetti innocui ei dannosi, specie se si tratta di file.
Al contrario, avendo a disposizione informazioni aggiornate sulla reputazione degli indirizzi IP e sui siti web e file associati, i team di sicurezza possono decidere se negare l'accesso ad una risorsa o bloccare qualsiasi comunicazione con essa. “Come dimostrano le nostre statistiche”, ha commentato Anatoly Simonenko, group manager, technology solutions product management di Kaspersky, “quando gli analisti di sicurezza delle organizzazioni sospettano di un alert e ritengono che sia necessaria un’indagine più approfondita è difficile che si sbaglino. Tuttavia, non si tratta solo di verificare le ipotesi. Per essere in grado di accelerare il processo di incident response e le capacità forensi, gli analisti hanno bisogno di avere, nel più breve tempo possibile, il quadro generale della minaccia. Avere accesso ad una soluzione di threat intelligence fornisce proprio questa visione che consente agli analisti di risparmiare tempo e fatica”.