Il trend dei servizi di sicurezza gestiti è in crescita, e questo non stupisce. Gli attacchi informatici diventano sempre più numerosi, più complessi e capaci di fare danni importanti, così le aziende faticano a trovare al loro interno le competenze, gli strumenti e il tempo da dedicare alla difesa. I servizi gestiti di rilevamento e risposta agli incidenti, cioè i Managed Detection and Response, sono anche una cartina da tornasole delle tendenze in atto, come mostrano gli ultimi dati di Kaspersky (pur con le peculiarità della presenza geografica di questo vendor e fornitore di servizi).
Il report “Managed Detection and Response Analyst”, appena pubblicato, evidenzia alcuni dati interessanti. Il Security Operations Center (Soc) di Kaspersky ha processato per i clienti dei servizi Mdr oltre 433mila eventi di sicurezza, per i due terzi tramite analisi “manuali” degli esperti del Soc e per un terzo con tecnologie di machine learning. Solo un parte di questi eventi, circa 33mila, è legata a incidenti. Questi ultimi sono stati 12mila in tutto (la cifra è inferiore ai 33mila eventi significativi, perché a uno stesso incidente possono collegarsi più eventi), dei quali circa l’8 di elevata gravità, il 72% di entità media e il 20% di lieve gravità.
Mediamente, per rilevare gli incidenti ad alta gravità gli esperti del Soc di Kaspersky hanno impiegato 43,8 minuti: il tempo di elaborazione è aumentato di circa il 6% rispetto al 2021, perché l’anno scorso sono cresciuti anche gli attacchi cosiddetti human-driven, cioè realizzati non da bot o altre procedure automatiche ma con l’azione umana. Tendenzialmente, per chi opera in un Soc questo genere di attacco è più difficile da rilevare e da analizzare.
“Il report Mdr mostra che gli attacchi sofisticati human-driven sono in costante aumento”, ha sottolineato Sergey Soldatov, direttore del Security Operations Center di Kaspersky. “Richiedono più risorse per essere esaminati e più tempo agli analisti del Soc, poiché si prestano meno all’automazione. Per rilevare questi attacchi in modo efficiente, raccomandiamo alle aziende di implementare procedure complete di threat hunting unite al classico monitoraggio degli alert”.
Sul totale degli attacchi gravi rilevati e gestiti dagli Mdr di Kaspersky, il 30% era associato ad Apt (Avanced Persistent Threat, minacce mirate a bersagli specifici che usano tecniche sofisticate e si sviluppano su un certo lasso di tempo), e il 26% ad attacchi malware. Una quota di circa il 19% è rappresentata dall’hacking etico: pentest, red teaming o altri tipi di esercitazioni informatica realizzata nelle infrastrutture dei clienti per valutare la sicurezza dei loro sistemi IT o per testare il servizio Mdr. Sul totale degli incidenti gestiti l’anno scorso, il 9% implicava vulnerabilità critiche disponibili pubblicamente e il rilevamento di tracce di precedenti attacchi che hanno coinvolto l’uomo.
(Fonte: “Managed Detection and Response Analyst”, Kasperksy, maggio 2023; dati riferiti al 2022)
Per quanto riguarda la distribuzione geografica degli attacchi, l’Europa è la macro regione più rappresentata (44% del totale), seguita da Russia e Cis (25%, Kaspersky la classifica come regione a sé stante) e dall’Asia Pacifico (15%). Il settore industriale è quello più colpito da incidenti di elevata gravità.