Per il decimo anno consecutivo, FireEye ha prodotto il report M-Trends, che si propone di fotografare lo stato dell'arte globale delle minacce che hanno una ricaduta sulla sicurezza delle aziende di ogni dimensione e località geografica. La lettera m contenuta nel oggetto dello studio sta per Mandiant, azienda acquisita per circa un miliardo di dollari nel 2014 e che ha contribuito a spostare il focus di FireEye dalla pura tecnologia ha una proposizione centrata sulla consulenza e l’affiancamento alla propria clientela: “La crescita nei servizi è stata costante in questi ultimi anni”, conferma il senior vice president per il Sud Europa Marco Riboli. “In Italia, dove siamo presenti da sei anni, oggi il peso sul fatturato di questa componente è ormai del 60%”.
Le origini della società, nata per occuparsi della prevenzione e protezione di attacchi verso stati, sì riflette nell'impostazione del report M-Trends, capace di evidenziare fenomeni e tendenze con ricadute sulla vita quotidiana delle aziende, ma soprattutto di analizzare con cura la dinamica degli attacchi di tipo persistente (Apt, ovvero Advanced Persistent Threat) perlopiù generati da gruppi finanziati soprattutto da alcuni paesi nel mondo.
Fra i dati più significativi che emergono, spicca come nel 2018 soprattutto il settore finanziario (23%) sia stato il principale bersaglio degli attaccanti, seguito dai servizi professionali (17%), le telecomunicazioni (12%) e il retail (12%): “Gli attacchi si stanno spostando sempre più insieme ai dati”, commenta il system engineer Gabriele Zanoni, “Tanto è vero che per colpire le realtà di maggiori dimensioni cresce l'utilizzo di accessi indesiderati creati attraverso i sistemi di partner e terze parti alle quali viene affidata la gestione di informazioni, per esempio legate alla supply chain”.
Un dato positivo è rappresentato dalla riduzione del cosiddetto dwell time, ovvero il tempo che intercorre fra la generazione di un intrusione e il suo rilevamento. Nel 2018 la media mondiale si è attestata sui 78 giorni, contro i 101 registrati l'anno precedente. Di particolare rilevanza è il fatto che ormai prevale la capacità di rilevazione interna da parte delle aziende (56%) rispetto a quella esterna, derivata dalle comunicazioni ricevute da organismi come le forze dell'ordine: “I sistemi di rilevazione installati e l'impegno dei team dedicati ha migliorato la situazione, ma ancora bisogna lavorare molto sulla capacità di ridurre l'impatto degli attacchi e sulla comunicazione interna”, aggiunge Zanoni.
Diversi attacchi Apt, come già sottolineato, vengono generati da gruppi finanziati da stati come la Cina, la Corea del Nord, la Russia e l'Iran. FireEye ha posto una particolare attenzione sulle attività del gruppo di cyberspionaggio Apt40, che ha concentrato il proprio lavoro lungo la cosiddetta via della seta, allo scopo di destabilizzare realtà che operano sia nel campo della Difesa che della ricerca, per favorire la politica di espansione del governo di Pechino.
Marco Riboli, senior vice president South Europe di FireEye
Per proteggersi da questo genere di attacchi, FireEye suggerisce di condurre regolari assessment per identificare attività malevole prima che si propaghino nelle reti. A questo occorre aggiungere attività di prevenzione sulla circolazione delle email all'interno e all'esterno delle aziende, ma anche utilizzare il più possibile sistemi di autenticazione a due fattori, password complesse e un'attenta politica sulla concessione dei privilegi.
“Il termine che meglio riassume l'insieme di misure più adatto ad affrontare correttamente l'attuale scenario è premediation, ovvero la fusione di prevenzione e rimedio in un insieme di azioni che combinino attento monitoraggio rafforzamento delle difese soprattutto sugli endpoint. Noi di FireEye ci proponiamo di affiancare le aziende nell'identificazione delle misure di protezione più corrette, ma soprattutto nelle attività di test, simulazione e Assessment funzionali alla costruzione di una efficace strategia di sicurezza”, conclude Riboli.