Passano otto giorni, in media, dal momento in cui un cyberattacco va a bersaglio e l’attimo in cui l’azienda se ne accorge, o in media cinque giorni nel caso dei ransomware. Un tempo ancora lunghissimo, in un cui una backdoor, un furto di file, informazioni o credenziali o altri tipi di minaccia riescono a fare danni, a spiare o bloccare operazioni, e magari a espandersi, dall’iniziale punto di accesso, in punti diversi della rete. Tuttavia gli otto o cinque giorni sono una parziale buona notizia perché il tempo medio di rilevamento sta calando. Lo svela Sophos nell’analisi “Active Adversary Report for Tech Leaders 2023”, basata sulle attività del proprio team di Incident Response nel primo semestre di quest’anno.
Più precisamente, il tempo medio di rilevamento (e quindi di permanenza delle infezioni informatiche) nel 2022 era sceso a 10 giorni, dai 15 del 2021. Quest’anno un ulteriore progresso, dovuto al fatto che le aziende stanno adottando in misura crescente tecnologie efficaci e complete, come quelle di Extended Detection and Response (Xdr), e si rivolgono a servizi gestiti di rilevamento e risposta agli incidenti (Managed Detection and Response, Mdr).
L’Xdr si sta progressivamente sostituendo all’Edr, il semplice Endpoint Detection and Response, perché proteggere solo i dispositivi non è più sufficiente: bisogna pensare agli ambienti cloud, all’edge e alle identità. Gli Mdr, invece, sono una risorsa sempre più preziosa per aziende che hanno ambienti IT complessi o per quelle a cui mancano tempo, competenze o risorse per realizzare monitoraggi continui.
“Con la diffusione di tecnologie come Xdr e di servizi come Mdr, si anticipa la nostra capacità di rilevare gli attacchi”, ha commentato John Shier, field Cto di Sophos. “Ridurre i tempi di rilevamento porta a una risposta più rapida, il che riduce la finestra operativa a disposizione degli attaccanti. Nel contempo i cybercriminali hanno perfezionato il loro modo di agire, specialmente i più esperti e dotati di risorse tra gli affiliati alle gang ransomware, continuando a velocizzare gli attacchi diretti contro difese sempre migliori”.
Active Directory, bersaglio strategico
In rapporto ai cybercriminali, le aziende sono ancora lente. Secondo i rilevamenti di Sophos X-Ops, in media bastano 16 ore a un attaccante per raggiungere, dal punto di accesso, l’Active Directory dell’azienda colpita: si tratta di uno degli asset più sensibili, perché può essere usato dall’autore di un attacco per elevare facilmente i propri privilegi sul sistema e compiere azioni come la cancellazione e l’esfiltrazione di dati, la modifica di account aziendali o altro ancora.
“Attaccare l'infrastruttura Active Directory di un'azienda è una scelta sensata da un punto di vista offensivo”, ha spiegato Shier. “AD è normalmente il sistema più potente e privilegiato di una rete e fornisce accesso a sistemi, applicazioni, risorse e dati che gli attaccanti possono sfruttare nelle loro attività. Quando un cybercriminale riesce a ottenere il controllo di AD, può controllare l'intera organizzazione. L'impatto, l'escalation e la difficoltà di ripristino da un attacco contro Active Directory sono i motivi per cui questo sistema viene messo sotto tiro”.
Assumere il controllo dell’Active Directory permette anche ai criminali di temporeggiare, restando all’interno del sistema in attesa di decidere la mossa successiva. Sophos sottolinea, inoltre, che il ripristino può essere un lavoro lungo e difficile. “Un attacco del genere danneggia le fondamenta di sicurezza sulle quali si basa l'infrastruttura di un'azienda”, ha rimarcato Shier. “Molto spesso il successo di un attacco contro AD costringe i team responsabili della sicurezza a ripartire da zero".
Per quanto riguarda i ransomware, se è vero che il tempo medio di rilevamento sta calando, è anche stato osservato da diversi vendor un cambiamento di modus operandi: alla classica crittografia si affiancano tecniche di esfiltrazione dei dati, che rendono meno immediata la scoperta dell’attacco. Nell'81% degli attacchi ransomware da Sophos, inoltre, il payload finale è stato lanciato al di fuori del normale orario di lavoro e il 43% delle infezioni è stata rilevata nei giorni di venerdì o sabato.
“I cybercriminali continuano a entrare nelle nostre reti e, se non ci sono urgenze, tendono a permanervi”, ha osservato Shier. “Ma nessun tool al mondo può salvarti se non presti attenzione. Per rendere difficile la vita degli attaccanti occorrono sia i tool appropriati che un monitoraggio continuo e proattivo. Qui è dove i servizi Mdr possono colmare la distanza tra attaccanti e difensori, perché ci siamo noi a guardare anche se tu sei impegnato altrove”.