Verizon Cyber-Espionage Report: lo spionaggio informatico esce dall’ombra

Leonardo Pignalosa
Lo spionaggio informatico è una concreta e costante minaccia per organizzazioni pubbliche e private. Il furto di segreti industriali e governativi è un’attività altamente redditizia e le cyberspie sono tecnicamente avanzate, pazienti e determinate.
gli esperti del Verizon Threat Research Advisory Center (VTRAC) hanno realizzato il Verizon Cyber-Espionage Report (CER), utilizzando i dati Verizon Business Data Breach Investigations Report (DBIR).
Il rapporto analizza le ultime sette edizioni del DBIR (dal 2014 al 2020) e si concentra sulla natura unica del cyberspionaggio, prendendo in esame gli autori degli attacchi e le azioni che intraprendono, nonché le capacità specifiche di cui i team di sicurezza IT hanno bisogno per rilevare questi attacchi e difendersi da essi.
Analizzando le varie tipologie di violazioni, più comuni sono le motivazioni finanziarie, con un range che varia tra il 67-86%, mentre quelle relative al cyberspionaggio sono relativamente più bassi, tra il 10-26%. Nonostante una percentuale più bassa, questi ultimi attacchi sono più invasivi e violenti rispetto agli altri.
Le violazioni con scopi finanziari hanno maggiori probabilità di essere scoperte a causa delle perdite di denaro, mentre con una violazione di spionaggio informatico i dati rubati sono estremamente importanti in termini di segretezza, sensibilità e criticità per le aziende. I settori maggiormente presi di mira sono quello pubblico (31%), seguito dal manifatturiero (22%) e da quello dei professionisti (11%).
Malware (90%), social engineering (83%) e hacking (80%) sono le principali strategie messe in campo dai criminali di cyberspionaggio, a causa dell’abilità a della pazienza delle cyberspie.
L’hacking è la tattica dominante (56%, seguita da malware (39%) e social engineering (29%).
Gli attacchi perpetrati dalle cyberspie impiegano mesi o anni per essere scoperti, molto più di quanto accade per gli altri tipi di violazione, aspettando spesso nell’ombra finché non è il momento di colpire.
Il Cyber-Espionage Report riporta anche alcune raccomandazioni su come le organizzazioni possono difendersi e riprendersi da tali attacchi. In particolare:
·       I dipendenti sono la prima linea di difesa. Il social engineering, o phishing, è un metodo comune utilizzato dalle cyberspie per ottenere l’accesso a sistemi sensibili; è fondamentale che i dipendenti intraprendano una formazione regolare in materia di sicurezza informatica.
·       Rafforzare la sicurezza perimetrale può mitigare gli attacchi di cyberspionaggio.
·       Una concreta strategia di Managed Detection e Response (MDR) può smascherare gli indicatori di compromissione sulla rete e sugli endpoint. I componenti essenziali dell’MDR includono le tecnologie SIEM (Security Information and Event Management), l’intelligence sulle minacce, l’analisi del comportamento di utenti ed enti (UEBA) e le funzionalità di ricerca delle minacce, nonché le integrazioni con le tecnologie di rilevamento e risposta degli endpoint (EDR), di rilevamento e risposta di rete (NDR) e antifrode.
·       Prevenire il furto o la perdita di dati può impedire che i dati sensibili vengano sottratti attraverso una backdoor.
·       L’ottimizzazione dell’intelligence sulle minacce informatiche per aiutare a riconoscere gli indicatori di compromissione, il miglioramento di tattiche, tecniche e procedure e l’implementazione di un solido piano di risposta agli incidenti sono tutte strategie importanti per combattere il cyberspionaggio.
John Grim, principale autore del Verizon Cyber-Espionage Report, ha dichiarato: “Il crimine informatico opera sotto molte forme e su scale differenti, ma combatterlo e prevenirlo è sempre ugualmente importante. Il nostro obiettivo è quello di condividere la nostra esperienza e i dati relativi allo spionaggio informatico per aiutare le aziende e i governi ad adattare le loro strategie di sicurezza IT per renderle più efficaci. Le difese, i piani di rilevamento e risposta dovrebbero essere testati regolarmente e ottimizzati per affrontare di petto le minacce informatiche. Ciò è particolarmente importante per le violazioni di cyberspionaggio, che in genere coinvolgono minacce avanzate che prendono di mira dati specifici e operano in modo da evitare il rilevamento e impedire alle organizzazioni di attuare una risposta efficace.”