Wavestone ha passato in rassegna gli interventi del suo team di gestione delle crisi derivati da un attacco informatico tra settembre 2019 e agosto 2020. Ed ecco cosa emerge.
Per il 45% degli aggressori, la motivazione principale rimane il guadagno finanziario. Questi attacchi provengono da ransomware per la maggior parte dei casi (25%), seguiti da azioni fraudolente (18,5%) e minatori di bitcoin (1,5%). In evidenza, la comparsa di attacchi che combinano ransomware e furto di dati (10%).
La seconda motivazione per gli aggressori è il furto di dati, sia aziendali sia tecnici. Ciò rappresenta il 30% degli attacchi analizzati. Il 4% degli attacchi mira a rendere i servizi aziendali non disponibili tramite un attacco informatico di tipo denial of service e il 2% delle compromissioni mira a ottenere nuove capacità di attacco: aggirando i meccanismi di sicurezza, attacchi a partner fidati, intercettazioni sul rete, ecc. Rimane il 18% degli incidenti per i quali non è stato possibile identificare le motivazioni, in particolare durante attacchi abbandonati o interrotti.
Attaccanti sempre più determinati, attrezzati e organizzati
Il 58% dei cyber-attaccanti sono opportunisti (-7% vs 2019), non hanno un alto livello di tecnicismo o non prendono di mira una particolare organizzazione. Cercano e abusano di sistemi scarsamente protetti e facilmente attaccabili. Questo tipo di attacco informatico si potrebbero evitare se le misure di sicurezza fossero superiori alla media.
Sempre gli stessi difetti danno via libera a un attacco informatico
In un gran numero di casi (1 su 4), l’aggressore si è infiltrato nel sistema informativo tramite un’e-mail (phishing mirato rivolto a una specifica azienda oa un determinato gruppo di utenti). Per 1 caso su 5, l’aggressore ha sfruttato un’applicazione web vulnerabile, il che evidenzia un dato allarmante di un precedente studio Wavestone: il 100% delle applicazioni web sono vulnerabili. Infine, per 1 caso su 10, l’aggressore si è infiltrato nel sistema informativo sfruttando un servizio di accesso remoto vulnerabile su Internet (molti servizi di accesso remoto sono stati frettolosamente implementati durante la crisi sanitaria).
Crisi più complesse da gestire, soprattutto durante il lockdown
Il tempo necessario per tornare a una situazione tecnica normale dipende dalle dimensioni dell’azienda, dal suo livello di maturità in termini di cyber-resilienza ma anche e fortemente dal tipo di attacco che sta affrontando. In questo campione, la metà delle crisi si è chiusa in 3 settimane, con un massimo di 7 settimane.
Infine, i dispositivi di emergenza sono rimasti attivati fino al doppio del tempo durante il confinamento, per i seguenti fattori:
- Riduzione del personale in loco.
- Monitoraggio delle risorse umane delle squadre mobilitate difficile: fatica invisibile, comunicazione non verbale impossibile da analizzare, orario di lavoro non monitorato.
- Accesso e condivisione di informazioni disparate con conseguente complessità del coordinamento operativo dei membri dello stesso team.
- I mezzi di accesso all’IS sono fortemente limitati, riducendo le capacità di indagine e difesa.
Queste settimane passate a rimette in sesto quanto distrutto da un attacco hanno, nella maggior parte dei casi, avuto un forte impatto sull’attività dell’azienda e quindi sul suo fatturato.