La nuova ricerca a cura degli esperti di Sophos rivela che occorre meno di un giorno perché gli autori dell’attacco informatico possano accedere a Active Directory, l'asset più critico delle aziende

La survey evidenzia inoltre che la maggior parte degli attacchi ransomware avviene
 al di fuori dell'orario lavorativo

Milan, Italy — Agosto 31, 2023 —

Sophos, leader globale nell'innovazione e nell'erogazione della cybersicurezza as-a-service, ha rilasciato i dati emersi da “Active Adversary Report for Tech Leaders 2023”, un'analisi approfondita sui comportamenti e sugli strumenti relativi agli attacchi avvenuti nel primo semestre del 2023. 

Dopo aver analizzato le casistiche di Sophos Incident Response (IR) da gennaio a luglio 2023, Sophos X-Ops ha calcolato che il tempo mediano di permanenza dell’autore di un attacco informatico – ovvero quello che intercorre dall'inizio di un attacco fino al suo rilevamento – è sceso da dieci a otto giorni per tutti gli attacchi e a cinque giorni nel caso degli attacchi ransomware. 

Nel 2022, il tempo mediano di permanenza era sceso da 15 a 10 giorni.

Non solo: Sophos X-Ops ha rilevato anche che occorre mediamente meno di un giorno – circa 16 ore – prima che il cybercriminale riesca a raggiungere Active Directory (AD), uno degli asset più sensibili di molte aziende. AD gestisce solitamente le identità e l'accesso alle risorse all'interno di un'organizzazione, il che significa che i malintenzionati possono sfruttare AD per elevare facilmente i propri privilegi sul sistema e compiere una vasta gamma di attività illecite.

"Attaccare l'infrastruttura Active Directory di un'azienda è una scelta sensata da un punto di vista offensivo. AD è normalmente il sistema più potente e privilegiato di una rete e fornisce accesso a sistemi, applicazioni, risorse e dati che gli attaccanti possono sfruttare nelle loro attività. Quando un cybercriminale riesce a ottenere il controllo di AD, può controllare l'intera organizzazione. L'impatto, l'escalation e la difficoltà di ripristino da un attacco contro Active Directory sono i motivi per cui questo sistema viene messo sotto tiro”, ha dichiarato John Shier, field CTO di Sophos.“Assumere il controllo del server Active Directory nel corso dell'attacco assicura diversi vantaggi ai malintenzionati, che possono trattenersi all'interno del sistema in attesa di decidere la mossa successiva e, una volta pronti, scatenarsi nella rete della vittima senza alcun ostacolo. Il completo ripristino in seguito alla compromissione del dominio può essere un lavoro lungo e difficile. Un attacco del genere danneggia le fondamenta di sicurezza sulle quali si basa l'infrastruttura di un'azienda. Molto spesso il successo di un attacco contro AD costringe i team responsabili della sicurezza a ripartire da zero".

Il tempo di permanenza è diminuito anche nel caso degli attacchi ransomware, la tipologia di attacco maggiormente diffusa tra le casistiche IR analizzate – responsabile del 69% degli eventi – la cui media si è ridotta a soli cinque giorni. Nell'81% degli attacchi ransomware, il payload finale è stato lanciato al di fuori del normale orario di lavoro; negli altri casi, solo cinque si sono verificati durante una giornata lavorativa.

Il numero degli attacchi rilevati è aumentato procedendo lungo i giorni della settimana, in particolare per quanto riguarda gli attacchi ransomware: quasi metà di essi (43%) è stata rilevata nei giorni di venerdì o sabato.

"In un certo senso siamo vittime del nostro stesso successo. Con la diffusione di tecnologie come XDR e di servizi come MDR, si anticipa la nostra capacità di rilevare gli attacchi. Ridurre i tempi di rilevamento porta a una risposta più rapida, il che riduce la finestra operativa a disposizione degli attaccanti. Nel contempo i cybercriminali hanno perfezionato il loro modo di agire, specialmente i più esperti e dotati di risorse tra gli affiliati alle gang ransomware, continuando a velocizzare gli attacchi diretti contro difese sempre migliori.

Ciò tuttavia non significa che siamo collettivamente più al sicuro, come dimostra la riduzione dei tempi di permanenza degli attacchi non ransomware. I cybercriminali continuano a entrare nelle nostre reti e, se non ci sono urgenze, tendono a permanervi. Ma nessun tool al mondo può salvarti se non presti attenzione. Per rendere difficile la vita degli attaccanti occorrono sia i tool appropriati che un monitoraggio continuo e proattivo. Qui è dove i servizi MDR possono colmare la distanza tra attaccanti e difensori, perché ci siamo noi a guardare anche se tu sei impegnato altrove”, ha concluso Shier.

Lo studio Sophos Active Adversary Report for Business Leaders è basato sui dati Sophos Incident Response (IR) prodotti da interventi effettuati all'interno di 25 settori in tutto il mondo da gennaio a luglio 2023. Le aziende colpite erano situate in 33 diversi Paesi di sei continenti. L'88% dei casi riguarda organizzazioni con meno di 1.000 dipendenti.

The Sophos Active Adversary Report for Tech Leaders fornisce ai professionisti della sicurezza insight pratici e threat intelligence con cui migliorare l'operatività delle strategie di protezione.

Per approfondire i comportamenti, i tool e le tecniche degli attaccanti è possibile leggere “Time Keeps on Slippin’ Slippin’ Slippin’: The 2023 Active Adversary Report for Tech Leaders” su Sophos.com.

Informazioni su Sophos

Sophos è un’azienda leader nell’ambito della cybersecurity e protegge 600.000 organizzazioni in tutto il mondo con una piattaforma basata sull’IA e servizi a cura di esperti. Sophos viene incontro alle esigenze delle organizzazioni, adattandosi al loro livello di maturità di sicurezza informatica e crescendo insieme ai clienti per tutelarli dai cyberattacchi. La sua soluzione offre la combinazione ottimale tra machine learning, automazione e dati di intelligence sulle minacce in tempo reale, aggiungendo le competenze umane degli esperti del team Sophos X-Ops, che lavorano in prima linea per garantire monitoraggio, rilevamento e risposta alle minacce 24/7.
Sophos offre un servizio di Managed Detection and Response (MDR) leader di settore, nonché una linea completa di tecnologie di sicurezza, tra cui soluzioni per la protezione di endpoint, rete, e-mail e cloud, nonché Extended Detection and Response (XDR), rilevamento delle minacce all’identità (Identity Threat Detection and Response, ITDR) e SIEM next-gen. Unite a servizi di consulenza a cura di esperti, queste funzionalità aiutano le organizzazioni a ridurre proattivamente il rischio e a rispondere in maniera più tempestiva, ottenendo il giusto livello di visibilità e scalabilità richiesto per tenersi un passo avanti rispetto a minacce in continua evoluzione.
La strategia go-to-market di Sophos si basa su un ecosistema di Partner che include Managed Service Provider (MSP), Managed Security Service Provider (MSSP), Rivenditori e Distributori, integrazioni per il marketplace, e Partner Cyber Risk; questa strategia offre alle organizzazioni la flessibilità di scegliere come stabilire rapporti di fiducia per la protezione della loro attività.  Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.