Le aziende sono ancora tutto sommato lente nella rilevazione degli attacchi, ma qualche segnale positivo si intravede.
Lo sostiene FireEye, società specializzata nella security, che nel suo report annuale M-Trend indica in 175 i giorni di permanenza media in Emea degli attaccanti all’interno delle reti nelle organizzazioni contro una media mondiale di 106 giorni. Il risultato peggiora del 40% la rilevazione dello scorso anno che si fermava a 106 giorni.
Un progresso però c’è stato visto che le organizzazioni sempre più spesso scoprono le violazioni dall’interno senza che arrivino indicazioni esterne. “Un miglioramento – spiega Marco Rottigni senior system manager di Fireeye – dovuto alla crescita degli sforzi legislativi e delle aziende”. Il livello di attenzione e di preparazione si è alzato e questo ha portato alla scoperta di molti più attacchi alzando la media dei giorni di permanenza.
Così, il dwell time medio in Emea per le rilevazioni interne è stato di 24,5 giorni (erano 83 lo scorso anno) contro una media globale è di 57,5 giorni e i 305 giorni necessari per ricevere segnalazioni dall’esterno.
Una criminologa in banca per la security
A essere colpito è soprattutto il settore finanziario con il 24% seguito dalla Pubblica amministrazione con il 18% e i servizi professionali con il 12%.
Una volta che l’azienda è stata attaccata però è probabile che lo sia una seconda volta. Il 56% dei dei clienti dei servizi di managed detection and response di Fireeyesono stati infatti presi di mira dallo stesso gruppo o da altri per nuovi attacchi. Il 49% dei clienti che ha subito almeno una volta un attacco significativo è stato nuovamente attaccato l’anno successivo.
Dietro questi dati ci sta la solta impreparazione delle aziende, in Italia particolarmente sentita, e lo skill shortage.
Solo negli Stati Uniti, dice il report di Fireeye, mancano 285 mila figure professionali per la sicurezza. Una mancanza che oltre di persone persone con gli adeguati requisiti professionali è anche di processi. “I nuovi supereroi – spiega Rottigni – si chiamano cyber defender e riescono a individuare e isolare l’attaccante”.
Ma ci sono anche figure professionali differenti che fanno capolino. Come la criminologa assunta da una banca e poi, tornando al tecnico, i threat analyst che devono avere la capacità di cogliere il livello di sofisticazione del malware.
Per quanto riguarda i processi, prosegue il senior system manager di Fireeye – significa che l’intelligence deve essere fruibile con la telemetria in grado di fornire i segnali importanti. E conl’aiuto del machine learning per l’automazione delle operazioni ripetitive.
Security risk management, Identity and access management, Data protection, Network, cloud and adataceter protection, incident resposne, host and endpoint protection sono quelli che l’azienda specializzata nella sicurezza individua come gli ambienti deboli delle aziende alle quali Fireeye propone, oltre che un’attività consulenziale e di intelligence, la piattaforma Helix cheha il compito di ottimizzare le security operation.
Helix fa largo uso di machine learning e “lo fa in sovrapposizione in tempo reale sui segnali aziendali di intelligence, comportamenti, logiche di correlazione dati” che permettono di avere a disposizione i dati principali.
