Axitea » Approfondimenti » Il tempo che intercorre tra la divulgazione delle vulnerabilità e gli exploit si sta riducendo

Approfondimenti

Il tempo che intercorre tra la divulgazione delle vulnerabilità e gli exploit si sta riducendo

Interessato alle soluzioni di sicurezza di Axitea?

Autore

Redazione Axitea

L’Incident Response Team della Palo Alto Networks Unit 42 avverte di un divario in continua diminuzione tra le rivelazioni di vulnerabilità e un aumento della criminalità informatica.

L’Attack Surface Management Threat Report del 2022 ha rilevato che gli aggressori in genere iniziano a scansionare le vulnerabilità entro 15 minuti dall’annuncio di un CVE.

Palo Alto Networks ha rilasciato una Threat Prevention Signature per la vulnerabilità di bypass dell’autenticazione F5 BIG-IP (CVE-2022-1388) e in sole 10 ore, la firma è stata attivata 2.552 volte a causa della scansione delle vulnerabilità e dei tentativi di sfruttamento attivo.

Le tipologie di attacchi utilizzati

Circa il 36% dei 600 casi di risposta agli incidenti studiati nel rapporto dell’Unità 42 erano ransomware, mentre il 34% degli aggressori ha scelto la compromissione dell’e-mail aziendale, in cui i truffatori prendono di mira indirizzi legittimi e quindi utilizzano il loro accesso per iniziare a reindirizzare fondi ed emettere fatture e similari.

Per quanto riguarda il modo in cui gli aggressori entrano nei sistemi aziendali, la maggior parte delle intrusioni sono state imputate al phishing, allo sfruttamento di vulnerabilità note o brute force credential attacks (incentrati principalmente sul protocollo desktop remoto, secondo il rapporto).

In termini di compromissione, il phishing è rimasto al primo posto e ha rappresentato il 37% dei mezzi di accesso iniziale, seguito da vicino da vulnerabilità software note. È preoccupante che il 20% sia dovuto a credenziali precedentemente compromesse, minacce interne, social engineering e abuso di strumenti affidabili.

Per quanto riguarda le vulnerabilità, ProxyShell ha occupato più della metà degli exploit, sebbene i bug di Log4j continuino a devastare il 14%, nonostante uno sforzo concertato da parte del settore per correggere i problemi. 

Guardando in particolare al ransomware, il rapporto ha rilevato che erano le vulnerabilità a occupare quasi la metà della media dell’accesso iniziale, seguite da attacchi alle credenziali di forza bruta e phishing

I costi per le aziende vittime degli attacchi

L’unità 42 ha riferito di aver visto richieste fino a $ 30 milioni e clienti che hanno pagato oltre $ 8 milioni.

Le richieste mediane più elevate nei dati del caso sono state avanzate nel settore finanziario, secondo l’Unità 42, con una media di $ 7,96 milioni, seguita da immobili a $ 5,2 milioni. 

“I nostri consulenti per la sicurezza affermano che i clienti molto spesso vengono a conoscenza degli attacchi ransomware nel modo più duro, quando ricevono una richiesta di riscatto”, hanno affermato i ricercatori.

I tempi di risposta

I ricercatori prevedono inoltre che il tempo utile per produrre ed applicare le patch continuerà a ridursi, mentre di contro diverrà più facilmente percorribile e con meno risorse la strada che porta al completamento di un attacco. 

Tuttavia, anche i principianti possono fare seri danni e un’ulteriore previsione è che i tempi economici difficili potrebbero portare più persone a cimentarsi nella criminalità informatica. 

Infine, rimane il problema della criptovaluta (e dei cambiamenti nella sua stabilità) come fattore insieme alla possibilità di un aumento degli incidenti motivati ​​politicamente.

Attività di prevenzione per le aziende

Per quanto riguarda ciò che le aziende possono fare, le raccomandazioni sono le solite:

  • Dotarsi di un piano dettagliato di sicurezza informatica e protezione del dato, nonché di un evoluto piano di gestione e risposta agli incidenti;
  • Formazione degli utenti per individuare gli attacchi di phishing;
  • Dotarsi di un piano di identificazione e gestione delle vulnerabilità, possibilmente anche eseguire simulazioni esterne di penetrazione, nonché di un piano di patching adeguato alle criticità e priorità dei sistemi. Qualsiasi cosa esposta in Internet dovrebbe richiedere l’applicazione di patch alle velocità consentite dai test.
  • Disabilitare qualsiasi accesso RDPesterno diretto a favore di VPN MFA di livello enterprise. L’autenticazione a più fattori dovrebbe essere sempre implementata a prescindere.

Come afferma nel rapporto il direttore della dell’Unità 42 Dan O’Day: “Ricordati di proteggerti dagli hacker, non solo dai revisori dei conti”.

Ico-pos-Rilevazione intrusione

Interessato alle soluzioni di sicurezza di Axitea?

Scroll to Top
Torna su