Gli esperti del Verizon Threat Research Advisory Center (VTRAC) hanno realizzato il Verizon Cyber-Espionage Report. Ecco cosa hanno scoperto

Spesso protagonista di romanzi e film, lo spionaggio informatico o cyberspionaggio è una minaccia concreta e costante per organizzazioni pubbliche e private. Il furto di segreti industriali e governativi è un’attività altamente redditizia e le cyberspie sono tecnicamente avanzate, pazienti e determinate.

Utilizzando i dati Verizon Business Data Breach Investigations Report (DBIR), gli esperti del Verizon Threat Research Advisory Center (VTRAC) hanno realizzato il Verizon Cyber-Espionage Report (CER). Il rapporto analizza le ultime sette edizioni del DBIR (dal 2014 al 2020) e si concentra sulla natura unica dello spionaggio informatico, prendendo in esame gli autori degli attacchi e le azioni che intraprendono, nonché le capacità specifiche di cui i team di sicurezza IT hanno bisogno per rilevare questi attacchi e difendersi da essi.

Cyberspionaggio: dati e strategie

Analizzando le tipologie di violazioni più diffuse, si evince che quelle determinate da motivazioni finanziarie sono le più comuni (con un range che varia tra il 67-86% nel periodo preso in esame), mentre quelle riconducibili al cyberspionaggio hanno numeri relativamente più bassi (tra il 10-26%). Tuttavia, non per questo sono meno dannose o preoccupanti; per loro stessa natura questi attacchi sono più invasivi e violenti rispetto agli altri. Mentre le violazioni motivate da scopi finanziari hanno maggiori probabilità di essere scoperte proprio a causa della perdita di denaro che determinano e segnalate anche a seguito di politiche normative, i dati rubati con una violazione di spionaggio informatico sono spesso estremamente importanti in termini di segretezza e sensibilità e criticità per le aziende.

Non sorprende che fra i settori maggiormente presi di mira vi siano quello pubblico (31%) seguito dal manifatturiero (22%) e da quello dei professionisti (11%), probabilmente perché detengono i segreti e le informazioni più desiderati dagli hacker.

Rispetto alle altre tipologie di violazioni, gli attacchi di cyberspionaggio differiscono nelle tattiche utilizzate, nell’abilità e nella pazienza delle cyberspie. Malware (90%), social engineering (83%) e hacking (80%) sono le principali strategie messe in campo dai criminali per le loro attività di spionaggio informatico. Ciò differisce rispetto a quanto accade prendendo in esame tutte le tipologie di violazioni: in questo caso l’hacking (56%) è la tattica dominante seguita da malware (39%) e social engineering (29%).

Perché questa differenza? Le motivazioni possono essere rintracciate nel processo lento, metodico e prolungato che caratterizza queste strategie, che si adatta perfettamente alla complessità degli attacchi di spionaggio informatico.

Gli attacchi perpetrati dalle cyberspie impiegano mesi o anni per essere scoperti, molto più di quanto accade per gli altri tipi di violazione, aspettando spesso nell’ombra finché non è il momento di colpire.

Da Verizon raccomandazioni per il futuro

Il Cyber-Espionage Report riporta anche alcune raccomandazioni su come le organizzazioni possono difendersi e riprendersi da tali attacchi.

In particolare:

  • I dipendenti sono la prima linea di difesa. Il social engineering, o phishing, è un metodo comune utilizzato dalle cyberspie per ottenere l’accesso a sistemi sensibili; è fondamentale che i dipendenti intraprendano una formazione regolare in materia di sicurezza informatica.
  • Rafforzare la sicurezza perimetrale. Questa (intesa ad esempio come segmentazione della rete) assieme a una più solida capacità di gestione degli accessi (ad esempio utilizzando restrizioni need-to-know) può mitigare gli attacchi di cyberspionaggio.
  • Una concreta strategia di Managed Detection e Response (MDR) può smascherare gli indicatori di compromissione sulla rete e sugli endpoint. I componenti essenziali dell’MDR includono le tecnologie SIEM (Security Information and Event Management), l’intelligence sulle minacce, l’analisi del comportamento di utenti ed enti (UEBA) e le funzionalità di ricerca delle minacce, nonché le integrazioni con le tecnologie di rilevamento e risposta degli endpoint (EDR), di rilevamento e risposta di rete (NDR) e antifrode.
  • Prevenire il furto o la perdita di dati (DLP) può impedire che i dati sensibili vengono sottratti attraverso una backdoor.
  • L’ottimizzazione dell’intelligence sulle minacce informatiche per aiutare a riconoscere gli indicatori di compromissione, il miglioramento di tattiche, tecniche e procedure e l’implementazione di un solido piano di risposta agli incidenti sono tutte strategie importanti per combattere il cyberspionaggio.

Come sottolineato in una nota ufficiale da John Grim, principale autore del Verizon Cyber-Espionage Report: «Il crimine informatico opera sotto molte forme e su scale differenti, ma combatterlo e prevenirlo è sempre ugualmente importante. Il nostro obiettivo è che quello di condividere la nostra esperienza e i dati relativi allo spionaggio informatico per aiutare le aziende e i governi ad adattare le loro strategie di sicurezza IT per renderle più efficaci. Le difese, i piani di rilevamento e risposta dovrebbero essere testati regolarmente e ottimizzati per affrontare di petto le minacce informatiche. Ciò è particolarmente importante per le violazioni di cyberspionaggio, che in genere coinvolgono minacce avanzate che prendono di mira dati specifici e operano in modo da evitare il rilevamento e impedire alle organizzazioni di attuare una risposta efficace».