Mentre le infrastrutture aziendali si fanno più sicure e protette, i criminali informatici concentrano la loro attenzione sul punto più debole: gli utenti. A rivelarlo è il Data Breach Investigation Report 2020 (Dbir), relazione sullo stato di salute delle imprese multinazionali che ogni anno segna il punto sulla sicurezza informatica nel mondo degli affari, che Agi ha potuto leggere in anteprima.
Autori dello studio sono i ricercatori del ramo business di Verizon, multinazionale statunitense delle telecomunicazioni, che durante l’anno hanno chiesto ai manager di 81 aziende di compilare un questionario sulla tenuta del “fronte cyber” dei loro affari. Tra i principali risultati riscontrati, lo studio mette in luce la crescita degli attacchi nei confronti delle web application (software e applicativi che risiedono su server remoti e sono accessibili tramite internet), che sono raddoppiati raggiungendo il 43% degli attacchi totali.
Ma a destare maggiore preoccupazione, stando al report, dovrebbe essere ancora di più il modo in cui proteggiamo i nostri dati identificativi e le password, dal momento che, si legge nel rapporto, il 67% delle violazioni totali sarebbe causato dal furto di credenziali. La relazione si basa sull’analisi di 32.002 attacchi, di cui 3.950 violazioni confermate.
Nel mirino dei criminali che si avvalgono di strumenti informatici è sempre più presente l'obiettivo del guadagno finanziario: rispetto al rapporto del 2019, il Dbir 2020 segna un aumento di quindici punti percentuali per quanto riguarda le violazioni allo scopo di ottenere un guadagno finanziario, che dal 71% passano all’86%.
Per fare questo, rileva il rapporto, gli attaccanti sono sempre più concentrati sul furto di credenziali e sulle tecniche di social engineering (dall’inglese, ingegneria sociale), ovvero tutto l’insieme di stratagemmi digitali o talvolta telefonici con i quali un attaccante induce il bersaglio a fornire spontaneamente informazioni utili a riconstruirne i dati di accesso a un servizio, quando non l’intera password o numero di conto telefonico. Una metodologia che diventa cruciale nel mondo delle imprese, dal momento che può essere utilizzata nei confronti degli stessi dipendenti di un’azienda per indurli a fornire un ingenuo accesso alle risorse delle quali hanno l’accesso.
“La maggioranza delle violazioni continua a essere causata da attori esterni - il 70% - con il crimine organizzato che ne rappresenta il 55%”, si legge: “Il furto di credenziali e gli attacchi social engineering, così come il phishing e le compromissioni delle e-mail aziendali causano la maggior parte delle violazioni (oltre il 67%)”. Tra queste, il 37% delle violazioni legate al furto di credenziali è stato portato a segno dall’utilizzo di credenziali rubate o deboli, mentre il 25% ha coinvolto attività di phishing. Nel 22% delle violazioni l’errore umano sarebbe stato determinante.
Oltre a mettere in evidenzia il raddoppiamento delle violazioni di applicazioni web, il Dbir 2020 evidenzia che nell’80% dei casi sarebbero state portate a segno proprio grazie al furto di credenziali: “Una tendenza preoccupante considerando che i principali flussi di lavoro aziendali si stanno spostando sempre più verso il cloud”, si legge nel report.
In lieve aumento anche gli attacchi ransomware, cioè quelli basati sulla diffusione di programmi malevoli capaci di rendere inaccessibile il contenuto di un dispositivo o di una rete a meno che la vittima non sia disposta a pagare un riscatto. In un anno questa tipologia di attacchi è aumentata di tre punti percentuali, dal 24% al 27%. Il 18% delle organizzazioni riferisce di aver bloccato almeno un attacco ransomware durante il 2019.
"Man mano che il lavoro da remoto aumenta a causa della pandemia globale, la sicurezza end-to-end abbraccia l’intero flusso di lavoro, dal cloud al laptop dei dipendenti, diventando fondamentale", commenta Tami Erwin, amministratore delegato di Verizon Business: "Oltre a proteggere i loro sistemi dagli attacchi, esortiamo tutte le aziende a continuare la formazione dei dipendenti man mano che gli schemi di phishing diventano sempre più sofisticati e dannosi".
Le piccole imprese
Con il crescere della centralità dei servizi cloud anche in aziende di piccola e media dimensione, aumentano anche i rischi legati alla sicurezza della trasmissione dei dati e della conservazione delle credenziali.
Nel periodo a cui si riferisce il rapporto (tutto il 2019), risulta centrale la presenza di attacchi di tipo phishing, che inducono l’utente a fornire informazioni o accedere a siti contraffatti tramite l’utilizzo di mail apparentemente legittime o altri tipi di comunicazione (talvolta si utilizzano gli sms o le chiamate).
Definita come “principale minaccia per le piccole organizzazione”, questa tipologia di attacco rappresenta oltre il 30% delle violazioni. Nel 27% dei casi l’attaccante ricorre invece a credenziali rubate: merce sempre più diffusa nei mercati di dati illegali che proliferano nella rete.
A queste seguono i cosiddetti dumper: piccoli software in grado di rubare le password digitate sul dispositivo (16% dei casi). Anche per le piccole imprese è significativa la presenza di attacchi rivolti alle applicazioni web, osservati nel 20% dei casi.
Settori verticali
Il Dbir 2020 include un'analisi dettagliata di 16 settori, in grado di fornire un quadro sulle diverse tipologie di rischio per ciascun ambito d’impresa. Nel settore manifatturiero, ad esempio, il 23% degli attacchi malware è stato causato da ransomware, rispetto al 61% nel settore pubblico e all'80% nell’istruzione. Diversamente, le violazioni nel settore pubblico sarebbero dovute a errore umano nel 33% dei casi osservati: una percentuale che cala al 12% nel settore produttivo.
Significativo risulta l’incremento di attacchi di tipo ransomware nel settore dell’istruzione, registrati nell’80% dei casi, contro il 45% dell’anno precedente. Mentre nel settore finanza e assicurazioni il 30% delle violazioni è stato portato a segno grazie ad attacchi alle applicazioni web, “lanciati principalmente da attori esterni che utilizzano credenziali rubate per ottenere l'accesso ai dati sensibili archiviati nel cloud”, si legge nel rapporto: “Il passaggio ai servizi online è un fattore chiave”.
Rimane al centro di interessi finanziari anche il settore sanitario, continuamente bersagliato da tentativi di attacco di tipo ransomware, ma anche vittima di errori umani (il 31%), causati nel 51% dei casi da violazioni esterne (rispetto al 42% del Dbir 2019), e nel 48% da addetti ai lavori (nel report 2019 erano il 59%).
Il Dbir 2020 fornisce anche uno spaccato delle minacce cibernetiche su base regionale, indicando nel Nord America l’area con il maggior numero di episodi finalizzati a un guadagno economico (91%), rispetto al 70% dell’area Emea (Europa, Medio Oriente e Africa) e il 63% dell’area Asia-Pacifico.