Un nuovo rapporto post-intrusione mostra un aumento degli indicatori di attacchi informatici che si diffondono attraverso le reti

Vectra Networks, leader nel rilevamento in tempo reale degli attacchi informatici in corso, ha annunciato oggi i risultati della seconda edizione del suo Post-Intrusion Report, uno studio reale sulle minacce che eludono le difese perimetrali e sulle azioni intraprese dagli aggressori una volta penetrati nella rete.

I dati del rapporto sono stati raccolti nell'arco di sei mesi da 40 reti di clienti e potenziali clienti con oltre 250.000 host e sono stati confrontati con i risultati del rapporto dello scorso anno. Il nuovo rapporto include il rilevamento di tutte le fasi di un attacco informatico ed espone le tendenze nel malware , le tecniche di comunicazione degli aggressori, la ricognizione interna, il movimento laterale e l'esfiltrazione dei dati.

Secondo il rapporto, si è registrata una crescita non lineare dei rilevamenti relativi ai movimenti laterali (580%) e alle ricognizioni (270%), che ha superato l'aumento del 97% dei rilevamenti complessivi rispetto allo scorso anno. Questi comportamenti sono significativi in quanto mostrano segni di attacchi mirati che hanno penetrato il perimetro di sicurezza.

Mentre le comunicazioni di comando e controllo hanno registrato la crescita minore (6%), i rilevamenti Tor ad alto rischio e di accesso remoto esterno sono aumentati in modo significativo. Nel nuovo rapporto, i rilevamenti Tor sono aumentati di oltre il 1000% rispetto allo scorso anno e hanno rappresentato il 14% di tutto il traffico di comando e controllo, mentre l'accesso remoto esterno è aumentato del 183% rispetto allo scorso anno.

Il rapporto è il primo a studiare i tunnel nascosti senza decriptare il traffico SSL, applicando la scienza dei dati al traffico di rete. Un confronto tra i tunnel nascosti nel traffico crittografato e quelli nel traffico non crittografato mostra che l'HTTPS è preferito all'HTTP per i tunnel nascosti, indicando la preferenza degli aggressori per la crittografia al fine di nascondere le loro comunicazioni.

"L'aumento dei movimenti laterali e dei rilevamenti di ricognizione dimostra che i tentativi di attacchi mirati continuano ad aumentare", ha affermato Oliver Tavakoli, CTO di Vectra Networks. "La media di battute degli aggressori non è cambiata molto, ma un numero maggiore di battute si è inevitabilmente tradotto in un numero maggiore di colpi".

Una copia del rapporto post-intrusione è disponibile per il download all'indirizzo info.vectranetworks.com/post-intrusion-report-2015.

Altri risultati chiave dello studio includono:

• Il comportamento di monetizzazione delle botnet è cresciuto in modo lineare rispetto al rapporto dello scorso anno. La frode dei clic pubblicitari è stata la forma di monetizzazione delle botnet più comunemente osservata, rappresentando l'85% di tutti i rilevamenti di botnet.
• All'interno della categoria dei rilevamenti di movimenti laterali, gli attacchi brute-force hanno rappresentato il 56%, la replica automatizzata il 22% e gli attacchi basati su Kerberos il 16%. Sebbene siano solo al terzo posto per frequenza di rilevamento, gli attacchi basati su Kerberos sono cresciuti in modo non lineare del 400% rispetto allo scorso anno.
• Tra i rilevamenti di ricognizione interna, le scansioni delle porte hanno rappresentato il 53%, mentre le scansioni della darknet hanno rappresentato il 47%, il che è abbastanza coerente con il comportamento rilevato lo scorso anno.

I dati contenuti nel rapporto post-intrusione si basano sui metadati forniti dai clienti e dai potenziali clienti di Vectra che hanno scelto di condividere i parametri di rilevamento delle loro reti di produzione. Vectra identifica le minacce attive monitorando il traffico di rete su cavo in questi ambienti. Il traffico interno da host a host e il traffico da e verso Internet vengono monitorati per garantire la visibilità e il contesto di tutte le fasi di un attacco.

L'ultimo rapporto offre un'analisi diretta delle minacce attive "in situ" alla rete che aggirano i firewall di nuova generazione, i sistemi di prevenzione delle intrusioni, malware , le soluzioni di sicurezza basate su host e altre difese aziendali. Lo studio include dati provenienti da 40 organizzazioni nei settori dell'istruzione, dell'energia, dell'ingegneria, dei servizi finanziari, della pubblica amministrazione, della sanità, legale, dei media, della vendita al dettaglio, dei servizi e della tecnologia.

Informazioni su Vectra Networks

Vectra Networks™ è leader nel rilevamento in tempo reale degli attacchi informatici in corso. La soluzione automatizzata di gestione delle minacce dell'azienda monitora costantemente il traffico di rete interno per individuare gli attacchi informatici nel momento in cui si verificano. Quindi correla automaticamente le minacce agli host sotto attacco e fornisce un contesto unico su ciò che stanno facendo gli aggressori, in modo che le organizzazioni possano prevenire o mitigare rapidamente le perdite. Vectra assegna la priorità agli attacchi che rappresentano il rischio maggiore per l'azienda, consentendo alle organizzazioni di prendere decisioni rapide su dove concentrare tempo e risorse. Nel 2015, Gartner ha nominato Vectra "Cool Vendor" nel settore della sicurezza informatica per aver affrontato le sfide del rilevamento delle minacce post-violazione. Tra gli investitori di Vectra figurano Khosla Ventures, Accel Partners, IA Ventures e AME Cloud . La sede centrale dell'azienda si trova a San Jose, in California, mentre la sede europea è a Zurigo. Maggiori informazioni sono disponibili all'indirizzo www.vectranetworks.com.

###

Vectra Networks e Threat Certainty Index sono marchi registrati di Vectra Networks negli Stati Uniti e in altri paesi. Tutti gli altri marchi, prodotti o nomi di servizi sono o possono essere marchi commerciali o marchi di servizio dei rispettivi proprietari.