Vectra Networks, leader nel rilevamento in tempo reale degli attacchi informatici in corso, ha annunciato oggi i risultati della seconda edizione del suo "Post-Intrusion Report", uno studio basato su casi reali sulle minacce che eludono le difese perimetrali e sulle azioni intraprese dagli aggressori una volta penetrati nella rete.
I dati del rapporto sono stati raccolti nell'arco di sei mesi da 40 reti di clienti e potenziali clienti, per un totale di oltre 250.000 host, e sono stati confrontati con i risultati del rapporto dello scorso anno. Il nuovo rapporto include i rilevamenti relativi a tutte le fasi di un attacco informatico e mette in luce le tendenze relative malware , alle tecniche di comunicazione degli aggressori, alla ricognizione interna, al movimento laterale e all'esfiltrazione dei dati.
Secondo il rapporto, si è registrata una crescita non lineare dei rilevamenti relativi ai movimenti laterali (580%) e alle attività di ricognizione (270%), che ha superato l'incremento del 97% dei rilevamenti complessivi rispetto all'anno scorso. Questi comportamenti sono significativi in quanto indicano la presenza di attacchi mirati che sono riusciti a penetrare il perimetro di sicurezza.
Mentre le comunicazioni di comando e controllo hanno registrato la crescita minore (6%), i rilevamenti relativi a Tor ad alto rischio e agli accessi remoti esterni sono aumentati in modo significativo. Nel nuovo rapporto, i rilevamenti relativi a Tor sono aumentati di oltre il 1000% rispetto all'anno scorso e hanno rappresentato il 14% di tutto il traffico di comando e controllo, mentre gli accessi remoti esterni sono aumentati del 183% rispetto all'anno scorso.
Il rapporto è il primo a studiare i tunnel nascosti senza decriptare il traffico SSL, applicando la scienza dei dati al traffico di rete. Un confronto tra i tunnel nascosti nel traffico crittografato e quelli nel traffico in chiaro mostra che l'HTTPS è preferito all'HTTP per i tunnel nascosti, il che indica che gli hacker preferiscono la crittografia per nascondere le proprie comunicazioni.
«L’aumento dei movimenti laterali e dei rilevamenti di ricognizione dimostra che i tentativi di sferrare attacchi mirati continuano a crescere», ha affermato Oliver Tavakoli, direttore tecnico di Vectra Networks. «La percentuale di successo degli aggressori non è cambiata molto, ma un maggior numero di tentativi si è inevitabilmente tradotto in un maggior numero di attacchi andati a segno».
È possibile scaricare una copia del Rapporto post-intrusione all'indirizzo info.vectranetworks.com/post-intrusion-report-2015.
Tra gli altri risultati salienti dello studio figurano:
- Il fenomeno della monetizzazione delle botnet ha registrato una crescita lineare rispetto al rapporto dello scorso anno. La frode sui clic pubblicitari è stata la forma di monetizzazione delle botnet più comunemente osservata, rappresentando l'85% di tutti i casi rilevati.
- All'interno della categoria dei rilevamenti di movimenti laterali, gli attacchi di forza bruta hanno rappresentato il 56%, la replica automatizzata il 22% e gli attacchi basati su Kerberos il 16%. Pur essendo solo al terzo posto tra i rilevamenti più frequenti, gli attacchi basati su Kerberos hanno registrato una crescita non lineare del 400% rispetto all'anno scorso.
- Per quanto riguarda le attività di ricognizione interna rilevate, le scansioni delle porte hanno rappresentato il 53%, mentre quelle della darknet il 47%, un dato sostanzialmente in linea con il comportamento rilevato lo scorso anno.
I dati contenuti nel Rapporto post-intrusione si basano sui metadati forniti dai clienti e dai potenziali clienti di Vectra che hanno scelto di condividere le metriche di rilevamento provenienti dalle loro reti di produzione. Vectra identifica le minacce attive monitorando il traffico di rete in questi ambienti. Vengono monitorati sia il traffico interno da host a host sia il traffico da e verso Internet, al fine di garantire la visibilità e il contesto di tutte le fasi di un attacco.
L'ultimo rapporto offre un'analisi diretta delle minacce attive "in situ" che aggirano i firewall di nuova generazione, i sistemi di prevenzione delle intrusioni, malware , le soluzioni di sicurezza basate su host e altre difese aziendali. Lo studio include dati provenienti da 40 organizzazioni operanti nei settori dell'istruzione, dell'energia, dell'ingegneria, dei servizi finanziari, della pubblica amministrazione, della sanità, del settore legale, dei media, della vendita al dettaglio, dei servizi e della tecnologia.
Informazioni su Vectra Networks
Vectra Networks™ è leader nel rilevamento in tempo reale degli attacchi informatici in corso. La soluzione automatizzata di gestione delle minacce dell'azienda monitora costantemente il traffico di rete interno per individuare gli attacchi informatici nel momento stesso in cui avvengono. Successivamente, mette automaticamente in relazione le minacce con gli host sotto attacco e fornisce un contesto dettagliato sulle azioni degli aggressori, consentendo alle organizzazioni di prevenire o mitigare rapidamente le perdite. Vectra assegna la priorità agli attacchi che comportano il rischio maggiore per l'azienda, permettendo alle organizzazioni di decidere rapidamente dove concentrare tempo e risorse. Nel 2015, Gartner ha nominato Vectra "Cool Vendor" nel settore della sicurezza informatica per aver affrontato le sfide del rilevamento delle minacce post-violazione. Tra gli investitori di Vectra figurano Khosla Ventures, Accel Partners, IA Ventures e AME Cloud . La sede centrale dell'azienda si trova a San Jose, in California, mentre la sede europea è a Zurigo. Maggiori informazioni sono disponibili all'indirizzo www.vectranetworks.com.
###
Vectra Networks e Threat Certainty Index sono marchi registrati di Vectra Networks negli Stati Uniti e in altri paesi. Tutti gli altri marchi, prodotti o nomi di servizi sono o possono essere marchi commerciali o marchi di servizio dei rispettivi proprietari.
