Di recente, Vectra ha pubblicato l'edizione 2018 di Black Hat del rapporto di settore sul comportamento degli attaccanti, che copre il periodo da gennaio a giugno 2018. Sebbene esistano numerosi rapporti di ricerca sulle minacce, questo offre approfondimenti unici sui comportamenti reali dei cyberattaccanti riscontrati nelle reti cloud, data center e aziendali.
La maggior parte dei rapporti sulla sicurezza del settore si concentra sulle statistiche delle minacce note, come gli exploit e le famiglie di malware , oppure fornisce un'autopsia delle violazioni riuscite. Il primo tipo di report riguarda le minacce che le difese del perimetro di rete sono state in grado di bloccare, mentre il secondo elenca gli attacchi che sono stati completamente ignorati.
Questo rapporto rivela i rilevamenti e le tendenze dei cyberattacchi da parte di un campione di oltre 250 clienti aziendali opt-in che utilizzano la piattaforma AI Vectra Cognito in nove diversi settori, tra cui quello manifatturiero.
La piattaforma Cognito ha monitorato e raccolto metadati arricchiti dal traffico di rete che supporta oltre 4 milioni di dispositivi e carichi di lavoro distribuiti negli ambienti cloud, data center e aziendali del cliente. Analizzando questi metadati, la piattaforma Vectra Cognito ha rilevato i comportamenti nascosti degli aggressori e ha identificato i rischi aziendali che hanno permesso a queste organizzazioni di evitare catastrofiche violazioni dei dati.
Il Vectracker Behavior Industry Report adotta un approccio multidisciplinare che abbraccia tutte le fasi strategiche del ciclo di vita degli attacchi. Presenta dati per settori specifici che evidenziano le differenze rilevanti tra di essi. I risultati principali del rapporto includono:
- In tutti i settori, è stata rilevata una media di 2.354 comportamenti di attacco ogni 10.000 dispositivi. Si tratta di un netto aumento dei comportamenti degli aggressori rispetto a quelli riportati nell'edizione RSA dell'Attacker Behavior Industry Report.
- Complessivamente, il settore dell'istruzione ha registrato il maggior numero di comportamenti degli aggressori, con 3.958 rilevamenti ogni 10.000 persone.
- L'energia (3.740 rilevamenti ogni 10.000 dispositivi) e l'industria manifatturiera (3.306 rilevamenti ogni 10.000 dispositivi) hanno registrato una grande quantità di rilevamenti, principalmente a causa degli elevati livelli di attività di movimento laterale in entrambi i settori. L'energia e il settore manifatturiero sono anche grandi adottatori dell'IoT industriale e dispongono di reti IT/OT integrate.
- L'attività di comando e controllo (C&C) nel settore dell'istruzione superiore supera ogni altro settore, con 2.143 rilevamenti ogni 10.000 dispositivi, e continua a persistere a un livello tre volte superiore alla media del settore, pari a 725 su 10.000 dispositivi. Questi primi indicatori di attacco di solito precedono altre fasi e sono spesso associati a comportamenti opportunistici delle botnet nell'istruzione superiore.
- I settori della vendita al dettaglio e della sanità presentano i tassi di rilevamento più bassi, rispettivamente con 1.190 e 1.361 rilevamenti ogni 10.000 dispositivi.
- L'attività di botnet è più frequente nel settore dell'istruzione superiore, con 183 rilevamenti ogni 10.000 dispositivi, tre volte superiore alla media del settore di 53 rilevamenti ogni 10.000 dispositivi. Questi comportamenti di attacco opportunistico sfruttano i dispositivi per ottenere vantaggi esterni, come l'estrazione di bitcoin o lo spam in uscita.
- I clienti di Vectra hanno ottenuto una riduzione media del carico di lavoro di 36 volte per gli analisti della sicurezza nel rilevamento, nel triage, nella correlazione e nella prioritizzazione degli incidenti di sicurezza, consentendo loro di concentrarsi sulla mitigazione dei dispositivi compromessi che rappresentano il rischio più elevato.
- Normalizzando i rilevamenti per 10.000 dispositivi rispetto all'anno precedente, si registra un forte aumento in tutti i settori per i rilevamenti di C&C, ricognizione, movimento laterale ed esfiltrazione dei dati.
La sicurezza informatica è un esercizio continuo di efficienza operativa. Le organizzazioni dispongono di risorse limitate per affrontare rischi, minacce e aggressori illimitati. I prodotti per la sicurezza di rete devono sempre essere valutati in termini di efficienza e di impatto sull'operatività dell'organizzazione.
Allo stesso tempo, vi è una carenza globale di professionisti della sicurezza informatica altamente qualificati per gestire il rilevamento e la risposta a una velocità ragionevole. Di conseguenza, l'uso dell'IA è essenziale per potenziare i team di cybersecurity esistenti, in modo che possano rilevare e rispondere alle minacce più rapidamente e rimanere ben al di sopra degli aggressori.
Queste sono solo alcune delle tendenze degne di nota riscontrate da Vectra e vi invitiamo a scaricare e leggere il rapporto completo.