Una panoramica sul rapporto M-Trends 2024 di Mandiant che sottolinea la diminuzione del Dwell Time ma un preoccupante aumento negli attacchi ransomware.
Il periodo compreso tra l’intrusione iniziale di un hacker in un sistema e il rilevamento dell’attacco è derinito “dwell time“. Questa metrica essenziale svela la potenziale misura del danno che una minaccia può creare, che può spaziare dal furto di dati sensibili, all’installazione di malware e all’organizzazione di attacchi futuri. Pertanto, la riduzione del dwell time è fondamentale per tutte le imprese che puntano a ridurre la vulnerabilità del loro sistema alle minacce informatiche.
Secondo il rapporto “M-Trends 2024” di Mandiant, il dwell time mondiale dell’anno 2023 è stato il più basso registrato dal 2011, con un decremento di quasi una settimana (da 16 a 10 giorni) dal 2022. Questo indica un importante passo in avanti per le organizzazioni nella rilevazione e nel rispondere alle intrusioni.
Inoltre, il tempo medio di rilevazione delle intrusioni interne è sceso da 13 a 9 giorni, segnando un netto miglioramento nel riconoscimento autonomo delle minacce all’interno di un’organizzazione, svincolato dal bisogno di segnalazioni esterne.
Al contrario, a dispetto della diminuzione del dwell time, il rapporto evidenzia un’escalation negli attacchi ransomware. Le indagini riguardanti quest’ultimi sono incrementate dal 18% del 2022 al 23% del 2023, ritornando ai livelli del 2021 e dimostrando la persistente minaccia del ransomware nonostante gli sforzi per mitigarlo.
Il rapporto svela anche che i criminali informatici stanno perfezionando le tecniche per evadere i sistemi di sicurezza, incluso l’uso di exploit che si avvantaggiano di vulnerabilità di tipo Zero-Day. Infatti, nel 2023, un vettore iniziale di intrusione era attribuibile a un exploit zero-day nel 38% dei casi. Questo segnala un’incremento della sofisticatezza degli attacchi volti a sfruttare vulnerabilità non note o non mitigates.
Inoltre, il rapporto M-Trends ha rivelato un aumento nell’uso di tattiche “living off the land”, in cui gli aggressori utilizzano software legittimi e strumenti già presenti nell’infrastruttura dell’obiettivo per accedere a informazioni sensibili e spostarsi all’interno di essa.
Pur considerando il crescente uso di exploit, soprattutto quelli che sfruttano vulnerabilità zero-day, la risposta dell’industria della cyber security è quella di migliorare significativamente le tecnologie di rilevamento e risposta. La diminuzione del dwell time rappresenta che le organizzazioni non solo riescono a identificare gli attacchi più velocemente, ma stanno migliorando il loro intervento effettivo prima che l’attacco possa creare danni sostanziali. Questi progressi sono fondamentali per costruire una più solida resilienza contro le future minacce.
Al fine di proteggere efficacemente le proprie infrastrutture critiche, è fondamentale per le organizzazioni rimanere al passo con i progressi in campo di difesa, assicurandosi che le patch e gli aggiornamenti di sicurezza siano applicati tempestivamente.