Mandiant, leader nella difesa informatica dinamica e nella risposta agli incidenti, pubblica i risultati di M-Trends 2022 sul panorama delle minacce informatiche. Si tratta di un rapporto annuale che fornisce dati e approfondimenti aggiornati dal cyber frontline.
Il rapporto 2022 copre il periodo di studio dal 1° ottobre 2020 al 31 dicembre 2021. Mostra che sono stati compiuti progressi significativi nel rilevamento e nella risposta alle minacce. Ma gli aggressori stanno innovando e adattandosi per raggiungere i loro obiettivi.
Il tempo di permanenza degli aggressori scende a tre settimane
Secondo il rapporto M-Trends 2022, la durata media globale del soggiorno è scesa da 24 giorni nel 2020 a 21 giorni l'anno successivo. Questo è il numero medio di giorni in cui un utente malintenzionato è vicino a una vittima prima di essere rilevato. L'APAC ha registrato la diminuzione maggiore della durata media del soggiorno, passando da 76 giorni nel 2020 a soli 21 giorni nel 2021. Anche la durata media del soggiorno è diminuita in EMEA, a 48 giorni nel 2021, rispetto ai 66 giorni dell'anno precedente. In Nord, Centro e Sud America la permanenza media è rimasta costante a 17 giorni.
Confrontando il modo in cui sono state rilevate le minacce nelle diverse regioni, il rapporto ha rilevato che in EMEA e APAC, la maggior parte degli intrusi (62% e 76%, rispettivamente) è stata identificata da terze parti esterne. Ciò rappresenta un'inversione di tendenza rispetto al 2020. Nelle Americhe, il rilevamento per fonte è rimasto costante, con le organizzazioni che rilevano autonomamente la maggior parte degli attacchi (60%).
Secondo il rapporto, i fattori chiave alla base del tempo di permanenza medio più breve sono probabilmente una migliore visibilità e risposta alle minacce da parte delle organizzazioni e la prevalenza del ransomware. Il ransomware ha un tempo di permanenza medio significativamente inferiore rispetto ad altri tipi di attacchi.
Aumento dell'attività di spionaggio da parte della Cina
Mandiant estende la sua vasta conoscenza delle minacce investigando in prima linea. Gli specialisti hanno anche accesso a forum clandestini criminali, utilizzano dati di telemetria e fanno affidamento sui propri metodi di ricerca e set di dati, che vengono analizzati da oltre 300 esperti di intelligence sulle minacce in 26 paesi. Come risultato della raccolta e dell'analisi dell'intelligence, gli esperti di Mandiant hanno osservato più di 1.100 nuovi gruppi di hacker durante il periodo di indagine di M-Trends di quest'anno. Mandiant ha inoltre monitorato 733 nuove famiglie di malware, l'86% delle quali non erano pubblicamente disponibili. Secondo il rapporto, ciò continua la tendenza secondo cui le nuove famiglie di malware vengono sviluppate in modo molto discreto e deliberatamente diffuse solo in misura limitata o utilizzate in modo mirato.
Negli M-Trends del 2022 si nota anche un riallineamento e una ristrutturazione delle operazioni di spionaggio informatico in Cina. Questi vanno di pari passo con l'attuazione del 14° piano quinquennale cinese nel 2021. Il rapporto avverte che le priorità a livello nazionale contenute nel piano "indicano un imminente aumento delle attività cinesi volte a investire in proprietà intellettuale o altri fattori economici strategicamente importanti, nonché in prodotti industriali della difesa e altri "prodotti a duplice uso" in i prossimi anni "Invadere le tecnologie che offrono usi commerciali oltre che militari".
Rafforzamento della struttura di sicurezza
Mandiant mantiene la sua promessa di aiutare le organizzazioni a proteggersi dalle minacce informatiche e infondere fiducia nella loro preparazione informatica. Per supportare questa missione, Mandiant condivide suggerimenti per la mitigazione del rischio nel report M-Trends, inclusa la mitigazione delle configurazioni errate comuni durante l'utilizzo di Active Directory on-premise, servizi di certificazione, piattaforme di virtualizzazione e infrastruttura basata su cloud. Il rapporto evidenzia inoltre considerazioni per supportare programmi di sicurezza proattivi e riafferma l'importanza di iniziative di sicurezza a lungo termine come la gestione delle risorse, le politiche di conservazione dei registri e la gestione delle vulnerabilità e delle patch.
Per supportare ulteriormente gli sforzi della comunità e dell'industria, Mandiant mappa continuamente i suoi risultati al framework MITRE ATT&CK. Nel 2021, al framework potrebbero essere assegnate più di 300 tecniche client. Il rapporto M-Trends indica che le organizzazioni dovrebbero dare la priorità alle misure di sicurezza che implementano. La base è la probabilità di utilizzare determinate tecniche durante un attacco. Secondo il rapporto, le organizzazioni sono maggiormente in grado di prendere decisioni di sicurezza intelligenti esaminando la rilevanza e la frequenza dell'uso di determinate tecniche durante i recenti attacchi.
Ulteriori approfondimenti dal rapporto M-Trends 2022
- Vettore di infezione: Per il secondo anno consecutivo, le vulnerabilità della sicurezza sono state il vettore di infezione più frequentemente identificato. Infatti, il 37% degli incidenti a cui Mandiant ha risposto durante il periodo di riferimento è iniziato con lo sfruttamento di una vulnerabilità della sicurezza. Al contrario, il phishing ha rappresentato solo l'11%. La compromissione della catena di approvvigionamento è aumentata notevolmente, da meno dell'1% nel 2020 al 17% nel 2021.
- Settori interessati: I servizi commerciali e professionali e la finanza sono stati gli obiettivi principali degli aggressori (14% ciascuno), seguiti da sanità (11%), vendita al dettaglio e ospitalità (10%) e tecnologia e governo (9% ciascuno).
- Nuovi complessi TTP per ricatti e ransomware: Mandiant ha osservato che i poliedrici aggressori di ricatto e ransomware stanno impiegando nuove tattiche, tecniche e procedure (TTP) per distribuire in modo rapido ed efficiente il ransomware negli ambienti aziendali. L'uso diffuso dell'infrastruttura di virtualizzazione negli ambienti aziendali ne ha fatto un obiettivo primario per gli aggressori ransomware.
Metodologia del rapporto M-Trends 2022: I dati riportati in M-Trends 2022 si basano su indagini Mandiant su attività di attacco mirato condotte tra il 1° ottobre 2020 e il 31 dicembre 2021. Le informazioni ottenute sono state sterilizzate per proteggere le identità degli obiettivi e i loro dati.
Altro su Mandiant.com
A proposito di clienti Mandiant è un leader riconosciuto nella difesa informatica dinamica, nell'intelligence sulle minacce e nella risposta agli incidenti. Con decenni di esperienza sul fronte informatico, Mandiant aiuta le organizzazioni a difendersi in modo sicuro e proattivo dalle minacce informatiche e a rispondere agli attacchi. Mandiant fa ora parte di Google Cloud.