Secondo il Data Breach Investigations Report 2024 (Dbir) di Verizon, due terzi delle violazioni, a livello internazionale, traggono origine da un’azione umana non dolosa, al fine di espropriare dati personali, interni e credenziali.
“I dati che emergono dal rapporto evidenziano la centralità del fattore umano nella postura di sicurezza delle organizzazioni di tutto il mondo“, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
“Il report conferma le tendenze generali a forti aumenti viste in altri report analoghi, compreso per esempio il forte aumento degli attacchi di DDoS, come anche la prevalenza di obiettivi ‘finanziari’ degli attacchi”, sottolinea Claudio Telmon, Senior Partner – Information & Cyber Security presso P4I – Partners4Innovation, “ma si focalizza anche su alcuni aspetti sicuramente di grande interesse, in particolare quelli legati al fattore umano interno”. Ecco come mitigare il rischio.
Indice degli argomenti
Data Breach Investigations Report 2024: i punti salienti
Verizon Business ha reso noti i risultati del Dbir 2024, da cui emerge metà delle violazioni che avvengono in ambito Emea sono interne. Inoltre il 68% delle violazioni, a livello globale, “sono imputabili ad una azione umana, e ciò impone adeguate contromisure”, sottolinea Paganini.
Infatti, a prescindere dal ruolo o meno di una terza parte coinvolta, in due terzi dei casi, a determinare le intrusioni è un’azione umana non intenzionale ovvero provocata da un utente che compie un errore o che è vittima di ingegneria sociale.
“La continua presenza dell’elemento umano nelle violazioni dimostra che le organizzazioni operanti in EMEA hanno bisogno di invertire questa tendenza fornendo priorità alla formazione e alla sensibilizzazione sulle migliori pratiche di cybersecurity”, ha spiegato Sanjiv Gossain, Vicepresidente Emea di Verizon Business.
Il report ha messo al microscopio 30.458 incidenti su scala mondiale, di cui 10.626 si confermano violazioni con esfiltrazione o espropriazione di dati. In Europa, Medio Oriente e Africa (area Emea), si registrano 8.302 casi informatici di cui 6.005 (oltre il 72%) sono Data Breach avvenuti con successo.
“Si vede come l’insieme di violazioni dovute all’insieme di social engineering, errori umani e abuso di privilegio rappresentino, cumulati, una percentuale altissima di fonti di incidenti”, evidenzia Claudio Telmon.
L’abuso dei privilegi
Il 49% delle violazioni in ambito Emea è infatti iniziata all’interno, a causa dell’abuso di privilegi ed altri errori legati al fattore umano.
“Particolarmente interessante il dato sul privilege misuse“, spiega Telmon, “che rappresenta una percentuale di circa un decimo degli incidenti con compromissione di dati, certamente non una percentuale trascurabile. Il rapporto evidenzia come la quasi totalità di questi incidenti siano riconducibili alle azioni di singole persone. Se questo mostra da una parte come si tratti generalmente di ‘mele marce’ isolate, dall’altra mostra quanto possa essere dannosa l’azione di singole persone, riportando di nuovo sul tema del privilegio minimo e del rilevamento dei comportamenti anomali“.
In tutta l’area, l’origine fondamentale degli incidenti di cyber security sono da imputare da svariati errori, intrusioni nel sistema e tecniche di social engineering, che insieme determinano l’87% dei Data Breach esaminate.
I dati compromessi sono soprattutto di tipologia personale (64%), interna (33%) e credenziali (20%).
“È chiaro quindi come sia necessaria prima di tutto la consapevolezza dei rischi legati a comportamenti impropri degli utenti, volontari o involontari”, mette in guardia Telmon.
Il ruolo delle falle zero-day
A livello mondiale, lo sfruttamento delle vulnerabilità, in fase di vettore d’attacco, rappresenta il 14% delle intrusioni complessive, a causa della portata e della frequenza degli exploit zero-day negli attacchi ransomware. In particolare quella di MOVEit ha ricevuto un largo uso in questo scenario.
“Inevitabile, l’impatto derivante dalle zero-day, spesso un vero e proprio passe-partout per gli attaccanti che investono notevoli risorse nell’acquisizione e ricerca di zero-day exploit”, mette in guardia Paganini.
Dal Known Exploited Vulnerabilities (KEV) della Cybersecurity Infrastructure and Security Agency (CISA) emerge che, in media, trascorrono 55 giorni prima che le imprese rimedino a metà delle vulnerabilità critiche dopo il rilascio delle patch. Inoltre, è di cinque giorni il tempo medio per il rilevamento degli sfruttamenti di massa su Internet. Così riportano le segnalazioni del KEV.
Nell’ultimo biennio, un quarto (fra il 24% e il 25%) degli incidenti, dove la motivazione era finanziaria, ha sfruttato una modalità di pretexting.
Nell’ultimo decennio, l’impiego di credenziali ottenute tramite furto è comparso sfiora un terzo (31%) di tutte le breach.
“Altro aspetto interessante”, prosegue Telmon, “è che la percentuale di incidenti legati al fattore umano che porti poi ad un’effettiva esposizione dei dati sia molto più alta rispetto agli attacchi ‘tecnologici‘, scendendo chiaramente quasi a zero in caso di DDoS“.
Infine, qualche considerazione sui settori attaccati. “Dai dati emerge chiaramente una prevalenza di attacchi di DDoS alle pubbliche amministrazioni“, conferma Telmon, “mentre se guardiamo agli incidenti che hanno comportato violazioni di dati, le pubbliche amministrazioni sono superate da settori come quelli dell’education, dei servizi professionali, quello finanziario e quello della sanità, e poco al di sopra del manifatturiero. Naturalmente si tratta di dati globali, la cui contestualizzazione all’Italia richiede un po’ di attenzione”.
Come mitigare il rischio
Secondo il report, la percentuale delle violazioni per effetto di un’azione umana non dolosa rimane stabile rispetto allo scorso anno.
Inoltre, Verizon Business ha osservato un progresso in fase di riconoscimento degli attacchi. Segno che formazione e simulazioni su ingegneria sociale e phishing danno i primi frutti.
“La formazione del personale sulle tecniche, tattiche e procedure degli attori malevoli è essenziale per prevenire e mitigare l’impatto di incidenti informatici”, sottolinea Paganini: infatti “gli attacchi di social engineering si confermano una minaccia efficace in grado di causare la maggior parte di violazioni, soprattutto in quelle organizzazioni in cui il personale è impreparato”.
“Le attività di sensibilizzazione sono sicuramente importanti, ma sono importanti anche gli strumenti in grado di limitare e rilevare i comportamenti anomali, come anche la capacità di adottare delle reali politiche di privilegio minimo, che riducano la probabilità e l’impatto di incidenti dovuti agli utenti”, aggiunge Claudio Telmon.
Il 20% degli utenti ha infatti individuato e denunciato il phishing nel corso delle simulazioni. Invece l’11% di chi ha cliccato sui link nelle mail, lo ha anche autodenunciato.
“I dati dimostrano l’impatto di altri fattori, quali la maggiore sensibilità ai temi cyber da parte delle aziende con conseguente aumento delle ‘autodenunce’ e dell’accresciuta capacità di detection da parte delle imprese grazie all’adozione di soluzioni tecnologiche di nuova generazione”, conferma Paganini.
“L‘aumento delle autodenunce è promettente e indica un cambiamento culturale importante: denota una maggiore e più diffusa consapevolezza nella sicurezza informatica tra i dipendenti”, aggiunge Sanjiv Gossain.
Tuttavia, nonostante alcuni passi avanti, “difendersi è davvero complesso per la maggior parte dell’imprese”, avverte Paganini.
“Preoccupa l’aumentata adozione da parte di gruppi ransomware di zero-day exploit con conseguente aumento delle violazioni di dati. Si tenga presente che un terzo delle violazioni è imputabile ad attività estorsive“.
Infatti il 32% circa di tutte le violazioni ha riguardato una tecnica di estorsione. Incluso il ransomware.
Le aziende devono infine investire maggiori risorse nella risoluzione delle falle. Occorre velocizzare i tempi per sanare le vulnerabilità.
“Infatti il rapporto evidenzia ancora lacune nei processi di patch management nella maggior parte delle imprese, spesso in ritardo nel fixing anche di vulnerabilità critiche”, conclude Paganini.
