Home » News » Cybersecurity

Insider threats: minacce cybersecurity in crescita nel Q3 2022

di Redazione - 11 Novembre 2022
Insider threats minacce cybersecurity in crescita Q3 2022

Nel terzo trimestre del 2022, le insider threats sono state un problema particolarmente diffuso tra le organizzazioni: il 35% degli accessi non autorizzati è legato a questa problematica. Inoltre, il tipo di incidente di cybersecurity più diffuso è la compromissione di emails, e si è registrato un aumento anche degli attacchi malware tramite USB. Lo rivela il report “Q3 2022 Threat Landscape” di Kroll.

Insider threats: una minaccia in crescita

Nel terzo trimestre del 2022 si è assistito a una crescita di 10 punti percentuali degli accessi non autorizzati legati alle insider threats: 35%, rispetto al 24% del secondo trimestre e del 31% ancora precedente.

“Le minacce interne – sottolinea Jaycee Roth, Associate Managing director, Cyber Risk di Kroll – sono un problema unico nella cybersecurity. Diversamente dalle circostanze consuete nella sicurezza informatica, in cui si difente la rete da attaccanti esterni (almeno nel primo stage dell’attacco), in una situazione di insider threat si difende l’azienda da qualcuno all’interno. Ciò può essere particolarmente difficile, dal momento che spesso l’utente non segnalerà nessun campanello d’allarme e potrebbe avere un alto livello di permessi e diritti d’accesso.

L’unico modo per essere in grado di identificare la minaccia è attraverso un comportamento sospettoso, come il rilevamento di downloads o uploads di massa. Questo, pertanto, rende l’auditing di accesso a files e cartelle (in aggiunta alla registrazione di servizi di trasferimento su file) particolarmente importante per il tracciamento, soprattutto all’interno di settori normati o con servers contententi dati sensibili”.

Compromissione di emails: l’incidente più diffuso

Tra le tipologie di incidenti più diffuse nel Q3 2022, la prima è stata la compromissione di emails con il 30%, stabile rispetto al trimestre precedente. Al secondo posto vi sono gli accessi non autorizzati (27%). Il ransomware, la minaccia preponderante tra aprile e giugno con il 33%, si attesta nel terzo trimestre al 25%. Seguono le compromissioni web (7%) e il malware (5%).

In particolare, gli esperti di Kroll hanno notato che le compromissioni web che colpiscono siti ecommerce di piccole e medie dimensioni sono in aumento fin dall’inizio della pandemia di COVID-19, quando molti negozi fisici hanno dovuto spostarsi parzialmente o completamente su piattaforme ecommerce. “Kroll – continuano dall’azienda – ha notato spesso gli attori sfruttare siti ecommerce con capacità carenti o nulle di identificare attività illecite e privi di backups o sistemi di gestione delle patched solidi”.

Anche i malwares sono aumentati rispetto al Q2 2022, in cui avevano costituito l’1% degli incidenti. Ciò è probabilmente dovuto alla proliferazione di malwares info-stealers (per esempio Redline, Raccoon, Vidar e URSA) che vengono solitamente diffusi tramite campagne di phishing. Le informazioni raccolte vengono poi spesso vendute nei mercati di credenziali, in cui è possibile acquistare elenchi che danno accesso a computers compromessi. “Si ritiene – evidenziano da Kroll – che le informazioni ottenute attraverso questo tipo di malware, fornendo credenziali legittime per l’accesso a reti aziendali, contribuisca ad alimentare le attività di brokers di accesso iniziale che operano nell’ecosistema ransomware”.

Insider threats minacce cybersecurity in crescita Q3 2022 incidenti

Il phishing rimane il primo metodo di accesso iniziale

Il phishing si conferma nuovamente come la tecnica principale per eseguire l’accesso iniziale (55% dei casi individuati), in crescita rispetto al trimestre precedente (42%), mentre nel Q1 si è attestato al 60%. “Kroll – sottolineano dall’azienda – ha notato un aumento del phishing via messaggio (noto come “smishing”), con il quale gli attori delle minacce inviano payloads dannosi tramite un file contenitore, anziché un documento Office (per esempio, .ISO anziché .docx o .word), e situazioni in cui, al posto di un link, i cybercriminali hanno usato il social engineering per spingere le vittime a telefonare a un numero dal quale un call center fasullo le guida nell’installazione di un malware”.

Seguono i servizi da remoto esterni con il 14% e l’utilizzo di accounts validi (12%), che ha subito un aumento importante.

Insider threats minacce cybersecurity in crescita Q3 2022 accesso iniziale

Attacchi malware tramite USB in aumento

L’azienda ha osservato anche un aumento nei casi di malwre basati su USB.

La pandemia ha visto crescere il ruolo del lavoro in modalità ibrida, e come conseguenza molti dipendenti hanno iniziato a utilizzare i propri dispositivi, trasferendo i dati da un device a un altro attraverso USB. Durante il Q3 2022, attori di minacce e cybercriminali hanno recapitato USB agli uffici delle vittime, con l’intenzione di accedere ai loro dispositivi in seguito all’inserimento dei drives. In alcuni casi, ciò ha rappresentato il vettore di accesso iniziale.

I settori più colpiti

Il settore dei servizi professionali è risultato essere il più colpito con il 21%; in particolare, gli incidenti più diffusi inquesto comparto sono stati compromissione di emails (40%), accessi non autorizzati (27%) e ransomware (10%). Seguono il manifatturiero (12%) in aumento e i servizi finanziari (11%). Gli attacchi al settore sanitario hanno registrato un calo importante, dal 21% del Q2 al 9%.

“È positivo – continuano da Kroll – vedere una riduzione degli attacchi in vari settori, come quelli di tecnologia e telecomunicazioni, ospitalità e servizi finanziari, in rapporto al trimestre precedente. Tuttavia, la velocità e il volume dei cambiamenti nei livelli di attacco osservati nel corso dei trimestri del 2022 evidenzia come le organizzazioni in tutti i settori devono assicurarsi di stare intraprendendo le azioni appropriate per mantenere un atteggiamento solido verso la sicurezza”.

Difendersi da minacce interne e fisiche: best practices

Gli esperti di Kroll raccomandano di:

  • utilizzare, gestire e monitorare sensori Endpoint Detection & Response (EDR) per tutti gli endpoints della rete;
  • comunicare e condividere i dati con centri di sicurezza fisici e/o teams di investigazione;
  • registrare e condurre auditings delle directories attive o altre credenziali di accesso privilegiato;
  • disabilitare USB e altre periferiche esterne dai dispositivi dell’azienda;
  • integrare controlli di elementi di cybersecurity negli audits interni e programmi di conformità, per assicurarsi che operino come desiderato;
  • limitare immediatamente l’accesso fisico ed elettronico a dipendenti in procinto di andarsene;
  • prestare attenzione a indicatori precoci di allarme, come accesso da remoto fuori orario, esportazione non motivata di grandi quantità di dati e il non prendersi mai permessi o ferie;
  • utilizzare soluzioni di protezione dal rischio digitale;
  • mantenere limitazioni all’uso di social networks ed emails non aziendali nei dispositivi dell’organizzazione;
  • esigere che i dipendenti usino solamente dispositivi e sistemi approvati dall’azienda;
  • utilizzare canary o honey tokens nell’infrastruttura dell’azienda.

Fonte immagini: Kroll.

#Cybersecurity#Scenari
Condividi questo articolo su:
Articoli correlati
Knight ransomware via e-mail
Cybersecurity

Knight prende di mira l’Italia: il ransomware arriva via e-mail

Il ransomware Knight arriva via e-mail: prende in ostaggio i dati aziendali e chiede un riscatto in Bitcoin. Per la prima volta dal 2021 i ricercatori Proofpoint identificano questo metodo...
25 Settembre 2023 - Redazione
E-commerce europeo report
Attualità

e-commerce europeo in costante crescita: report e analisi

Il Report europeo sull’e-commerce 2023, che ne sancisce la costante crescita, realizzato dal Centre for Market Insights dell’Università di Scienze Applicate di Amsterdam, viene presentato oggi, 25 settembre, da Ecommerce...
25 Settembre 2023 - Redazione
futuro connettività senza rete
Cybersecurity

Il futuro della connettività è senza rete?

Sarà senza rete il futuro della connettività? Secondo Thomas Quinlan, Director of Solution Architecture Zscaler la risposta è decisamente affermativa. Perché? Con quali benefici? In che modo? Con quali resistenze? Quando...
19 Settembre 2023 - Redazione
Altre news da: Cybersecurity
CdA italiani paura attacco informatico
Cybersecurity

CdA italiani: cresce la paura di un attacco informatico

Cresce la paura di un attacco informatico per il 67% dei CdA italiani. A rivelarlo il secondo report annuale “Cybersecurity: The 2023 Board Perspective” di Proofpoint, che analizza la percezione...
6 Settembre 2023 - Redazione
Proofpoint IA generativa rischi
Cybersecurity

IA generativa: come cambia il modo di lavorare e quali i rischi per i dati aziendali?

Di Intelligenza Artificiale (IA) generativa si parla molto. Come per ogni nuova tecnologia rivoluzionaria il clamore che suscita è elevato. Perché tale tecnologia promette di cambiare il modo in cui...
31 Agosto 2023 - Redazione
Aziende convivere con il ransomware
Cybersecurity

Come le aziende possono imparare a convivere con il ransomware?

Partendo dalla considerazione che nel 2022 l’85% delle organizzazioni è stato colpito da almeno un attacco ransomware, secondo il Veeam Data Protection Trends Report 2023, Veeam arriva alla conclusione che...
28 Agosto 2023 - Redazione

RIVISTA

Scarica l’ultimo numero in versione PDF.

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.