Home » News » Cybersecurity

Insider threats: minacce cybersecurity in crescita nel Q3 2022

Insider threats minacce cybersecurity in crescita Q3 2022

Nel terzo trimestre del 2022, le insider threats sono state un problema particolarmente diffuso tra le organizzazioni: il 35% degli accessi non autorizzati è legato a questa problematica. Inoltre, il tipo di incidente di cybersecurity più diffuso è la compromissione di emails, e si è registrato un aumento anche degli attacchi malware tramite USB. Lo rivela il report “Q3 2022 Threat Landscape” di Kroll.

Insider threats: una minaccia in crescita

Nel terzo trimestre del 2022 si è assistito a una crescita di 10 punti percentuali degli accessi non autorizzati legati alle insider threats: 35%, rispetto al 24% del secondo trimestre e del 31% ancora precedente.

“Le minacce interne – sottolinea Jaycee Roth, Associate Managing director, Cyber Risk di Kroll – sono un problema unico nella cybersecurity. Diversamente dalle circostanze consuete nella sicurezza informatica, in cui si difente la rete da attaccanti esterni (almeno nel primo stage dell’attacco), in una situazione di insider threat si difende l’azienda da qualcuno all’interno. Ciò può essere particolarmente difficile, dal momento che spesso l’utente non segnalerà nessun campanello d’allarme e potrebbe avere un alto livello di permessi e diritti d’accesso.

L’unico modo per essere in grado di identificare la minaccia è attraverso un comportamento sospettoso, come il rilevamento di downloads o uploads di massa. Questo, pertanto, rende l’auditing di accesso a files e cartelle (in aggiunta alla registrazione di servizi di trasferimento su file) particolarmente importante per il tracciamento, soprattutto all’interno di settori normati o con servers contententi dati sensibili”.

Compromissione di emails: l’incidente più diffuso

Tra le tipologie di incidenti più diffuse nel Q3 2022, la prima è stata la compromissione di emails con il 30%, stabile rispetto al trimestre precedente. Al secondo posto vi sono gli accessi non autorizzati (27%). Il ransomware, la minaccia preponderante tra aprile e giugno con il 33%, si attesta nel terzo trimestre al 25%. Seguono le compromissioni web (7%) e il malware (5%).

In particolare, gli esperti di Kroll hanno notato che le compromissioni web che colpiscono siti ecommerce di piccole e medie dimensioni sono in aumento fin dall’inizio della pandemia di COVID-19, quando molti negozi fisici hanno dovuto spostarsi parzialmente o completamente su piattaforme ecommerce. “Kroll – continuano dall’azienda – ha notato spesso gli attori sfruttare siti ecommerce con capacità carenti o nulle di identificare attività illecite e privi di backups o sistemi di gestione delle patched solidi”.

Anche i malwares sono aumentati rispetto al Q2 2022, in cui avevano costituito l’1% degli incidenti. Ciò è probabilmente dovuto alla proliferazione di malwares info-stealers (per esempio Redline, Raccoon, Vidar e URSA) che vengono solitamente diffusi tramite campagne di phishing. Le informazioni raccolte vengono poi spesso vendute nei mercati di credenziali, in cui è possibile acquistare elenchi che danno accesso a computers compromessi. “Si ritiene – evidenziano da Kroll – che le informazioni ottenute attraverso questo tipo di malware, fornendo credenziali legittime per l’accesso a reti aziendali, contribuisca ad alimentare le attività di brokers di accesso iniziale che operano nell’ecosistema ransomware”.

Insider threats minacce cybersecurity in crescita Q3 2022 incidenti

Il phishing rimane il primo metodo di accesso iniziale

Il phishing si conferma nuovamente come la tecnica principale per eseguire l’accesso iniziale (55% dei casi individuati), in crescita rispetto al trimestre precedente (42%), mentre nel Q1 si è attestato al 60%. “Kroll – sottolineano dall’azienda – ha notato un aumento del phishing via messaggio (noto come “smishing”), con il quale gli attori delle minacce inviano payloads dannosi tramite un file contenitore, anziché un documento Office (per esempio, .ISO anziché .docx o .word), e situazioni in cui, al posto di un link, i cybercriminali hanno usato il social engineering per spingere le vittime a telefonare a un numero dal quale un call center fasullo le guida nell’installazione di un malware”.

Seguono i servizi da remoto esterni con il 14% e l’utilizzo di accounts validi (12%), che ha subito un aumento importante.

Insider threats minacce cybersecurity in crescita Q3 2022 accesso iniziale

Attacchi malware tramite USB in aumento

L’azienda ha osservato anche un aumento nei casi di malwre basati su USB.

La pandemia ha visto crescere il ruolo del lavoro in modalità ibrida, e come conseguenza molti dipendenti hanno iniziato a utilizzare i propri dispositivi, trasferendo i dati da un device a un altro attraverso USB. Durante il Q3 2022, attori di minacce e cybercriminali hanno recapitato USB agli uffici delle vittime, con l’intenzione di accedere ai loro dispositivi in seguito all’inserimento dei drives. In alcuni casi, ciò ha rappresentato il vettore di accesso iniziale.

I settori più colpiti

Il settore dei servizi professionali è risultato essere il più colpito con il 21%; in particolare, gli incidenti più diffusi inquesto comparto sono stati compromissione di emails (40%), accessi non autorizzati (27%) e ransomware (10%). Seguono il manifatturiero (12%) in aumento e i servizi finanziari (11%). Gli attacchi al settore sanitario hanno registrato un calo importante, dal 21% del Q2 al 9%.

“È positivo – continuano da Kroll – vedere una riduzione degli attacchi in vari settori, come quelli di tecnologia e telecomunicazioni, ospitalità e servizi finanziari, in rapporto al trimestre precedente. Tuttavia, la velocità e il volume dei cambiamenti nei livelli di attacco osservati nel corso dei trimestri del 2022 evidenzia come le organizzazioni in tutti i settori devono assicurarsi di stare intraprendendo le azioni appropriate per mantenere un atteggiamento solido verso la sicurezza”.

Difendersi da minacce interne e fisiche: best practices

Gli esperti di Kroll raccomandano di:

  • utilizzare, gestire e monitorare sensori Endpoint Detection & Response (EDR) per tutti gli endpoints della rete;
  • comunicare e condividere i dati con centri di sicurezza fisici e/o teams di investigazione;
  • registrare e condurre auditings delle directories attive o altre credenziali di accesso privilegiato;
  • disabilitare USB e altre periferiche esterne dai dispositivi dell’azienda;
  • integrare controlli di elementi di cybersecurity negli audits interni e programmi di conformità, per assicurarsi che operino come desiderato;
  • limitare immediatamente l’accesso fisico ed elettronico a dipendenti in procinto di andarsene;
  • prestare attenzione a indicatori precoci di allarme, come accesso da remoto fuori orario, esportazione non motivata di grandi quantità di dati e il non prendersi mai permessi o ferie;
  • utilizzare soluzioni di protezione dal rischio digitale;
  • mantenere limitazioni all’uso di social networks ed emails non aziendali nei dispositivi dell’organizzazione;
  • esigere che i dipendenti usino solamente dispositivi e sistemi approvati dall’azienda;
  • utilizzare canary o honey tokens nell’infrastruttura dell’azienda.

Fonte immagini: Kroll.

Condividi questo articolo su:

RIVISTA

Scarica l’ultimo numero in versione PDF.



Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.