Il Data Breach Investigations Report 2023 di Verizon Business, giunto alla sedicesima edizione, ha analizzato 16.312 incidenti di sicurezza e 5.199 violazioni. Ciò che ne è emerso in prima battuta è presto detto: nel corso degli ultimi due anni sono aumentati in modo netto gli attacchi di social engineering, il costo di un incidente causato da un ransomware è raddoppiato e il punto debole degli incidenti è, nel 74% dei casi, l’errore compiuto dall’uomo.
Ci sono però aspetti sui quali vale la pena essere più precisi, perché aiutano a delineare il quadro attuale delle minacce e delle loro conseguenze, non soltanto dal punto di vista dei rapporti e dei censimenti i cui punti di vista, pure essendo molto utili, possono essere ampliati.
Indice degli argomenti
Il Data Breach Investigations Report 2023 di Verizon Business
Partiamo dal denaro. Il valore monetario mediano degli incidenti riconducibili a ransomware è raddoppiato negli ultimi 24 mesi, arrivando a 26mila dollari (24.260 euro). In soldoni, laddove c’è stato un danno economico, questo è costato tra 1 dollaro e 2,25 milioni di dollari (2,10 milioni di euro).
C’è peraltro corrispondenza tra l’aumento dei danni economici e quello della frequenza degli attacchi ransomware il cui totale, nel corso degli ultimi 2 anni ha superato la somma degli attacchi perpetrati nel quinquennio precedente. Un andamento che si ritrova anche nei primi mesi del 2023 durante i quali, conferma il report di Verizon Business, gli attacchi ransomware rappresentano il 24% del totale, ossia uno su quattro.
Marco Ramilli, fondatore e Ceo dell’azienda di sicurezza italiana Yoroi, spiega che tutto ciò ha un senso: “Non mi sorprende che gli attacchi stanno crescendo sia di numero sia di valore, perché gli attaccanti stanno sempre più espandendo la propria rete criminale e hanno bisogno di aumentarne il valore, per fare fronte ai costi sempre più importanti che devono sostenere. Dall’altra parte stanno ampliando le aree geografiche in cui agiscono e questo dà la possibilità di aumentare il numero degli attacchi. Non va dimenticata la complessità crescente degli attacchi che contribuisce ad aumentarne il costo e di conseguenza anche il valore”.
Il social engineering
Oltre al ruolo dei ransomware, il Data Breach Investigations Report 2023 di Verizon Business si sofferma anche sul peso specifico esercitato dal social engineering, che fa proliferare anche gli attacchi Business Email Compromise, tipici di quei contesti nei quali gli hacker, fingendosi dipendenti di un’azienda nota alla vittima, riescono a sottrarre denaro. Per esempio, emettendo false fatture per le quali pretendono il pagamento o persino – emulando l’indirizzo email di un alto dirigente aziendale – chiedendo all’amministrazione dell’impresa a effettuare dei bonifici verso conti ai quali hanno accesso.
Secondo i dati dell’Internet Crime Complaint Center (IC3), l’importo mediano sottratto con un attacco Business Email Compromise è stato di 50mila dollari (46.700 euro circa) il che, tenendo conto di tutti gli attacchi perpetrati, ne fa una tecnica capace di generare miliardi di dollari.
Il social engineering, spiega Verizon, include anche il pretexting, ossia attacchi con i quali gli hacker fanno leva sulla vulnerabilità della vittima – spesso creata per l’occasione – al fine di spingerla a rilevare informazioni riservate.
Il quadro che ne emerge indirizza verso la necessità di costruire la sicurezza attorno alle persone.
Il ruolo dell’essere umano
È il responsabile del 74% delle violazioni e, nonostante gli sforzi fatti da imprese e organizzazioni in genere per potenziare i protocolli di cyber security, il social engineering resta il passepartout per sfruttare la fallibilità dell’uomo. Marco Ramilli, su questo punto, ha un’opinione sulla quale riflettere: “Il fattore umano è discriminante, può essere sia l’anello debole della catena ma può esserne anche l’anello forte. Infatti, è colui che cade nel phishing o nello scamming ma è anche colui che sa riconoscere le minacce, sa bloccarle e sa fare analisi per risalire agli autori delle stesse. In entrambi i casi l’essere umano è importante ed è per questo che è al centro della tecnologia”.
Il report di Verizon evidenzia un aspetto meritevole di attenzione: Chris Novak, Managing director della Cybersecurity Consulting di Verizon Business, sottolinea che “I top manager rappresentano una minaccia crescente per la sicurezza informatica. Da una parte, infatti, sono loro ad essere in possesso dei dati più delicati delle realtà imprenditoriali e, dall’altra, sono anche le persone meno protette visto che molte società attuano delle eccezioni sui protocolli cyber appositamente per questi ruoli. Considerando l’aumento quantitativo e il perfezionamento delle tecniche di social engineering, le aziende devono rafforzare la protezione verso le figure apicali per evitare costose intrusioni al sistema”.
Le altre indicazioni fornite dal report Verizon
Gli attacchi non sono tutti uguali anche se, per la quasi totalità, sono spinti da ragioni economiche. Infatti, nonostante la situazione geopolitica sia tesa, solo il 3% degli hacker agisce a scopo di spionaggio e ciò significa che il restante 97% sferra attacchi per avere dei ritorni economici.
Inoltre, tra le tecniche più usate per ottenere l’accesso all’infrastruttura aziendale figurano:
- l’uso di credenziali rubate (49%),
- il phishing (12%),
- lo sfruttamento delle vulnerabilità (5%).
Non da ultimo, il report evidenzia che i cyber criminali sono molto rapidi nel passare dal Proof of Concept allo sfruttamento delle vulnerabilità su vasta scala. Il Proof of Concept è impiegato per dimostrare l’esistenza di una falla in un sistema IT o in un software e gli hacker si dimostrano sempre più rapidi nel trarne vantaggio.
In conclusione
Davanti a uno scenario simile, sempre più complesso e profilato sull’essere umano, la formazione e la sensibilizzazione alla cyber security può non essere sufficiente. Marco Ramilli spiega che: “La formazione è importante ma non è sufficiente, perché l’attaccante – nel caso del Business Email Compromise e in quello del phishing – fa leva sulla curiosità dell’essere umano e quando riesce a innescarla è quasi impossibile che questo riesca a resistere”.
Quindi, Ramilli sottolinea quanto sia “importante usare tecnologie che riducano e abbassino il grado di sofisticatezza delle minacce e che riescano a ridurre il numero di attacchi che giungono a buon fine. Questo si può fare anche con l’AI, che può essere usata dagli attaccanti per creare phishing migliore, ma può essere usata anche per creare strumenti di difesa sempre più contemporanei”.
