FireEye, cosa dice il Mandiant M-Trends Report 2021

FireEye ha presentato il report M-Trends 2021, disponibile qui, giunto alla sua 12° edizione. Il lavoro raccoglie il meglio delle competenze globali in cyber security e intelligence, offrendo statistiche e approfondimenti sulle minacce rilevate tramite le attività di investigazione di Mandiant svolte in prima linea in tutto il mondo.

Il report di quest’anno offre dettagli di rilievo sui trend di attacco utilizzati dagli hacker, sui malware, sulla proliferazione di svariate attività di estorsione, sui ransomware, sugli aggressori UNC2452/SUNBURST e infine sull’aumento degli insider threat e sui nuovi trend di attacco in questo periodo di pandemia.

«Negli ultimi dieci anni, Mandiant ha osservato una decrescita costante del dwell time globale che è passato da oltre l’anno, dato del 2011, ai soli 24 giorni del 2020».

«Si tratta di una velocità di identificazione doppia rispetto al report dello scorso anno quando il dwell time medio globale era di 56 giorni. Mandiant attribuisce questa riduzione al continuo sviluppo e al miglioramento delle capacità organizzative di rilevamento e risposta delle organizzazioni per affrontare le molteplici attività di estorsione e le intrusioni ransomware» spiegano dal team.

Il dwell time medio varia in base alla regione. «Il continente Americano continua la decrescita e il dwell time medio, relativo a incidenti rilevati internamente, è sceso da 32 giorni a soli 9. È la prima volta da quando viene monitorato che si registra un dwell time a una cifra».

Al contrario, le aree APAC ed EMEA hanno registrato un complessivo aumento del dwell time medio. Secondo Mandiant, questo dato è dovuto al maggior numero di intrusioni non rilevate in queste regioni e al fatto che i dwell time in diversi casi sono stati superiori ai 3 anni.

Mentre il report dello scorso anno aveva evidenziato un calo delle detection interne rispetto al precedente, Mandiant osserva ora un aumento delle organizzazioni in grado di individuare gli attacchi in modo autonomo e indipendente. Il rilevamento interno degli incidenti è salito al 59% nel 2020, un aumento di 12 punti rispetto al 2019. Questo incremento delle rilevazioni interne è in linea con la tendenza generale osservata nel corso degli ultimi cinque anni.

In particolare, il rilevamento interno è risultato in aumento in tutte le regioni anno dopo anno. «Le organizzazioni situate nel continente Americano hanno guidato questo trend con un 61%, seguite da EMEA al 53% e APAC 52%. Le organizzazioni localizzate nelle aree APAC ed EMEA hanno ricevuto un numero più alto di notifiche di compromissione da enti esterni, rispetto alle organizzazioni Americane».

I primi cinque settori più colpiti sono stati: servizi commerciali e professionali, retail&hospitality, finanza, sanità e high-tech. Mandiant ha osservato che le aziende del settore Retail&Hospitality sono state maggiormente colpite nel corso del 2020, scalando la classifica fino a raggiungere il secondo posto rispetto all’undicesimo dell’anno precedente.

Anche la Sanità ha subito un numero maggiore di attacchi, diventando il terzo settore più colpito, rispetto all’ottavo posto dello scorso anno. Questa maggiore attenzione da parte degli attaccanti è spiegata dal ruolo vitale che il settore sanitario ha giocato durante la pandemia globale.

«Mentre le organizzazioni continuano a migliorare la capacità interna di rilevare le compromissioni, essere in grado di contenere gli avversari presenta sfide del tutto nuove. Le conseguenze della pandemia globale hanno costretto le aziende a ripensare la propria operatività con una forza lavoro attiva da remoto».

«Questo ha fatto sì che le infrastrutture VPN, le video-conference, le piattaforme di collaborazione e di condivisione di file e materiali diventassero indispensabili e cambiassero la superficie e il perimetro di attacco delle organizzazioni. In molti casi, dipendenti senza adeguate qualifiche sono stati trasformati improvvisamente in responsabili della connettività e della sicurezza cyber».

«Le aziende che si occupano di Servizi Professionali e di Servizi alle Aziende sono tra i primi cinque settori colpiti a partire dal 2016, crediamo che l’aumento dei servizi aziendali necessari per lo svolgimento dell’attività lavorativa da remoto abbia reso questo settore il più colpito nel 2020 sia da parte di cyber criminali sia tramite attacchi state-sponsored» ha detto Jurgen Kutscher, Executive Vice President, Service Delivery, Mandiant.