Il 2014 sarà un anno da ricordare sul fronte degli incidenti di Sicurezza, con data breaches che hanno conquistato le prime pagine dei giornali quasi a cadenza regolare – l’anno in cui ogni azienda ha smesso di considerarsi sicura. I dipartimenti IT delle aziende si sono trovati spesso impreparati nel mitigare le minacce, lasciando aperte “ampie finestre temporali” in cui gli attaccanti hanno potuto sfruttare vulnerabilità, portare a segno le proprie infiltrazioni e accedere ai dati dell’impresa.
Secondo quanto riportato dal Computer Security Incident Response Team di IBM, solo il 3% di tutti i possibili eventi di sicurezza raggiunge un livello di severità tale da poter essere etichettato come “Security Incident”, cioè tale da comportare perdita di dati o danno per l’azienda, come evidenziato nella figura successiva.
Eventi, attacchi e incidenti di Sicurezza
Fonte: IBM Cyber Security Intelligence Index, 2015
Il Cyber Security Intelligence Index di IBM è una ricerca annuale sulle minacce cyber che possono riguardare le organizzazioni di tutto il mondo. La ricerca individua i principali trend evolutivi relativi a numero degli incidenti, settori colpiti, tipologie di attacchi e attaccanti, tutti elementi fondamentali per chi è preposto alla gestione degli Incidenti di Sicurezza nelle organizzazioni di medie e grandi dimensioni. Il report si basa sulle attività di gestione della sicurezza svolte da IBM e relative al monitoraggio di miliardi di eventi ogni anno, per oltre 8.000 device e più di 100 paesi. L’analisi parte quindi dai dati rilevati presso i clienti e considera poi le attività svolte per analizzare e contrastare gli incidenti di sicurezza dovuti ad attacchi cyber[1].
Media annuale di eventi, attacchi e incidenti di Sicurezza
Fonte: IBM Cyber Security Intelligence Index, 2015
Nel 2014, un’organizzazione media che si avvale degli IBM Security Services ha registrato 81 milioni di eventi di sicurezza (figura successiva). Circa l’11% di questi sono attacchi effettivi (mentre il resto rappresenta “rumore di fondo”), e una quota ancora inferiore rappresenta quella degli incidenti gravi, ovvero attacchi andati a segno con danno per le aziende. Il numero di tali attacchi è rimasto invariato rispetto al 2013 e pari a 2,1 per settimana.
Tasso dei Security Incident nelle diverse Industry
Fonte: IBM Cyber Security Intelligence Index, 2015
I dati relativi all’attività di prevenzione svolta nel 2014 mostrano che il 62% degli incidenti hanno riguardato principalmente 3 settori: Finance, Manufacturing e ICT. Rispetto al 2013, il settore manifatturiero è cresciuto molto come ambito preferito dagli attaccanti, come pure il retail, che ha registrato una crescita di incidenti del 3,2% rispetto all’anno precedente. Proprio nel 2014 il malware per sistemi point-of-sale (POS) è diventato uno degli entry point preferiti dagli attaccanti, un trend che secondo IBM dovrebbe proseguire anche nel 2015. Anche il settore Energy sale nel 2014 in termini di incidenti subiti – valore questo che preoccupa molto in quanto in alcuni casi si sono verificati accessi a sistemi di controllo industriale (come riportato dall’americano ICS-CERT, Industrial Control Systems Computer Emergency Response Team).
Con riferimento invece alle tipologie di incidenti riportate dal Cyber Security Intelligence Index di IBM, al primo posto nel 2014 si sono attestati gli accessi non autorizzati (37% dei casi), seguiti da malware malevolo (20%) e tentativi di entrare in possesso di risorse (Sustained probe/scan, 20%).
.
Categorie di incidenti nelle top 5 Industry
Fonte: IBM Cyber Security Intelligence Index, 2015
Un altro aspetto molto preoccupante che emerge dall’analisi IBM è che nel 2014 un 45% degli incidenti sono stati attribuiti ad attaccanti esterni, mentre la quota maggiore del 55% proviene da persone di cui normalmente ci si fida, di cui il 31,5% provenienti dall’interno e il 23,5% dovuto ad errori e inavvertenze non volute.
Infine, non interessa soltanto sapere da chi hanno origine gli attacchi cyber, ma anche capire dove sono localizzati in maggioranza. La “mappa degli incidenti” fornita con il Cyber Security Intelligence Index 2015 mette in luce sia il Paese in cui avviene l’attacco, sia quello da cui ha origine. Come prevedibile, concorrono a determinare la statistica finale sia la dimensione di ogni singolo Paese, in termini geografici e soprattutto di popolazione, sia la disponibilità di banda larga sul territorio. Questi parametri bastano a spiegare come mai circa la metà degli attacchi misurati nel 2014 hanno avuto origine negli USA, e contemporaneamente perché gli Stati Uniti sono anche il Paese maggiormente sotto attacco (59% degli attacchi registrati).
Altri paesi che compaiono nella mappa fornita dal Cyber Security Intelligence Index 2015 sono Giappone, Canada e Francia, mentre tra i paesi da cui ha origine l’attacco emergono Cina e Germania.
In conclusione, l’analisi riporta alcune considerazioni molto specifiche sull’evoluzione degli incidenti cyber, mettendo in luce le problematiche che quotidianamente gli addetti ai lavori devono affrontare. In particolare, la difficoltà di individuare gli eventi veramente importanti tra quelli che per lo più rappresentano rumore di fondo e quella di prevedere i rischi associati a malfunzionamenti o accessi non voluti da parte di risorse interne all’azienda.
A cura di: Elena Vaciago, The Innovation Group
Accedi per scaricare il Report completo