Ben tre quarti delle violazioni dei dati nell'ultimo anno (74%) hanno coinvolto l'elemento umano, causato principalmente da dipendenti che sono stati vittime di attacchi di ingegneria sociale o hanno commesso errori, con alcuni che hanno abusato del loro accesso in modo malizioso.
Gli incidenti di ingegneria sociale hanno quasi raddoppiato rispetto allo scorso anno per rappresentare il 17% di tutte le violazioni, secondo il 2023 Data Breach Investigations Report (DBIR) di Verizon pubblicato il 6 giugno (che ha analizzato più di 16,312 incidenti di sicurezza, di cui 5,199 sono state confermate violazioni dei dati). Il rapporto ha rilevato che questa preponderanza dell'errore umano all'interno degli incidenti si accompagna alla scoperta che il costo medio di un attacco ransomware è raddoppiato rispetto all'anno scorso, raggiungendo la gamma di milioni di dollari. Le prove messe insieme indicano un'enorme necessità per le organizzazioni di assumere il controllo delle basi della sicurezza, oppure affrontare un ciclo vertiginoso di inflazione quando si tratta di costi di violazione dei dati.
Chris Novak, amministratore delegato della consulenza sulla sicurezza informatica presso Verizon Business, ha osservato che per frenare la tendenza, le organizzazioni devono concentrarsi su tre cose: igiene della sicurezza dei dipendenti, implementazione di una vera autenticazione a più fattori e collaborazione tra le organizzazioni sull'intelligence sulle minacce. Il primo è forse il problema più impattante, ha detto.
"I fondamenti devono migliorare e le organizzazioni devono concentrarsi sull'igiene informatica", ha affermato durante un evento stampa a Washington DC. “Probabilmente è la raccomandazione meno sexy che posso darti, ma è una delle cose più fondamentalmente importanti che vediamo ancora mancare alle organizzazioni, e di tutte le forme e dimensioni. E di solito è perché vogliono concentrarsi sulla nuova tecnologia appariscente del settore e dimenticano le basi.
Gli aggressori esterni motivati finanziariamente raddoppiano l'ingegneria sociale
Oltre all'aumento di volume dell'ingegneria sociale, l'importo medio rubato da questi attacchi ha raggiunto i $ 50,000 lo scorso anno, secondo il DBIR. Complessivamente, ci sono stati 1,700 incidenti che sono caduti nel secchio dei social media, 928 con divulgazione di dati confermata.
Phishing e "pretexting", vale a dire impersonificazione del tipo comunemente usato in attacchi BEC (Business Email Compromise)., ha dominato la scena dell'ingegneria sociale, secondo il rapporto. In effetti, le mosse pretestuose sono quasi raddoppiate rispetto allo scorso anno e ora rappresentano il 50% di tutti gli attacchi di ingegneria sociale.
Gli analisti di Verizon hanno scoperto che la stragrande maggioranza degli incidenti di ingegneria sociale è stata guidata da attori di minacce esterne motivati finanziariamente, che sono stati coinvolti nell'83% delle violazioni. Al contrario, le minacce interne hanno rappresentato circa un quinto degli incidenti (19%, sia attivamente dolosi che involontari) e le azioni sponsorizzate dallo stato (che di solito comportano spionaggio anziché guadagno finanziario) sono state coinvolte meno del 10% delle volte.
Inoltre, gli attori esterni sono rimasti fedeli ai classici quando si trattava di ottenere l'accesso iniziale alle organizzazioni, con le prime tre strade che utilizzavano credenziali rubate (49% delle violazioni); phishing (12%); e sfruttando le vulnerabilità (5%).
Non c'è da stupirsi che il rapporto abbia rilevato che tre quarti dei dati compromessi negli attacchi di ingegneria sociale lo scorso anno erano credenziali per alimentare ulteriori attacchi (76%), seguiti da informazioni organizzative interne (28%) e dati personali.
Il ransomware deve ancora colpire un muro in crescita
Qual è la fine del gioco per questi ingegneri sociali? Troppo spesso è una risposta facile da indovinare: ransomware ed estorsione. È la stessa storia degli ultimi anni e, infatti, gli eventi ransomware sono rimasti stabili nel rapporto di quest'anno in termini di quota di violazioni, rappresentando, come lo scorso anno, circa un quarto degli incidenti complessivi (24% ). Questa può sembrare una buona notizia dall'esterno, ma il rapporto ha osservato che la statistica in realtà va contro la saggezza convenzionale secondo cui il ransomware, prima o poi, avrebbe colpito un muro grazie alle organizzazioni che si sono accorte delle difese, entità che si rifiutano di pagare, O controllo delle forze dell'ordine.
Niente di tutto ciò sembra aver spostato l'ago e, in effetti, ci sono ancora molti vantaggi per il ransomware in futuro, osserva il rapporto, dal momento che non ha raggiunto un livello di saturazione.
"Il fatto che quasi un quarto delle violazioni implichi un passaggio di ransomware continua a essere un risultato sbalorditivo", si legge nel rapporto. “Tuttavia, avevamo previsto che il ransomware avrebbe presto raggiunto il suo limite teorico, con il che intendiamo dire che tutti gli incidenti che avrebbero potuto avere ransomware lo avrebbero fatto. Purtroppo c'è ancora un margine di crescita".
Complessivamente, motivazioni finanziarie hanno fornito l'impulso per il 94.6% delle violazioni nell'anno, con ransomware presente nel 59% di esse. Secondo il DBIR, ben l'80% degli incidenti di intrusione di sistema ha coinvolto il ransomware e il 91% delle industrie ha il ransomware come una delle principali varietà di incidenti.
I Anche l'economia del ransomware continua a professionalizzarsi, secondo il rapporto. Per quanto riguarda gli attori esterni responsabili della maggior parte delle violazioni, la maggior parte erano affiliati alla criminalità organizzata; Il ransomware, infatti, ha rappresentato il 62% di tutti gli incidenti legati alla criminalità organizzata.
Combattere l'ondata crescente di ransomware e violazioni
Per prevenire un'ulteriore crescita del ransomware e arginare l'ondata di violazioni in generale, Novak di Verizon afferma che le organizzazioni possono concentrarsi su passaggi abbastanza realizzabili, dato che l'ingegneria sociale è un fulcro per entrambi. Vale a dire, oltre a incoraggiare l'igiene e la consapevolezza della sicurezza di base da parte dei dipendenti, le organizzazioni devono anche andare avanti con l'AMF e concentrarsi sull'affinamento di una serie di partnership per la sicurezza informatica.
Quando si tratta di MFA, ha affermato che l'allontanamento dalla semplice autenticazione a due fattori utilizzando password monouso, a favore di autenticazione forte come FIDO2, cambierà il gioco. FIDO2 presenta le sfide di autenticazione all'utente tramite un browser, che aggiunge il contesto sulla sfida e quindi lo consegna a un autenticatore FIDO2 collegato, che consente il rilevamento dello snooping man-in-the-middle e altro ancora.
"Se riusciamo a fare passi da gigante in questo, penso che possiamo sostanzialmente abbattere molte delle violazioni [di base] dell'ombelico in termini di coinvolgimento del fattore umano", ha detto Novak. "Dobbiamo esaminare altri meccanismi per eseguire una forte autenticazione reciproca o multifattoriale".
Anche così, ha detto: “Penso che non siamo neanche lontanamente vicini a dove vorremmo essere su FIDO2. Ma penso che la più grande sfida che dobbiamo davvero affrontare per ottenere un'adozione su larga scala sia cambiare il comportamento umano. Diciamo "Guarda, fallo e proteggerai i tuoi dati, proteggerai i tuoi sistemi e proteggerai la tua attività, il tuo sostentamento". E ancora, molte persone faranno fatica a muoversi in quella direzione.
Tuttavia, la buona notizia è che Novak ha notato che le organizzazioni sono un po' più avanti sul fronte della cyber-partnership.
"La mentalità precedente era che le organizzazioni cercassero davvero di fare tutto in casa, e penso che ora stiamo vedendo la necessità di un più alto grado di collaborazione e progresso", ha spiegato. “Gli attori delle minacce lo stanno facendo perché è un modo efficace per comunicare e condividere informazioni, e anche noi possiamo farlo. È giunto il momento di inserirsi in qualcosa come un ampio sforzo di intelligence sulle minacce multipartitico, aiutando le organizzazioni con la risposta agli incidenti ma anche coltivando un forte ecosistema di partner. Penso che sarà straordinariamente vantaggioso.
Quest'ultimo sforzo può anche aiutare le organizzazioni a condividere suggerimenti e approcci per rafforzare le difese, afferma Bhaven Panchal, direttore senior della fornitura di servizi presso Cyware.
"È imperativo per le organizzazioni accelerare i propri processi di sicurezza e colmare le lacune di visibilità nei propri ambienti", osserva. "L'operatività dell'intelligence sulle minacce, l'automazione della risposta alle minacce e la collaborazione sulla sicurezza contribuiranno a guidare questo cambiamento verso un cyberspazio più resiliente per tutti".
Barra laterale: segmenti di settore più a rischio di violazione dei dati
Per quanto riguarda il modo in cui i diversi settori sono stati presi di mira, Verizon DBIR ha rilevato che il segmento finanziario e assicurativo è stato preso di mira più spesso, seguito da vicino dal settore manifatturiero. Le statistiche verticali sono le seguenti:
- Alloggio e servizi di ristorazione · XNUMX€ 254 incidenti, 68 con divulgazione dei dati confermata
- Istruzione • 497 incidenti, 238 con divulgazione dei dati confermata
- Finanziario e Assicurativo • 1,832 incidenti, 480 con divulgazione dei dati confermata
- Sanità • 525 incidenti, 436 con divulgazione dei dati confermata
- Informazione • 2,110 incidenti, 384 con divulgazione confermata dei dati
- Manifatturiero • 1,817 incidenti, 262 con divulgazione dei dati confermata
- Industria mineraria, estrattiva ed estrazione di petrolio e gas + Utilities • 143 incidenti, 47 con divulgazione di dati confermata
- Servizi professionali, scientifici e tecnici • 1,398 incidenti, 423 con divulgazione di dati confermata
- Retail • 406 incidenti, 193 con divulgazione confermata dei dati
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/verizon-dbir-social-engineering-breaches-spiraling-ransomware-costs