Categorie
Blog News

E se sei stato compromesso e non te ne sei accorto?

Gli hacker possono vivere nei sistemi informatici per più di sei mesi senza essere rilevati. Le aziende devono diventare proattive per neutralizzare le minacce.

Vediamo un esempio lampante di queste tipologie di eventi con un focus su tempi e modalità per rilevare un attacco informatico:

Google ha pubblicato i dettagli della serie di minacce informatiche perpetrate ai danni di Samsung SDS, sponsorizzate dallo stato nordcoreano.

Il vero dilemma sono stati i tempi per rilevare questo attacco informatico.

Gli hacker nordcoreani hanno finto di essere recruiters di Samsung e preso di mira il reparto cyber security dell’azienda.

Secondo il nuovo rapporto Threat Horizons di Google, pubblicato questa settimana, gli hacker si sono spacciati per reclutatori Samsung e hanno inviato false offerte di lavoro ai dipendenti delle società di sicurezza che vendono software anti-malware.

Un tipico attacco massivo di social engineering con fini di spionaggio industriale e data mining.

Il Google Threat Analysis Group, il team di sicurezza di Google che ha scoperto le e-mail dannose. Ha fatto risalire gli attacchi allo stesso gruppo di hacker che in precedenza aveva preso di mira i sistemi di sicurezza su Twitter e altri social network tra la fine del 2020 e l’inizio del 2021.

Per acquisire credibilità e creare connessioni con i dipendenti dei reparti IT e Cyber security, gli attori hanno creato un blog di ricerca e più profili Twitter per interagire con potenziali obiettivi. Hanno usato questi account Twitter per pubblicare link al loro blog, video dei loro presunti exploit e per creare follow-up e ri-twittare i post di altri account tenuti sotto controllo.

Gli hacker si presentano come colleghi, esperti di sicurezza informatica, tramite profili LinkedIn, due dei quali ancora attivi, carpiscono informazioni facendo credere a dipendenti ed esperti IT di essere in cerca di figure professionali.

Tutto questo accadeva dall’inizio del 2021, senza che la leadership o il security management se ne accorgesse.

Samsung comunica di aver fatto report su tutti i profili sospetti fin ora rilevati.

Parliamo di circa 10 mesi per rilevare l’attacco informatico!

Un esempio di mail utilizzata dai criminali informatici
Dettagli:

L’attacco è particolarmente subdolo poiché corrompe i dipendenti che involontariamente o volontariamente potrebbero fornire al gruppo l’accesso ai mezzi (dati, password, procedure, ecc…) per eseguire un attacco mirato alla catena di approvvigionamento contro le organizzazioni che utilizzano gli anti-malware dell’azienda sotto attacco.

Le e-mail inviate durante l’attacco si ponevano come descrizioni di lavoro legittime per un ruolo in Samsung. La loro tattica è stata quella di inviare prima il PDF (figura precedente) non valido, che non si può aprire in un lettore PDF standard; in seguito, quando i dipendenti rispondono alla mail, inviano il file dannoso. File che aperto consente l’utilizzo arbitrario della macchina del dipendente all’hacker.

Gli hacker possono non essere scoperti per lunghi periodi e agire indisturbati sulle reti aziendali

Gli attacchi informatici rappresentano un rischio sempre più grave per le organizzazioni, ma molti membri delle leadership sembrano ritenere che la loro organizzazione non sarà presa di mira.

La realtà è che anche aziende Enterprise, esperte di settore e con reparti dedicati possono subire attacchi.

Se un’azienda è scoperta e non ha idea dei propri punti deboli, delle vulnerabilità che la caratterizzano e del valore dei dati in suo possesso è esposta a qualsiasi tipo di rischio.

Molte aziende che affermano di non essere prese di mira saranno già state violate, semplicemente non lo sanno ancora.

A riprova di ciò, il Mandiant Security Effectiveness Report 2020 ha rilevato che il 53% degli attacchi informatici riusciti si infiltra nelle organizzazioni senza essere rilevato e il 91% di tutti gli incidenti non ha generato alcun report!

Security Architect srl: Rilevamento e contenimento delle violazioni

La capacità delle organizzazioni di rilevare gli attacchi informatici ha effetti tangibili sulla produttività e redditività.

Vari rapporti hanno rilevato una correlazione tra il tempo necessario per individuare un’intrusione e il costo del ripristino.

Uno studio IBM ha stimato che le organizzazioni che hanno contenuto una violazione in meno di 30 giorni hanno risparmiato più di 900.000€ rispetto a quelle che impiegano più tempo.

Nel frattempo, un rapporto del Ponemon Institute suggerisce che le organizzazioni dovrebbero mirare a identificare una violazione entro 100 giorni.

Ha, inoltre, rilevato che il costo medio per identificare una violazione 100 giorni è di circa 5.300.000€, ma per le violazioni che richiedono più tempo per l’identificazione, il costo medio è più di 7 milioni di euro.

Esiste una correlazione simile in termini di contenimento di una violazione. Le violazioni che hanno richiesto meno di 30 giorni per essere contenute hanno avuto un costo medio di 4milioni. Mentre violazioni non contenute in tempi brevi arrivano a costare all’azienda fino al doppio.

La buona notizia è che l’evoluzione dei cyber attacks è accompagnata da un aumento dei metodi di detection e restraint.

L'importanza della Protezione dei Dati

Perchè rivolgersi ad un’organizzazione di esperti

Secondo il rapporto M-Trends 2020 di Mandiant, la maggior parte delle organizzazioni violate viene informata da esperti esterni. Ha rilevato che il 53% delle violazioni è stato scoperto da un’azienda esterna.

Le violazioni dei dati vengono quasi sempre contenute prima se vengono rilevate dal personale di un’organizzazione. Eseguendo valutazioni di routine delle potenziali vulnerabilità nella tua organizzazione. Mitigare i danni delle violazioni e identificare le vulnerabilità prima che si verifichi una violazione, vien da sé, che si tramuta in un enorme risparmio economico e in una tranquillità per il business.

Vediamo insieme alcuni metodi per evitare, contenere e contrastare attacchi esterni:

Tutti i servizi erogati da Security Architect srl sono scalabili e personalizzabili in base agli asset e alle necessità del business e tutti i nostri test e report sono eseguiti da personale altamente qualificato che classifica e valuta le singole vulnerabilità.

scopri i nostri servizi:
5 requisiti di sicurezza per l’Operational Technology dei sistemi industriali
Blog News

5 requisiti di sicurezza per l’Operational Technology dei sistemi industriali

Non molto tempo fa, c'era una netta separazione tra la tecnologia operativa (Operational Technology) che guida le funzioni fisiche di un'azienda e la tecnologia informatica (Information Technology) che gestisce i dati di un'azienda....
Leggi tutto
Return On Investment nella sicurezza informatica
Blog

Return On Investment nella sicurezza informatica

La sicurezza informatica mira a limitare e quasi annullare gli eventi, le minacce sulla tua rete. Misurare il Return On Investment in cybersecurity significa quantificare le eventuali perdite in assenza delle misure adottate....
Leggi tutto
Cybersecurity Awareness Month: consigli per la vita quotidiana online
Blog News

Cybersecurity Awareness Month: consigli per la vita quotidiana online

Ottobre volge al termine. Siamo in quel periodo dell'anno. No, non Halloween. La conclusione del mese della sensibilizzazione alla sicurezza informatica (Cybersecurity Awareness Month). Il mese dei promemoria su quanto sia importante essere...
Leggi tutto
5 Network Security Threats e come proteggersi
Blog

5 Network Security Threats e come proteggersi

I network security threats altro non sono che la minacce alla sicurezza della nostra rete. La sicurezza informatica oggi conta più che mai perché la tecnologia è parte di tutte le nostre attività...
Leggi tutto
Evita interruzioni sulla tua rete (in senso stretto) industriale. Come?
Blog News

Evita interruzioni sulla tua rete (in senso stretto) industriale. Come?

Il protocollo Spanning Tree (STP) ha un degno successore per colmare i suoi gap e rendere all'occorrenza la convergenza L2 pressoché istantanea e quindi trasparente per i sistemi connessi alla rete: CISCO Resilient...
Leggi tutto
Perché il Continuous Security Testing è un must per l’impresa moderna?
Blog Case Studies

Perché il Continuous Security Testing è un must per l’impresa moderna?

Il mercato globale della sicurezza informatica è fiorente, uno dei servizi più richiesti dalle organizzazioni enterprise è il Continuous Security Testing. Altro non è che il processo che ricerca continuamente nelle applicazioni web...
Leggi tutto

News Letter

Leave this field blank
Per saperne di piÙ

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.