Mandiant ha presentato M-Trends 2022, un rapporto annuale che fornisce dati tempestivi e approfondimenti basati sulle indagini in prima linea Mandiant e attività di remediaton in merito agli attacchi informatici ad alto impatto avvenuti in tutto il mondo. Il rapporto del 2022, che tiene traccia delle metriche di indagine tra il 1° ottobre 2020 e il 31 dicembre 2021, rivela che, sebbene siano stati compiuti progressi significativi nel rilevamento e nella risposta alle minacce, Mandiant continua a vedere gli avversari innovare e adattarsi per portare a termine la loro missione in ambienti mirati.

Il valore mediano del dwell time globale scende a tre settimane

Secondo il rapporto M-Trends 2022, il dwell time mediano globale, che viene calcolato come il numero mediano di giorni in cui un aggressore è presente nell’ambiente di un bersaglio prima di essere rilevato, è diminuito da 24 giorni nel 2020 a 21 giorni nel 2021. Scavando più a fondo, il rapporto rileva che la regione APAC ha registrato il più grande calo, scendendo a soli 21 giorni nel 2021 rispetto ai 76 giorni del 2020. Anche il dwell time mediano è sceso in EMEA, scendendo a 48 giorni nel 2021 rispetto a 66 giorni dell’anno prima. Nelle Americhe, è rimasto stabile a 17 giorni.

Confrontando il modo in cui le minacce sono state rilevate in diverse regioni, il rapporto ha rilevato che in EMEA e APAC, la maggior parte delle intrusioni nel 2021 è stata identificata da terze parti esterne (rispettivamente 62% e 76%), un’inversione di quanto osservato nel 2020. Nelle Americhe, il rilevamento per fonte è rimasto costante con la maggior parte delle intrusioni rilevate internamente dalle stesse organizzazioni (60%).

Secondo il rapporto, la migliore visibilità e risposta alle minacce da parte delle organizzazioni, nonché la pervasività del ransomware, che ha un dwell time mediano significativamente inferiore rispetto alle intrusioni non ransomware, sono probabilmente fattori determinanti alla base della riduzione del tempo di dwell time mediano.

Nuove minacce emergono mentre la Cina aumenta l’attività di spionaggio

Mandiant continua ad ampliare la sua vasta base di conoscenze sulle minacce attraverso indagini in prima linea, accesso al mercato criminale, telemetria di sicurezza e l’uso di metodi di ricerca e set di dati proprietari, analizzati da oltre 300 professionisti dell’intelligence in 26 paesi. Come risultato dell’incessante raccolta e analisi delle informazioni, gli esperti Mandiant hanno iniziato a monitorare oltre 1.100 nuovi gruppi di minacce durante questo periodo di riferimento di M-Trends. Mandiant ha anche iniziato a monitorare 733 nuove famiglie di malware, di cui l’86% non era disponibile pubblicamente, continuando la tendenza alla disponibilità di nuove famiglie di malware limitate o probabilmente sviluppate privatamente, secondo il rapporto.

M-Trends 2022 rileva anche un riallineamento e una riorganizzazione delle operazioni di spionaggio informatico in Cina per allinearle all’attuazione del 14 ° piano quinquennale cinese nel 2021. Il rapporto avverte che le priorità a livello nazionale incluse nel piano “segnalano un imminente aumento di Gli attori del nesso cinese che condurranno tentativi di intrusione contro la proprietà intellettuale o altre preoccupazioni economiche strategicamente importanti, nonché prodotti dell’industria della difesa e altre tecnologie a duplice uso nei prossimi anni”.

Rafforzamento della postura di sicurezza

Mandiant continua ad impegnarsi ad aiutare le organizzazioni a rimanere al sicuro dalle minacce informatiche e a rafforzare la fiducia nella loro disponibilità alla difesa informatica. Per supportare questa missione, Mandiant fornisce suggerimenti per la riduzione del rischio in tutto il report M-Trends, inclusa la mitigazione delle configurazioni errate comuni quando si utilizza Active Directory in locale, servizi di certificazione, piattaforme di virtualizzazione e infrastruttura basata su cloud. Il rapporto rafforza inoltre le considerazioni a sostegno dei programmi di sicurezza proattivi, ribadendo l’importanza di iniziative di sicurezza di lunga data come la gestione delle risorse, le politiche di conservazione dei registri e la gestione delle vulnerabilità e delle patch.

Per supportare ulteriormente gli sforzi della comunità e del settore, Mandiant mappa continuamente i suoi risultati sul framework MITRE ATT&CK, mappando oltre 300 tecniche Mandiant aggiuntive sul framework nel 2021. Il rapporto M-Trends rileva che le organizzazioni dovrebbero dare la priorità alle misure di sicurezza da implementare in base alla probabilità che tecniche specifiche vengano utilizzate durante un’intrusione. Secondo il rapporto, esaminando la prevalenza dell’utilizzo della tecnica durante le recenti intrusioni, le organizzazioni sono meglio attrezzate per prendere decisioni di sicurezza intelligenti.

Ulteriori takeaway dal rapporto M-Trends 2022 includono:

  • Vettore di infezione: per il secondo anno consecutivo, gli exploit sono rimasti il ​​vettore di infezione iniziale più frequentemente identificato. Infatti, degli incidenti a cui Mandiant ha risposto durante il periodo di riferimento, il 37% è iniziato con lo sfruttamento di una vulnerabilità di sicurezza, rispetto al phishing, che rappresentava solo l’11%. I compromessi della catena di approvvigionamento sono aumentati notevolmente, da meno dell’1% nel 2020 al 17% nel 2021.
  • Settori target interessati: servizi commerciali e professionali e finanziari sono stati i primi due settori presi di mira dagli avversari (rispettivamente 14%), seguiti da sanità (11%), vendita al dettaglio e ospitalità (10%) e tecnologia e governo (entrambi al 9%).
  • Nuove TTP multiformi per estorsioni e ransomware: Mandiant ha osservato vari aggressori estorsioni e ransomware che utilizzano nuove tattiche, tecniche e procedure (TTP) per distribuire il ransomware in modo rapido ed efficiente in tutti gli ambienti aziendali, osservando che l’uso pervasivo dell’infrastruttura di virtualizzazione negli ambienti aziendali lo ha reso un punto di riferimento privilegiato bersaglio per gli aggressori ransomware.

“Il rapporto M-Trends di quest’anno rivela nuove informazioni sull’evoluzione degli attori delle minacce e sull’utilizzo di nuove tecniche per ottenere l’accesso agli ambienti di destinazione. Sebbene gli exploit continuino a prendere piede e rimangano il vettore di infezione più frequentemente identificato, il rapporto rileva un aumento significativo degli attacchi alla catena di approvvigionamento. Al contrario, quest’anno si è registrato un notevole calo del phishing, che riflette la maggiore consapevolezza e capacità delle organizzazioni di rilevare e bloccare meglio questi tentativi. Alla luce del continuo aumento dell’uso degli exploit come vettore di compromissione iniziale, le organizzazioni devono mantenere l’attenzione sull’esecuzione dei fondamenti della sicurezza, come la gestione degli asset, dei rischi e delle patch”. – Jurgen Kutscher, Vicepresidente esecutivo, Service Delivery, Mandiant

“Le molteplici estorsioni e i ransomware continuano a porre enormi sfide alle organizzazioni di tutte le dimensioni e in tutti i settori, con il rapporto M-Trends di quest’anno che rileva un aumento specifico degli attacchi contro l’infrastruttura di virtualizzazione. La chiave per costruire la resilienza sta nella preparazione. Lo sviluppo di un solido piano di preparazione e di un processo di ripristino ben documentato e testato può aiutare le organizzazioni a superare con successo un attacco e tornare rapidamente alle normali operazioni aziendali”. – Jurgen Kutscher, Vicepresidente esecutivo, Service Delivery, Mandiant

“L’attività di spionaggio informatico cinese è aumentata in modo significativo negli ultimi anni, con l’Asia e gli Stati Uniti che rimangono le regioni più prese di mira. Il rapporto M-Trends di quest’anno rileva un’attenzione specifica alle organizzazioni governative e all’uso delle stesse famiglie di malware tra più set di attori di spionaggio informatico, probabilmente a causa della condivisione di risorse e strumenti da parte di gruppi disparati. Inoltre, con l’attuazione del quattordicesimo piano quinquennale cinese nel 2021, prevediamo che l’attività di spionaggio informatico continuerà ad accelerare a sostegno della sicurezza nazionale e degli interessi economici della Cina nei prossimi anni”. – Charles Carmakal, Vicepresidente senior e Chief Technology Officer, Mandiant

“Diverse tendenze degli anni precedenti sono proseguite nel 2021. Mandiant ha riscontrato più gruppi di minacce rispetto a qualsiasi altro periodo precedente, inclusi i gruppi scoperti di recente. In una tendenza parallela, in questo periodo abbiamo iniziato a monitorare più nuove famiglie di malware che mai. Nel complesso, questo parla di un panorama di minacce che continua a crescere in volume e diversità delle minacce. Continuiamo anche a vedere che il guadagno finanziario è una motivazione primaria per gli aggressori osservati, come evidenziano i casi di studio di quest’anno su FIN12 e FIN13. Se passiamo alla prospettiva del difensore, vediamo diversi miglioramenti nonostante un panorama di minacce incredibilmente impegnativo. Ad esempio, questo rapporto M-Trends ha il tempo di permanenza mediatico più basso mai registrato. Inoltre, APAC ed EMEA hanno mostrato i maggiori miglioramenti in diverse categorie di rilevamento delle minacce rispetto agli anni precedenti”. – Sandra Joyce, vicepresidente esecutivo,

 

M-Trends 2022 report: https://www.mandiant.com/m-trends

https://www.mandiant.com/company/press-release/m-trends-2022

Twitter
Visit Us
LinkedIn
Share
YOUTUBE