Nella cybersecurity, la prevenzione è importante ma le strategie di sicurezza passiva non sono bastano a contrastare le sempre più subdole metodologie di attacco e ingresso degli hacker all’interno dell’infrastruttura IT/OT aziendale. E’ difatti essenziale che oggi le aziende implementino un monitoraggio attivo della rete, che consenta una difesa coordinata, cruciale per accorciare i tempi di risposta. Nel panorama di soluzioni di detection & response – EDR per la protezione degli end-point, NDR per il monitoraggio delle attività e del traffico all’interno della rete (Network detection & response), e più in generale XDR (eXtended detection & response) -, il futuro di tutte queste soluzioni sono quindi i sistemi SOAR, Security Orchestration, Automation and Response.
I sistemi SOAR rappresentano una evoluzione dei sistemi MDR, Managed Detection & Response: in questi infatti tutte le attività che arrivano dai sistemi EDR e NDR confluiscono in piattaforme MDR, infrastrutture gestite da esperti di cybsersecurity solitamente esterni all’azienda, in quanto all’interno delle organizzazioni nella maggioranza dei casi mancano le adeguate competenze di sicurezza informatica necessarie a garantire una corretta interpretazione dei dati rilevati, essenziale per adottare le conseguenti contromisure di sicurezza. In particolare, i sistemi SOAR fanno confluire in un’unica piattaforma i log di più sistemi, dunque dell’EDR, delle NDR, del firewall, del sistema di analisi e via dicendo. Meccanismi di deep learning provvedono quindi a coordinare una risposta integrata: il sistema è infatti in grado di imparare quella che è la normalità di quanto accade nella rete aziendale, e non appena il traffico o i log mutano, il sistema se ne accorge e isola in automatico il device all’origine del problema rilevato.
La presenza di un sistema di rilevamento e risposta gestito, anche mediante processi di automazione con tecnologie di AI e deep learning, incrementa la postura di sicurezza informatica e la resilienza delle rete in una azienda. Ciò è dimostrato in maniera chiara dai dati di un recente rapporto elaborato da Sophos, che ha analizzato in dettaglio i comportamenti e le tecniche degli autori di attacchi informatici in oltre 400 casistiche MDR e IR (Incident Response) affrontate nel 2024. Tra i risultati più interessanti, la crescita, quasi triplicata, delle aziende colpite che non facevano uso di autenticazione multifattore (MFA), salita dal 22% del 2022 al 63% del 2024. Il deficit di MFA appare dunque un elemento che facilita molto la vita ai cybercriminali, aprendo le porte dell’azienda agli attacchi malevoli.
L’uso di credenziali compromesse è quindi risultato preponderante (41%) quale strumento primario degli attacchi cyber per il secondo anno consecutivo. In particolare, il 71% dei cybercriminali è riuscito a violare le reti delle vittime attraverso servizi remoti esterni, inclusi dispositivi edge come firewall e VPN. L’abuso del tool di Microsoft Remote Desktop Protocol è stato il punto di accesso più rilevato (84%) nelle casistiche MDR/IR. Ancora, gli hacker hanno potuto disporre di credenziali compromesse nel 79% dei casi di violazione attraverso servizi remoti esterni.
Il report esamina quindi in particolare casistiche di ransomware, esfiltrazione di dati ed estorsione, al fine di calcolare la velocità con cui gli attaccanti si sono mossi nella rete aziendale lungo le varie fasi di un attacco informatico. In queste tre tipologie di attività, il tempo medio trascorso fra inizio dell’attacco ed esfiltrazione è stato di 72,98 ore, pari a 3,04 giorni. Interessante infine notare come il tempo di permanenza, o dwell time – ovvero il tempo che intercorre tra l’inizio di un attacco e il suo rilevamento – sia calato notevolmente, da 4 a 2 giorni, soprattutto grazie all’introduzione di strategie MDR. Ciò conferma come strategie di cybersecurity che implementano il monitoraggio proattivo della rete, con sistemi NDR, MDR e SOAR, aiutino concretamente le aziende nel rilevare gli attacchi e le attività sospette in tempi più brevi, migliorando quindi la risposta e i risultati. Il report mostra infatti che il tempo di permanenza nelle casistiche MDR sia pari a soli 3 giorni per gli attacchi ransomware, e ad un solo giorno per le altre tipologie di attacco. Di contro, il tempo di permanenza nelle casistiche IR è risultato stabile a 4 giorni per il ransomware, e di 11,5 giorni per tutte le altre metodologie di attacco.