Le minacce per la cyber security delle aziende stanno crescendo, e questo non sorprende ormai nessuno. Il segnale che viene dal report annuale Threat Hunting di CrowdStrike è però che questa crescita sta assumendo ritmi decisamente preoccupanti. Complessivamente, i ricercatori della società - per la precisione del suo team di threat hunting Falcon OverWatch - indicano che i tentativi di intrusione nei sistemi delle imprese sono aumentati del 60% tra il 2020 e il 2021. Un incremento delle azioni ostili che non risparmia alcun settore verticale di mercato o area geografica.

Gli esperti in threat hunting di Falcon OverWatch hanno identificato e contribuito a bloccare più di 65 mila potenziali intrusioni, approssimativamente una ogni otto minuti. Da questa attività deriva la mole di informazioni che ha consentito di trarre le principali conclusioni del report. Tra le principali, il fatto che gli attaccanti sono sempre più efficienti nel violare la cyber security delle aziende. Il tempo medio di breakout di un attacco – ossia il tempo necessario per il primo spostamento laterale dal nodo di accesso iniziale verso altri sistemi della rete – nel 2021 è stato in media di 92 minuti. Tre volte in meno rispetto al 2020.

CrowdStrike segnala anche che la penetrazione iniziale attraverso malware sta lasciando strada a tecniche di infiltrazione più sofisticate e meno identificabili. Tra tutti i rilevamenti di attacco registrati negli ultimi tre mesi, il 68% non prevedeva l'uso di malware. Questo anche grazie alla sempre più frequente attività degli access broker, ossia gli attaccanti che prima violano le reti e poi vendono ad altri criminali la possibilità di accedervi liberamente, senza portare loro stessi un attacco da zero. Non è l'unico modo in cui si monetizza il cyber crime: le istanze di cryptojacking sono praticamente raddoppiate nel 2021, spinte dal nuovo aumento dei prezzi delle criptovalute.
Gli state-sponsored actor più attivi nel periodo considerato da CrowdStrike sono collegati alle solite vecchie conoscenze degli esperti di cyber security: Cina, Corea del Nord, Iran. È da queste nazioni, infatti, che è venuta la maggior parte delle intrusioni mirate scoperte da Falcon OverWatch. La palma di gruppo criminale più attivo va invece in Russia: Wizard Spider si conferma ancora una volta come un attore ostile particolarmente prolifico, con all'attivo quasi il doppio dei tentativi di intrusione rispetto a qualsiasi altro gruppo eCrime.

Le strade per difendersi in questo scenario sempre più allarmante? I capisaldi sono bene o male sempre gli stessi, secondo CrowdStrike: threat hunting, threat intelligence, visibilità completa sulle infrastrutture per identificare subito gli attacchi, misure di EDR potenziate dal machine learning per reagire il prima possibile.