Fortinet resenta i risultati dell’ultimo Global Threat Landscape Report semestrale edito dai FortiGuard Labs. Nella prima metà del 2023, i FortiGuard Labs hanno riportato un calo delle organizzazioni che identificano un ransomware, un’attività considerevole tra i gruppi di Advanced Persistent Threat (APT), un cambiamento nelle tecniche MITRE ATT&CK utilizzate dagli malintenzionati e molto altro ancora. Oltre ai risultati evidenziati di seguito è possibile trovare l’analisi completa nel H1 2023 Global Threat Landscape Report.
“La lotta alla criminalità informatica è uno sforzo globale che comprende relazioni solide e fidate e la collaborazione tra i settori pubblico e privato, nonché l’investimento in servizi di sicurezza AI-powered che possono aiutare i team di sicurezza sovraccarichi a coordinare in tempo reale le informazioni sulle minacce all’interno dell’organizzazione. I team di sicurezza non possono permettersi di restare inattivi, visto che le minacce mirate sono sempre più numerose. I FortiGuard Labs di Fortinet continuano a fornire informazioni aggiornate e attuabili, come la Red Zone e la nuova analisi Exploit Prediction Scoring System, per aiutare i team di sicurezza a dare priorità in modo proattivo alle attività di patching e a rispondere alle minacce in modo più rapido che mai”, ha dichiarato Derek Manky, Chief Security Strategist & Global VP Threat Intelligence dei FortiGuard Labs.
Mentre le organizzazioni continuano a trovarsi in una posizione reattiva, a causa della crescente sofisticazione degli attori malevoli e dell’escalation degli attacchi mirati, l’analisi continua del panorama delle minacce nell’H1 2023 Global Threat Landscape Report contribuisce a fornire preziose informazioni che possono servire come sistema di allarme precoce di potenziali attività di minaccia e aiutare i leader della sicurezza a dare priorità alla propria strategia di sicurezza e agli sforzi di patching. I principali risultati del report sono i seguenti:
Le organizzazioni che identificano un ransomware sono in diminuzione: i FortiGuard Labs hanno documentato picchi sostanziali nella crescita delle varianti di ransomware negli ultimi anni, in gran parte alimentati dall’adozione di Ransomware-as-a-Service (RaaS). Tuttavia, hanno anche documentato che nella prima metà del 2023 le organizzazioni hanno rilevato meno ransomware (13%) rispetto a cinque anni fa (22%). Nonostante il calo generale, le organizzazioni devono matenere la guardia alta. Ciò conferma la tendenza riscontrata dai FortiGuard Labs negli ultimi due anni, secondo cui il ransomware e altri attacchi stanno diventando sempre più mirati grazie alla crescente sofisticazione degli aggressori e al desiderio di aumentare il ritorno sull’investimento (ROI) per ogni attacco. La ricerca ha inoltre evidenziato che il volume dei rilevamenti di ransomware continua a essere volatile, chiudendo il primo semestre del 2023 con un aumento di 13 volte rispetto alla fine del 2022, ma con una tendenza complessiva al ribasso in confronto all’anno precedente.
I malintenzionati hanno una probabilità 327 volte maggiore di attaccare le principali vulnerabilità EPSS entro sette giorni, rispetto a tutte le altre CVE: Fin dall’inizio, Fortinet ha contribuito in modo determinante alla raccolta di dati sulle attività di sfruttamento a sostegno dell’Exploit Prediction Scoring System (EPSS). Questo progetto mira a sfruttare un considerevole numero di fonti di dati per prevedere la probabilità e il momento in cui una vulnerabilità sarà sfruttata esternamente. I FortiGuard Labs hanno analizzato sei anni di dati relativi a oltre 11.000 vulnerabilità pubblicate di cui è stato identificato lo sfruttamento e hanno scoperto che le Common Vulnerabilities and Exposures (CVE) classificate con un punteggio EPSS elevato (gravità massima dell’1%) hanno una probabilità 327 volte superiore di essere sfruttate entro sette giorni, rispetto a qualsiasi altra vulnerabilità. Questa analisi, prima nel suo genere, può fungere da campanello d’allarme, fornendo ai CISO e ai team di sicurezza un’indicazione precoce degli attacchi mirati contro le loro organizzazioni. Come la Red Zone, introdotta nell’ultimo Threat Landscape Report, queste informazioni possono aiutare i team di sicurezza a dare sistematicamente la priorità alle attività di patching per ridurre al minimo il rischio per le loro organizzazioni.
La Red Zone continua ad aiutare i CISO a dare priorità agli sforzi di patching: L’analisi dei FortiGuard Labs relativa allo sfruttamento dell’EPSS amplia gli sforzi per definire la Red Zone, che aiuta a quantificare la percentuale di vulnerabilità disponibili sugli endpoint che vengono attaccati attivamente. Nella seconda metà del 2022, la Red Zone si aggirava intorno all’8,9%, il che significa che circa 1.500 CVE delle oltre 16.500 conosciute sono state rilevate come sotto attacco. Nella prima metà del 2023, questo numero è sceso leggermente, all’8,3%. Il divario tra il secondo semestre del 2022 e il primo semestre del 2023 è minimo e sembrerebbe essere il punto di forza per gli attori malintenzionati che puntano alle vulnerabilità degli endpoint. Tuttavia, è importante notare che il numero di vulnerabilità scoperte, presenti e sfruttate fluttua costantemente. Queste variabili e l’efficacia della strategia di gestione delle patch di un’organizzazione potrebbero ridurre drasticamente la superficie della Red Zone. Come l’analisi EPSS di cui sopra, i FortiGuard Labs continuano a investire in modi più efficaci per aiutare le organizzazioni a definire le priorità e a patchare più rapidamente le vulnerabilità.
Quasi un terzo dei gruppi APT era attivo nel primo semestre 2023: Per la prima volta nella storia dei Global Threat Landscape Report, i FortiGuard Labs hanno tracciato il numero di attori delle minacce dietro i trend. La ricerca ha rivelato che 41 (30%) dei 138 gruppi di minacce informatiche monitorati dal MITRE erano attivi nel primo semestre del 2023. Tra questi, Turla, StrongPity, Winnti, OceanLotus e WildNeutron sono stati i più attivi in base ai rilevamenti malware. Data la natura mirata e la durata relativamente breve delle campagne degli APT e dei gruppi informatici degli Stati rispetto alle campagne di lunga durata dei criminali informatici, l’evoluzione e il volume delle attività in questo settore saranno oggetto di attenzione nei prossimi report.
Un confronto quinquennale rivela l’esplosione di exploit unici, varianti di malware e persistenza delle botnet:
- Exploit unici in aumento: Nel primo semestre del 2023, i FortiGuard Labs hanno rilevato più di 10.000 exploit unici, con un aumento del 68% rispetto a cinque anni fa. L’impennata dei rilevamenti di exploit unici evidenzia l’enorme volume di attacchi malevoli di cui i team di sicurezza devono essere consapevoli e come gli attacchi si siano moltiplicati e diversificati in un periodo di tempo relativamente breve. Il rapporto mostra anche un calo del 75% dei tentativi di sfruttamento per organizzazione nell’arco di cinque anni e una diminuzione del 10% degli exploit gravi; il che suggerisce che, sebbene i kit di exploit dei malintenzionati siano cresciuti, gli attacchi sono molto più mirati rispetto a cinque anni fa.
- Esplodono le famiglie e le varianti di malware, con un aumento rispettivamente del 135% e del 175%: Oltre all’aumento significativo delle famiglie di malware e delle varianti, un altro dato sorprendente è che il numero di famiglie di malware che si propagano in almeno il 10% delle organizzazioni globali (una soglia di prevalenza notevole) è raddoppiato negli ultimi cinque anni. Questa escalation nel volume e nella prevalenza del malware può essere attribuita a un maggior numero di gruppi di criminali informatici e APT che negli ultimi anni hanno ampliato le operazioni e diversificato i propri attacchi. Un aspetto importante dell’ultimo Global Threat Landscape Report è stato l’aumento del malware wiper, in gran parte legato al conflitto tra Russia e Ucraina. Tale aumento è proseguito per tutto il 2022, ma è rallentato nella prima metà del 2023. I FortiGuard Labs continuano a osservare l’utilizzo di wiper da parte di attori di Stati, anche se l’adozione di questo tipo di malware da parte dei criminali informatici continua a crescere in quanto prende di mira organizzazioni dei settori tecnologico, manifatturiero, governativo, delle telecomunicazioni e sanitario.
- Le botnet rimangono nelle reti più a lungo che mai: Mentre il report rileva un numero maggiore di botnet attive (+27%) e un tasso di incidenza più elevato tra le organizzazioni negli ultimi cinque anni (+126%), uno dei risultati più scioccanti è l’aumento esponenziale del numero totale di “giorni attivi”, che i FortiGuard Labs definiscono come la quantità di tempo che intercorre tra il primo attacco di un determinato tentativo di botnet su un sensore e l’ultimo. Nei primi sei mesi del 2023, il tempo medio di permanenza delle botnet prima della cessazione delle comunicazioni di command and control (C2) è stato di 83 giorni, con un aumento di oltre 1.000 volte rispetto a cinque anni fa. Questo è un altro esempio in cui la riduzione dei tempi di risposta è fondamentale, perché più a lungo le organizzazioni permettono alle botnet di attaccare, maggiori sono i danni e i rischi per la loro attività.
Secondo Fortinet, per contrastare la criminalità informatica è necessario un approccio “all-in”
I contributi dei FortiGuard Labs alla comunità delle informazioni sulle minacce nell’ultimo decennio hanno avuto un impatto significativo in tutto il mondo, contribuendo a migliorare le protezioni per clienti, partner e governi nella lotta contro la criminalità informatica. L’abbattimento dei silos e l’aumento della qualità delle informazioni sulle minacce aiuta le organizzazioni a ridurre i rischi e migliora l’efficacia complessiva del settore della cybersecurity. I difensori informatici hanno attualmente accesso agli strumenti, alle conoscenze e al supporto per iniziare a modificare l’economia degli attori malintenzionati. Tuttavia, è l’impegno di tutto il settore a collaborare e a condividere le informazioni che creerà finalmente un ecosistema di disturbo più ampio e consentirà al settore di avere la meglio sugli avversari informatici.
In qualità di leader nella cybersecurity di livello enterprise e nell’innovazione di rete, Fortinet aiuta a proteggere oltre mezzo milione di organizzazioni in tutto il mondo, tra cui aziende globali, service provider e organizzazioni governative. Da notare il continuo sviluppo dell’intelligenza artificiale (AI) di Fortinet applicata ai casi d’uso della cybersecurity, sia nei FortiGuard Labs che nel portfolio prodotti, che sta accelerando la prevenzione, il rilevamento e la risposta alle minacce note e sconosciute.
In particolare, i servizi di sicurezza FortiGuard AI-Powered sono utilizzati dai controlli di sicurezza distribuiti su endpoint e applicazioni attraverso sia l’infrastruttura di rete che il cloud. Le tecnologie di rilevamento e risposta appositamente create che sfruttano i motori AI e l’analisi del cloud (tra cui EDR, NDR e altri) possono essere distribuite come estensioni integrate di tali controlli. Fortinet offre anche strumenti di risposta centralizzati, come XDR, SIEM, SOAR, DRPS e altri, che sfruttano l’AI, l’automazione e l’orchestrazione per accelerare la ripresa. Tutti questi strumenti possono ostacolare in modo significativo la criminalità informatica sull’intera superficie di attacco e lungo la kill chain dell’attacco informatico.
Panoramica del report di Fortinet
Questo ultimo Global Threat Landscape Report rappresenta l’intelligence collettiva dei FortiGuard Labs, ricavata dalla vasta gamma di sensori Fortinet che raccolgono miliardi di eventi di minaccia osservati in tutto il mondo nella prima metà del 2023. Utilizzando il framework MITRE ATT&CK, che classifica le tattiche, le tecniche e le procedure degli avversari, il FortiGuard Labs Global Threat Landscape Report descrive come gli attori delle minacce puntano alle vulnerabilità, creano infrastrutture dannose e sfruttano i loro obiettivi.