I moderni attacchi informatici sono raramente incidenti isolati. Più spesso, fanno parte di campagne durature condotte da attori di minacce persistenti. Una volta compromesso con successo un ambiente, gli aggressori tornano spesso, sia perché hanno ancora accesso, sia perché le debolezze che hanno permesso la violazione rimangono sfruttabili. Come tutti i criminali, tendono a privilegiare il percorso di minor resistenza. Se le difese di un'organizzazione appaiono deboli o poco monitorate, diventa un bersaglio più attraente di un'organizzazione con controlli di sicurezza più solidi e capacità di rilevamento visibili.

Se un'organizzazione è stata attaccata una volta, è molto probabile che venga presa di mira di nuovo. Capire perché gli attacchi informatici si ripetono è essenziale per costruire una strategia di cybersecurity efficace.

La portata e la persistenza degli attacchi informatici

Gli attacchi informatici si verificano su una scala globale enorme. Secondo una ricerca di settore, ogni giorno si verificano più di 2.200 attacchi informatici, il che equivale a circa un attacco ogni 39 secondi. Questo dato riflette la crescente automazione e industrializzazione della criminalità informatica.

Ancora più preoccupante è la frequenza con cui le organizzazioni vengono prese di mira più di una volta.

Una ricerca condotta su diversi rapporti di intelligence sulle minacce evidenzia uno schema chiaro:

    • Il 56% delle organizzazioni ha subito più di un attacco ransomware nell'arco di due anni.
    • Il 38% delle vittime di ransomware riferisce di essere stato attaccato più volte.
    • Fino all'80% delle organizzazioni che hanno pagato un riscatto sono state attaccate di nuovo, a volte dallo stesso attore delle minacce.
    • Una vittima di ransomware su tre subisce un attacco ripetuto dopo la violazione iniziale.

Queste cifre evidenziano una realtà fondamentale della criminalità informatica moderna: una volta che gli aggressori sanno che un'organizzazione può essere violata, diventa un obiettivo noto e attraente.

Dal punto di vista dell'attaccante, tornare a un'organizzazione già compromessa richiede uno sforzo di gran lunga inferiore rispetto all'identificazione di una nuova vittima.

Gli aggressori raramente se ne vanno una volta ottenuto l'accesso

Un altro motivo per cui gli attacchi informatici sono raramente eventi unici è che gli aggressori spesso mantengono un accesso nascosto all'interno delle reti compromesse.

Quando gli attori delle minacce entrano per la prima volta, raramente eseguono immediatamente il loro obiettivo finale. Al contrario, in genere stabiliscono meccanismi di persistenza che consentono loro di tornare in un secondo momento. Questi possono includere

    • credenziali compromesse o rubate
    • account di amministratore nascosti
    • attività pianificate o strumenti di accesso remoto
    • backdoor di malware o canali di comando e controllo.

I team di sicurezza definiscono il tempo che intercorre tra la compromissione iniziale e il rilevamento come tempo di permanenza dell'attaccante. Durante questo periodo gli aggressori mappano silenziosamente l'ambiente, aumentano i privilegi e identificano i sistemi critici.

Quando si verifica la fase visibile di un attacco, come la distribuzione di ransomware o il furto di dati, gli aggressori possono già controllare più sistemi all'interno della rete.

Se la risposta agli incidenti si concentra solo sui sintomi immediati dell'attacco, questi punti di appoggio nascosti possono rimanere in funzione. Di conseguenza, gli aggressori possono tornare settimane o mesi dopo.

La criminalità informatica opera come un ecosistema

La criminalità informatica si è evoluta in un ecosistema complesso e altamente specializzato. I diversi attori delle minacce si concentrano ora su fasi specifiche del ciclo di vita dell'attacco.

Ad esempio:

    • I broker dell'accesso iniziale sono specializzati nell'accesso alle reti aziendali.
    • Gli operatori di ransomware distribuiscono malware e conducono estorsioni.
    • I data broker vendono le informazioni rubate sui mercati clandestini.

Questa divisione del lavoro significa che una singola compromissione può portare a più attacchi nel tempo.

Un access broker iniziale potrebbe vendere l'accesso alla rete a un gruppo di ransomware. Questo gruppo di ransomware potrebbe poi rubare i dati e rivenderli ad altri criminali. In alcuni casi, la stessa organizzazione può subire diversi attacchi separati che derivano tutti dalla stessa violazione originale.

Le ricerche hanno dimostrato che gli attacchi ransomware ripetuti sono spesso portati avanti dallo stesso attore delle minacce che ha condotto l'attacco originale, dimostrando come gli aggressori riutilizzino percorsi di accesso noti.

Le stesse esposizioni alla sicurezza rimangono sfruttabili

I ripetuti attacchi informatici sono spesso segno che le esposizioni di sicurezza sottostanti non sono state completamente affrontate.

Molte violazioni riuscite si verificano a causa di debolezze comuni, quali:

    • vulnerabilità del software non patchate
    • gestione debole delle identità e degli accessi
    • mancanza di autenticazione a più fattori
    • privilegi eccessivi
    • servizi cloud mal configurati
    • visibilità limitata sugli ambienti ibridi

Se questi problemi non vengono identificati e non vengono classificati come prioritari, gli aggressori possono semplicemente ripetere lo stesso percorso di attacco.

Ad esempio, se gli aggressori ottengono l'accesso tramite credenziali compromesse, la sola reimpostazione della password potrebbe non essere sufficiente. Senza controlli di identità più forti, come l'autenticazione a più fattori, gli aggressori possono colpire un altro utente con la stessa tecnica.

Allo stesso modo, l'applicazione di patch a un singolo sistema vulnerabile non elimina il rischio se esposizioni simili sono presenti altrove nell'ambiente.

Per questo motivo molti responsabili della sicurezza si stanno orientando verso una gestione continua dell'esposizione alle minacce, che si concentra sull'identificazione e la riduzione delle esposizioni sfruttabili prima che gli aggressori possano utilizzarle.

Gli attaccanti si muovono più velocemente che mai

Anche la velocità degli attacchi informatici moderni sta aumentando.

Le ricerche di Threat Intelligence dimostrano che gli aggressori possono spostarsi lateralmente all'interno delle reti compromesse con estrema rapidità. Secondo i dati di Crowdstrike, il tempo che intercorre tra la compromissione iniziale e il movimento interno è sceso a meno di 30 minuti.

L'automazione, le campagne di phishing abilitate dall'intelligenza artificiale e gli strumenti di furto di credenziali consentono agli aggressori di operare su scala. Questo rende più facile per gli attori delle minacce colpire ripetutamente le organizzazioni e adattare le loro tecniche.

Di conseguenza, le organizzazioni devono presumere che gli attacchi non solo si ripeteranno, ma si evolveranno anche in termini di sofisticazione.

Come Integrity360 aiuta le organizzazioni

La prevenzione di attacchi informatici ripetuti richiede più che controlli di sicurezza reattivi. Le organizzazioni hanno bisogno di visibilità continua, gestione proattiva del rischio e capacità di risposta rapida.

Integrity360 offre una serie di servizi di cybersecurity progettati per affrontare queste sfide.

Rilevamento e risposta gestiti (MDR)

Il servizio Managed Detection and Response (MDR) di Integrity360 offre un monitoraggio continuo su endpoint, reti, ambienti cloud e identità.

Analizzando la telemetria della sicurezza in tempo reale, MDR consente alle organizzazioni di rilevare attività sospette nelle prime fasi del ciclo di vita dell'attacco. Ciò riduce significativamente il tempo di permanenza degli aggressori e impedisce che le minacce si trasformino in gravi violazioni.

Il monitoraggio continuo aiuta anche a identificare i tentativi di attacco ripetuti prima che abbiano successo.

cyberfiremdr

Gestione continua dell'esposizione alle minacce (CTEM)

La gestione continua dell'esposizione alle minacce (CTEM) si concentra sull'identificazione e sulla definizione delle priorità delle esposizioni alla sicurezza che hanno maggiori probabilità di essere sfruttate dagli aggressori.

Invece di affidarsi esclusivamente alla scansione periodica delle vulnerabilità, il CTEM fornisce una visione continua della superficie di attacco di un'organizzazione. Ciò consente ai team di sicurezza di concentrare gli sforzi di bonifica sui rischi più importanti.

Affrontando queste esposizioni in modo proattivo, le organizzazioni possono evitare che gli aggressori riutilizzino gli stessi percorsi di attacco.

ctem-1

Risposta agli incidenti (IR)

Quando si verifica una violazione, è essenziale un rapido contenimento.

Il team di Incident Response di Integrity360 aiuta le organizzazioni a indagare e contenere gli attacchi, a identificare le cause principali e a eliminare i meccanismi di persistenza che gli aggressori possono aver stabilito.

È importante che la risposta agli incidenti vada oltre il semplice ripristino dei sistemi. Si concentra sulla garanzia che gli aggressori non possano tornare attraverso gli stessi percorsi di accesso.

IR Brochure new

La resilienza informatica richiede una difesa continua

Gli attacchi informatici raramente sono eventi isolati. Fanno parte di campagne persistenti condotte da avversari che si adattano, ritornano e sfruttano ripetutamente le stesse debolezze.

Le statistiche mostrano che le organizzazioni subiscono spesso attacchi ripetuti, soprattutto quando le esposizioni sottostanti rimangono irrisolte.

Per le organizzazioni, la lezione è chiara. La sicurezza informatica non può basarsi su difese puntuali o su sforzi di rimedio una tantum. Deve essere continua, proattiva e incentrata sull'identificazione delle esposizioni prima che gli aggressori le sfruttino.

Combinando il monitoraggio continuo, la gestione dell'esposizione e una risposta efficace agli incidenti, le organizzazioni possono ridurre in modo significativo la probabilità di attacchi ripetuti e costruire una maggiore resilienza informatica a lungo termine.

Contact Us

FAQ: Perché gli attacchi informatici raramente sono una tantum

Perché gli aggressori tornano dopo un attacco informatico?

Gli aggressori spesso ritornano perché conoscono già l'ambiente dell'organizzazione. Se le vulnerabilità, le credenziali o i punti di accesso rimangono sfruttabili, ripetere l'attacco richiede uno sforzo di gran lunga inferiore a quello necessario per colpire una nuova organizzazione.

Con quale frequenza le organizzazioni subiscono attacchi informatici ripetuti?

Le ricerche mostrano che il 38% delle vittime di ransomware viene attaccato più di una volta e oltre la metà delle organizzazioni subisce più attacchi nell'arco di due anni.

Quali sono le cause di ripetute violazioni informatiche?

Tra le cause più comuni vi sono le vulnerabilità non patchate, la debolezza dei controlli sull'identità, la scarsa visibilità degli ambienti e una risposta incompleta agli incidenti che non riesce a eliminare la persistenza degli aggressori.

Come possono le organizzazioni prevenire attacchi informatici ripetuti?

La prevenzione degli attacchi ripetuti richiede un monitoraggio continuo, una gestione proattiva dell'esposizione, una forte sicurezza delle identità e capacità efficaci di risposta agli incidenti.