Secondo Tenable, le vulnerabilità note “quelle per le quali sono già state rese disponibili le patch” sono il veicolo principale per gli attacchi informatici.
Il rapporto di Tenable categorizza importanti dati di vulnerabilità e analizza il comportamento degli aggressori per aiutare le organizzazioni a informare i loro programmi di sicurezza e a dare priorità agli sforzi di sicurezza per concentrarsi sulle aree di rischio più significative e interrompere i percorsi di attacco, riducendo in ultima analisi l’esposizione agli incidenti informatici.
Tra gli eventi analizzati, sono stati esposti più di 2,29 miliardi di record, pari a 257 terabyte di dati. Oltre il 3% di tutte le violazioni di dati identificate sono state causate da database non protetti, con perdite di oltre 800 milioni di record.
Gli attori delle minacce continuano a trovare successo grazie a vulnerabilità sfruttabili, note e comprovate, che le organizzazioni non sono riuscite a correggere o a correggere con successo.
Secondo il rapporto di Tenable, il gruppo numero uno delle vulnerabilità più frequentemente sfruttate rappresenta un ampio gruppo di vulnerabilità note, alcune delle quali sono state originariamente divulgate nel 2017. Le organizzazioni che non hanno applicato le patch del fornitore per queste vulnerabilità sono state a maggior rischio di attacchi per tutto il 2022.
Le vulnerabilità più sfruttate all’interno di questo gruppo includono diverse falle ad alta gravità in Microsoft Exchange, nei prodotti Zoho ManageEngine e nelle soluzioni di rete privata virtuale di Fortinet, Citrix e Pulse Secure.
Vulnerabilità conosciute e sfruttabili
Per le altre quattro vulnerabilità più comunemente sfruttate, tra cui Log4Shell, Follina, una falla di Atlassian Confluence Server e Data Center e ProxyShell, le patch e le mitigazioni sono state molto pubblicizzate e prontamente disponibili.
Infatti, quattro delle prime cinque vulnerabilità zero-day sfruttate in natura nel 2022 sono state rese note al pubblico lo stesso giorno in cui il fornitore ha rilasciato le patch e le indicazioni per la mitigazione.
“I dati evidenziano che le vulnerabilità conosciute da tempo spesso causano più danni di quelle nuove e scintillanti, ha dichiarato Bob Huber, chief security officer e responsabile della ricerca di Tenable.
“I cyberattaccanti hanno ripetutamente successo sfruttando queste vulnerabilità trascurate per ottenere l’accesso a informazioni sensibili. Numeri come questi dimostrano in modo inequivocabile che le misure di cybersecurity reattive post-evento non sono efficaci nel mitigare il rischio. L’unico modo per invertire la tendenza è passare alla sicurezza preventiva e alla gestione dell’esposizione”, ha continuato Huber.
Se da un lato l’adozione di una postura cloud-first consente alle aziende di crescere e scalare, dall’altro introduce nuove forme di rischio, in quanto le patch silenziose e gli indurimenti di sicurezza vengono spesso completati dai fornitori di servizi cloud (CSP) senza alcun preavviso.
Le vulnerabilità che hanno un impatto sui CSP non vengono segnalate in un avviso di sicurezza, né viene loro assegnato un identificatore CVE o menzionate nelle note di rilascio. Questa mancanza di trasparenza rende difficile per i team di sicurezza valutare accuratamente il rischio e riferire alle parti interessate.
Gruppi di attacco e loro tattiche
Oltre all’analisi delle vulnerabilità e delle configurazioni errate, il rapporto esamina i gruppi di attacco prolifici e le loro tattiche. Il ransomware è rimasto il metodo di attacco più comune utilizzato nelle violazioni riuscite.
Una precedente ricerca di Tenable sull’ecosistema del ransomware ha rilevato che l’ecosistema del ransomware multimilionario è alimentato dalla doppia estorsione e dai modelli di ransomware-as-a-service, che rendono più facile che mai per i criminali informatici che non hanno competenze tecniche la mercificazione del ransomware.
Il gruppo di ransomware LockBit, noto utilizzatore di tattiche di doppia e tripla estorsione, ha dominato la sfera dei ransomware, rappresentando il 10% degli incidenti ransomware analizzati, seguito dal gruppo di ransomware Hive (7,5%), Vice Society (6,3%) e BlackCat/ALPHV (5,1%).
I risultati si basano sull’analisi del team di Tenable Research degli eventi, delle vulnerabilità e delle tendenze in materia di cybersecurity per tutto il 2022, compresa l’analisi di 1.335 incidenti di violazione dei dati divulgati pubblicamente tra novembre 2021 e ottobre 2022.
