Questa settimana riassumeremo il rapporto Data Breach Investigation di Verizon per il 2022 e una vulnerabilità di gravità critica in Confluence attualmente sfruttata in modo selvaggio.
Principali risultati del Verizon Data Breach Investigation Report 2022
Dal 2008, Verizon ha continuato a condurre e pubblicare il Data Breach Investigations Report (DBIR) annuale, e il 2022 segna il 15° anniversario del report. Negli ultimi 15 anni, Verizon ha raccolto quasi nove terabyte di dati che indicano quasi 250.000 violazioni e quasi 1.000.000 di incidenti di sicurezza unici. L'incipit - "nulla è certo" - sottolineal'incertezza del settore della sicurezza utilizzando analisi credibili dei dati, tra cui grafici a barre inclinate, diagrammi a punti, pittogrammi e grafici a spaghetti.
Verizon afferma che: "Ci sono quattro percorsi chiave che portano alla vostra proprietà : Credenziali, Phishing, Sfruttamento delle vulnerabilitàe Botnet. Tutti e quattro sono pervasivi in tutte le aree del DBIR e nessuna organizzazione è al sicuro senza un piano per gestire ciascuno di essi".
Ransomware
Quest'anno, il ransomware ha continuato la sua tendenza al rialzo con un aumento di quasi il 13%. È importante ricordare che, sebbene onnipresente e potenzialmente devastante, il ransomware è semplicemente un modo per monetizzare l'accesso di un'organizzazione. Bloccare i quattro percorsi chiave sopra menzionati aiuta a bloccare i percorsi comuni che il ransomware utilizza per penetrare nella rete.
Sebbene la minaccia del ransomware sia aumentata drasticamente, i principali metodi di distribuzione rimangono ovvi: il software di condivisione del desktop ha rappresentato il 40% degli incidenti e le e-mail il 35%, secondo i dati di Verizon. Questa crescente minaccia può sembrare schiacciante, ma i passi più importanti che le organizzazioni possono compiere contro questi attacchi sono ancora quelli fondamentali: sensibilizzare gli utenti finali sui tentativi di phishing e mantenere le best practice di sicurezza. Consultate la nostra documentazione per Attacco ransomware: Cos'è e come prevenirlo.
Minacce alla catena di approvvigionamento
Il 2021 ha mostrato come un incidente chiave della catena di fornitura possa portare a un'ampia gamma di conseguenze. Gli attori delle minacce si concentrano maggiormente sulla compromissione dei partner e dei fornitori giusti, che possono agire come moltiplicatori di forza dell'impatto.
Le violazioni, da Kaseya a SolarWinds, per non parlare della vulnerabilità di Log4j, hanno messo in evidenzail fatto che i sistemi dei fornitori sono un vettore di attacco altrettanto probabile del nostro. In effetti, il 62% dei cyberattacchi che seguono lo schema dell'intrusione di sistema è iniziato con lo sfruttamento da parte degli attori della minaccia di vulnerabilità nei sistemi di un partner, si legge nel rapporto. Sebbene gli attacchi alla supply chain rappresentino ancora poco meno del 10% degli incidenti complessivi di cybersecurity, secondo i dati di Verizon, gli autori dello studio sottolineano che questo vettore continua a rappresentare una fetta considerevole di tutti gli incidenti ogni anno. Ciò significa che è fondamentale per le aziende tenere sotto controllo la propria posizione di sicurezza e quella dei propri fornitori.
L'elemento umano, gli errori e le errate configurazioni
L'elemento umano continua a contribuire alle violazioni. L'ingegneria sociale è diventato un problema schiacciante lo scorso anno, evidenziando l'aumento delle tattiche ripetute di criminalità informatica . "L'elemento umano continua a essere un fattore chiave dell'82% delle violazioni e questo modello cattura una grande percentuale di tali violazioni". Anche gli errori e le configurazioni errate sono una tendenza importante, influenzata soprattutto da una configurazione errata del cloud storage. Sebbene questo sia il secondo anno consecutivo in cui si registra un leggero livellamento per questo modello, la fallibilità dei dipendenti non deve essere ignorata.
Infine, il DBIR descrive i seguenti modelli di minaccia che rappresentano la maggior parte degli incidenti di sicurezza e delle violazioni dei dati: intrusioni di sistema, ingegneria sociale, negazione di servizi, perdita e furto di beni, abuso di privilegi, errori vari.
Esecuzione di codice remoto in Confluence di Atlassian
Il 2 giugno 2022, Atlassian ha pubblicato un avviso di sicurezza per CVE-2022-26134, una vulnerabilità OGNL injection remota non autenticata che comporta l'esecuzione di codice e che interessa i prodotti Confluence Server e Confluence Data Center. Questa vulnerabilità viene attualmente sfruttata in modo selvaggio. Sono interessate tutte le versioni supportate di Confluence Server e Data Center.
Data la natura della vulnerabilità, i server Confluence rivolti a Internet sono ad altissimo rischio. La vulnerabilità non è stata patchata quando è stata pubblicata il 2 giugno. Dal 3 giugno sono disponibili sia le patch che un workaround temporaneo. L'elenco completo delle versioni corrette è disponibile nell'avviso. È disponibile anche un workaround temporaneo, che deve essere applicato manualmente.
Commenti