Kaspersky conferma quello che molti temevano: la maggior parte delle risposte agli attacchi informatici avviene quando è tardi

Come reagiscono le aziende agli attacchi informatici? Secondo quanto emerge dall'Incident Response Analytics Report di Kaspersky uno dei principali problemi è che, nella maggior parte dei casi, la reazione avviene tardi, quando ormai l'attacco si è manifestato e ha fatto alcuni danni. 

Solamente nel 22% dei casi gli amministratori hanno iniziato ad agire dopo aver rilevato attività sospette all'interno della loro rete, mentre e un altro 22% si è mosso dopo aver scoperto un file malevolo. Nei restanti casi, che rappresentano il 56%, la reazione del team IT è arrivata troppo tardi, quando ormai parte dei sistemi era compromessa e gli attaccanti erano riusciti a fare danni, come attivare un ransomware, sottrarre risorse o effettuare trasferimenti di denaro non autorizzati.  

Cosa significa Incident Response?

Letteralmente, Incident Response significa reagire a un incidente, nel caso dell'IT, a un attacco informatico. Queste procedure però non andrebbero messe in atto solo quando viene rivelata un'attività malevola nel sistema, così da contenere danni ulteriori, ma dovrebbero venire attivate anche strategicamente, così da riuscire a sventare eventuali attacchi già nelle loro fasi iniziali. Cosa che, secondo l'analisi offerta dal report, avviene raramente. 

"Questa situazione indica che in molte aziende è necessario migliorare i metodi di rilevamento e le procedure di Incident Response"- spiega Ayman Shaaban, Security Expert di Kaspersky - "Rilevare un attacco nella sua fase iniziale vuol dire contenere la portata delle conseguenze. In base alla nostra esperienza, però, le aziende spesso non prestano la dovuta attenzione agli antefatti di un attacco serio e contattano il gruppo di Incident Responde quando è già troppo tardi per prevenire i danni. D’altro canto, abbiamo constatato che molte aziende hanno imparato a valutare i segni di un grave attacco informatico nella loro rete e questo ci ha consentito di prevenire quelli che sarebbero potuti diventare incidenti pericolosi. Invitiamo quindi le altre organizzazioni a considerare questi come case study di successo".

I consigli di Kaspersky su come rispondere efficacemente agli incidenti di sicurezza

I suggerimenti che offre Kaspersky su come proteggersi possono sembrare almeno in parte scontati ma il fatto che vengano ribaditi mostra quando ci sia ancora da lavorare per sensibilizzare le aziende. Mettere in piedi una politica di backup, dedicare almeno una persona alla cyber security o implementare una policy per la gestione delle patch dovrebbero essere operazioni scontate, eppure come abbiamo avuto modo di vedere in più occasioni, gestire questi aspetti non è la norma, non in tutte le aziende per lo meno.

Per approfondire è possibile consultare il rapporto Incident Response Analytics Report di Kaspersky.