Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Allarme “Basso” ma Letale: l’1% di alert ignorati apre falle settimanali nelle aziende
Nel mondo della cybersecurity aziendale esiste un problema poco discusso ma molto concreto: la gestione degli alert di sicurezza basata sulla severità porta spesso a ignorare in modo sistematico gli avvisi informativi o a bassa priorità. Un’analisi su oltre 25 milioni di security alert raccolti in ambienti enterprise mostra che questa abitudine crea falle prevedibili che gli attaccanti sfruttano con metodo.
Il campione include milioni di endpoint e identità monitorate, decine di migliaia di indagini forensi con scansioni della memoria live, centinaia di milioni di file analizzati e una grande quantità di telemetria su IP, domini, URL ed email di phishing.
Il problema dell’1%
Il dato più rilevante riguarda il cosiddetto problema dell’uno per cento. Quasi l’1% degli incidenti confermati nasce da alert inizialmente classificati come low severity o informational. Sugli endpoint la quota sale vicino al 2%. A scala enterprise questi numeri non sono rumore: con circa 450.000 alert annui per organizzazione, significa decine di minacce reali ogni anno che non vengono investigate, fino ad arrivare in media a una compromissione mancata a settimana. Non è un fallimento della detection, ma un limite operativo di triage e capacità.
Endpoint: fiducia eccessiva nello stato “mitigated” degli EDR
Sul fronte endpoint emerge un altro punto critico: la fiducia eccessiva nello stato mitigated degli strumenti EDR. In migliaia di casi con infezioni attive rilevate tramite memory forensics, oltre la metà risultava già chiusa come risolta dal vendor EDR. Senza analisi della memoria, malware e tool ampiamente usati come Mimikatz, Cobalt Strike, Meterpreter e StrelaStealer possono restare invisibili pur in presenza di una catena di alert.
Phishing: oltre i controlli tradizionali dei gateway email
Anche il phishing si è evoluto oltre i controlli tradizionali dei gateway email. La maggior parte delle email malevole non usa allegati, ma link e linguaggio persuasivo, appoggiandosi a piattaforme considerate affidabili come Vercel, CodePen, OneDrive e perfino infrastrutture legittime di fatturazione.
Le tecniche di evasione includono:
- Payload Base64 in SVG
- Link nascosti in metadati PDF
- Pagine dinamiche via condivisioni OneDrive
- Documenti DOCX con contenuti HTML e QR code
Cloud: persistenza, evasione e rischio da misconfigurazioni
Nel cloud, la telemetria evidenzia attacchi pazienti orientati a persistenza ed evasione, con abuso di funzionalità legittime e manipolazione di token. Le misconfigurazioni AWS amplificano il rischio, soprattutto su S3, spesso catalogate come bassa severità e quindi poco presidiate.