SICUREZZA DIGITALE

L’importanza della catena del soccorso post incidente e della remediation

Saper gestire un attacco informatico richiede capacità di mitigazione, remediation ma anche di gestione della catena di soccorso. Approfondiamo queste prassi di sicurezza operativa.

È umano pensare che non accadrà mai nulla di brutto e che, se accadrà forse non succederà proprio a sé stessi, ma questa filosofia nel mondo aziendale e per le organizzazioni correlata alla sicurezza informatica, non è decisamente la migliore. Ogni organizzazione ha il dovere di sapersi difendere soprattutto a tutela del proprio business e non solo in funzione delle normative in vigore (GDPR e se applicabile al tipo di azienda, il Perimetro Nazionale di Sicurezza). I malware non solo generano dei danni economici e di immagine, ma possono essere distruttivi se non ci si prepara ad affrontare un evento incidente nel modo corretto. 

Aggiornamento sul panorama della minaccia

Il cospicuo numero di attacchi che continuamente riempiono la cronaca è un dato evidente. Solo per citare i più recenti ricordiamo il nuovo attacco a Microsoftl’attacco SIAEa Twitch, e il noto ed estivo attacco alla Regione Lazio. Ma la percezione di quanto l’Italia è bersagliata di attacchi la fornisce il report Check Point che evidenzia come l’Italia sia il secondo Stato più attaccato dell’Unione Europea, tanto che nel 2021 i cyberattacchi hanno avuto una crescita del 36% rispetto al 2020 con un dato abbastanza allarmante: le aziende italiane subiscono mediamente 903 attacchi informatici ogni settimana. Ma i dati hanno la stessa tendenza anche nel resto del mondo. I settori con il maggior numero di attacchi informatici sono l’istruzione/ricerca con una media di 1468 attacchi alla settimana per organizzazione (con incremento di +60% rispetto al 2020), la pubblica amministrazione/esercito con 1802 (+40%), e la sanità con 752 (+55%). Il ransomware è a livello globale la minaccia più frequente con un incremento del 9% rispetto al 2020.

Le aziende hanno incrementato l’adozione di mezzi di prevenzione. In particolare il 93% dei Managed Service Provider (MSP) prevede di ampliare il proprio portfolio di sicurezza informatica con nuovi servizi, fra cui per prima la threat intelligence (44%) includendo APT reporting (29%), a cui seguono la ricerca delle minacce (26%) e il threat data feed (24%), proprio per migliorare la risposta agli incidenti (Fonte Kaspersky report “MSP market focus in 2021: IT security challenges and opportunities in the new normal“). Conoscere il proprio nemico, in fondo, è una delle prime mosse per affrontarlo e possibilmente batterlo ed ecco che anche la conoscenza delle tecniche di attacco dei criminali, specialmente quelli di lingua russa aiuta a strutturare la difesa preventiva. Infatti, i criminali perseguono una evoluzione continua. Ad esempio, gli attacchi lato client non sono più molto diffusi, poiché gli sviluppatori di browser e di altre tecnologie web che in precedenza risultavano vulnerabili hanno migliorato la sicurezza dei loro prodotti e implementato aggiornamenti automatici del sistema. D’altra parte, risulta anche che i criminali informatici non sviluppano più i propri malware, ma utilizzano software di penetrazione e di accesso da remoto disponibili pubblicamente. Il software di sicurezza non rileva questi software come dannosi in quanto le organizzazioni potrebbero anche utilizzarli per scopi legittimi, ed è proprio su questo che puntano i cybercriminali quando utilizzano questi programmi (Fonte Securlist.com).

Ma una volta che l’attacco è partito e che l’organizzazione si è accorta dell’incidente che cosa fare esattamente? Ne abbiamo parlato con Roberto Camerinesi Ricercatore in ambito CyberSecurit,  IoT Develop  e Fondatore e CTO di Cyber Evolution

Gli ultimi eventi incidente eclatanti hanno evidenziato l’importanza di un pronto intervento. Ma esattamente in cosa consiste un intervento efficace in presenza di un ransomware?

Come la kill chain di attacco segue una struttura ben definita così esiste una risposta altrettanto strutturata per la difesa. Infatti, la sicurezza non è un “componente” standard, ma piuttosto un insieme di strategie e procedure di che possano aiutare nella “defence-chain” unite a componenti tecnologici HW e SW. Il miglior approccio richiede di impostare e seguire le azioni di un incident response plan che consta di cinque fasi: Preparation per la formazione, le policy, le misure di sicurezza in rete preventive; l’Identification che riguarda il rilevamento minaccia; il Containment & Eradication per la pulizia e il controllo delle tracce; la Recovery per il ripristino dell’operatività e le attività post incidente.  Specialmente nei casi di ransomware, il fattore tempo è critico: si deve tenere presente il tema della cifratura dei dati, il tipo di approccio che tale minaccia utilizza, come ad esempio il vettore usato d’infezione, la sua capacità di persistenza e la capacità di replicazione all’interno del network bersaglio. Nei casi peggiori, un ransomware che sfrutti falle 0-day per propagazione o persistenza, otterrà un impatto devastante. Per questo, è bene avere il “piano B” mediante Backup schedulati e verificati e sistemi Air-Gapped pronti al ripristino. L’efficacia di un pronto intervento, dunque, si determina su fattori chiave come: il tempo impiegato ad attivare le misure post-infezione, l’impatto della minaccia e del tasso percentuale di recovery che riesce ad ottenere per il ripristino della normale operatività sulle base del proprio Incident Response Plan.

Possiamo spiegare anche la differenza fra mitigazione e remediation vera e propria a valle di un incidente da Ransomware? 

Il ransomware ha l’utente come bersaglio primario e successivamente il suo host. Quindi tra le prime difese c’è il contrasto al phishing ed approcci similari che minano proprio l’essere umano.
Una buona mitigazione, gestita a livello preventivo permette di impedire che una minaccia, sia essa malware o un attaccante umano, porti a compimento step-by-step la sua killchain. Anzi, una minaccia bloccata in questa fase primaria di attacco, allarma le difese innestando subito processi di ulteriore sicurezza e verifica dello stato di salute della rete. L’implementazione di sicurezza è correlata alla grandezza ed all’architettura della rete, e in generale apporta un esponenziale e diretto incremento di sicurezza. Il ROI, quindi, è molto elevato in questa fase. In altre parole, i vantaggi della prevenzione sono maggiori dei costi irrisori rispetto al danno che farebbe la minaccia. La remediation o la recovery entrano in gioco se le misure di sicurezza per la protezione e prevenzione dovessero fallire. Ed è in quel momento che si punta prevalentemente a tre fattori: contenimento, relativa disinfezione, e ripristino operatività. La soluzione migliore sarebbe quella di avere più sistemi ridondanti, almeno per nodi più critici, possibilmente isolati, utilizzando quindi anche sistemi air-gapped. Solo in questo modo, nel momento successivo all’infezione, nel giro di pochi minuti, si può ripristinare l’operatività in termini di efficienza proporzionali alla struttura del sistema di disaster recovery. Il massimo della sicurezza possibile sarebbe un plan di tipo “disaster”, quindi completo e attivo nel giro di pochi minuti in modo automatico.

Perché i tempi sono cruciali in questi casi?

Perché non solo il tempo è denaro, ma anche perché gestire con la giusta tempistica la minaccia, permette di intervenire evitando che inizi che porti avanti le proprie fasi di kill-chain con successo. Certamente anche la componente di impatto economico non deve essere tralasciata. Se non si è pronti con le remediation, un ransomware ben progettato può provocare seri danni ai dati, anche alle infrastrutture, sfruttando RCE (Remote Code Execution n.d.r.), vulnerabilità note e può parallelamente eseguire operazioni ulteriori per ottenere persistenza e privilegi. L’impatto del danno si calcola moltiplicando il tempo di blocco operativo, il numero di impiegati e le percentuali di commesse perse. È evidente che i numeri raggiungono rapidamente valori impressionanti. Misure di prevenzione e misure di recovery con un’efficacia compresa tra il 70% ed 80% permettono comunque un gigantesco “cuscino di ammortamento”.

Quali vantaggi hanno gli attaccanti?

Il numero di tentativi, il vantaggio della sorpresa, la tipologia di attacco utilizzato, la facilità di nascondersi e la facilità con cui trovare nuovi bersagli dato il basso livello di implementazione di misure di sicurezza. Un attaccante ha quindi un notevole vantaggio strategico.  Il ROI da un punto di vista di un attaccante è molto elevato, ed è facile dedurre il perché; ad oggi troviamo un incredibile aumento di attacchi anche in ambienti come le PMI e PA. Inviare 10000 mail con un ransomware ha un costo irrisorio, ma ognuno di essi può trasformarsi in decine di migliaia di euro di guadagno per un criminale digitale. Per questi motivi, la difesa diventa ancora più necessaria. Ricordo una nota massima: Ci sono due tipi di aziende: quelle che sono state hackerate e quelle che non sanno di essere state hackerate.[ John T. Chambers]

Come intervenire in termini preventivi nella propria organizzazione? 

Il tipo di architettura di rete e la sua complessità determinano la quantità e le tipologie di misure e relativo budget da investire, ma i pilastri fondamentali rimangono i medesimi. Tra le principali mancanze c’è spesso la scarsa robustezza di alcune policy. È bene verificare sempre che le policy legate alle password, alla gestione dei privilegi e quindi degli accessi sia ben implementata. Un classico esempio può essere l’implementazione del principio del least-privilege per minimizzare un “password failure” o anche un “user-error”. A costo praticamente nulla, si guadagna sia in termini di privacy che di sicurezza. Certe minacce sono ancora più pericolose, come i malware che agiscono autonomamente all’interno della rete ed eseguendo le più svariate operazioni malevole, come nel caso ransomware che cifra i dati di backup trovati non solo sugli host, ma anche in cartelle condivise su NAS o share condivise. Quindi oltre ai necessari sistemi anti-malware negli host, 
è vitale installare una misura di sicurezza che verifichi in real-time il traffico che transita nella rete.
Questo perché molte minacce hanno come sorgenti, device IoT interni (smart TV, telecamere, macchinari ecc.) che essendo sistemi senza OS non hanno antivirus o controlli particolari, permettendo quindi alla minaccia di transitare verso altri host. Avendo invece una panoramica globale di cosa accade inserendo dei controlli interni, si riesce ad agire e compartimentale di conseguenza. In ottica di remediation consiglio anche di eseguire dei backup periodici ed isolati.
Tenendo conto di queste poche regole, forse non si riusciranno a fermare tutte le minacce, ma senza dubbio si andrebbe a mitigare notevolmente, riducendo vertiginosamente il rischio.

Come intervenire in termini di supply chain security?

Se si diffondesse maggiormente il concetto di cyber security, anche in un contesto supply chain se ne troverebbe vantaggio. Sarebbe utopico adeguare lo stesso livello di sicurezza per ogni fornitore di servizi o software, così come sarebbe irreale gestire tutto l’IT localmente in molte realtà.
Alcuni “big” stanno avviando iniziative a riguardo, ma ad oggi il rischio rimane (fonte Nucleus Research 2020). Se ogni soggetto in una catena di fornitura “guardasse al proprio orto”, implementando processi e soluzioni di sicurezza, si avrebbero esiti diversi sul fronte degli attacchi alla supply chain. In questi ambiti si dovrebbero considerare soluzioni complesse da realizzare si potrebbe raggiungere uno standard nella cyber defence, dal controllo qualità del firmware fino ai controlli a livelli superiori.  Alternativamente le minacce hanno campo libero.

Back to top button