Il vero problema non è però il malware di per sé, ma le mutate condizioni di fragilità dei sistemi

Ricatti online

In tutto sono circa 200mila i computer infettati in poche ore in più di 150 Paesi dal cyber attacco partito venerdì scorso in Inghilterra, il riscatto richiesto si aggira sui 300 euro. Fino ad ora sono stati versati circa 20mila euro, ma Europol raccomanda di non pagare.

E’ solo l’evento più recente in uno scenario preoccupante che ogni giorno peggiora, con notizie di attacchi informatici si susseguono senza sosta. Esistono malware avanzati che i tradizionali Firewall e Anti-Virus non riescono ad identificare e bloccare, progettati appositamente per bypassare i controlli, per essere il più possibile invisibili ed operare efficacemente in base agli obiettivi forniti di volta in volta dal loro creatore, posizionato nel suo centro di comando e controllo.

Adottare una tecnologia a copertura di queste nuove minacce (ad es. sandbox o endpoint anti-malware) è indispensabile ma non è tutto: occorre mantenere alta l’attenzione ed accorgersi di comportamenti o attività anomale. Questo è uno dei servizi offerti da un centro di ricerca e controllo come quello di Axitea, denominato I-SOC (Integrated-Security Operation Center), che si occupa di controllare le reti, i sistemi e i dispositivi ed intervenire (remediation) attraverso l’attività di analisti esperti in grado di fornire contromisure adeguate in caso di attacco. Il servizio viene offerto ad imprese di tutte le dimensioni partendo dal micro business (come ad esempio negozi e liberi professionisti) fino a aziende di grandi dimensioni e multinazionali.

Andiamo ad analizzare più nel dettaglio quanto successo con il malware WannaCrypt e tutte le sue numerose varianti:

Abbiamo appreso che la mancanza di una patch, cioè un aggiornamento di sicurezza, favorisce il proliferare del malware. Dunque una tecnologia appropriata ed utilizzata con criterio mitiga il problema bloccando l’infezione nel momento in cui tenta di manifestarsi: in questo caso una delle azioni compiute dal malware è la disabilitazione del meccanismo di Shadow Copy. Riuscire a rilevare questo tentativo, decisamente sospetto da parte di qualsiasi processo o eseguibile, vuol dire prevenire in tempo l’infezione.

Per bloccare WannaCrypt con un livello di certezza rilevante, l’I-SOC di Axitea ha effettuato per i propri clienti le seguenti attività:

  1. Verificare la presenza di una vulnerabilità Windows grave e coperta da apposita fix (advisoring)
  2. Indicare di installare la patch su tutto il parco macchine client e server (preemption)
  3. Supportare il cliente nella delicata fase di aggiornamento e verifica dei sistemi (remediation)
  4. Verificare che il sistema informativo non sia stato già compromesso (bonifica digitale)
  5. Configurare il sistema affinché si accorga dei sintomi tipici di WannaCrypt (Indicator of Compromise)
  6. Impostare il sistema di allarme per accorgersi dei movimenti laterali e delle attività tipiche di WannaCrypt (alerting)
  7. Sensibilizzare i dipendenti e di tutti gli utilizzatori del sistema informativo (training & awareness)

Poter contare su una tecnologia all’avanguardia che si basa su un valido ed efficace centro di ricerca e controllo, monitorare gli eventi di sicurezza avvertendo in tempo di eventuali problematiche, manutenere il sistema di difesa perché sia sempre aggiornato e ottimamente configurato: queste sono le caratteristiche del servizio di Cyber Security che Axitea offre ai suoi clienti per evitare di diventare vittime degli attacchi cyber.

Il vero problema non è quindi il malware di turno, in questo caso WannaCrypt, ma le mutate condizioni di fragilità dei sistemi. Serve quindi affidarsi a specialisti della sicurezza gestita, che operano attraverso un Integrated Security Operation Center in grado di governare tutti i sistemi e le reti, di mettere in correlazione anomalie e vulnerabilità e di fornire azioni di remediation funzionali.

Maurizio Tondi, Chief Technology Officer Axitea