Governo, difesa, sanità e istruzione i settori più vulnerabili

Ransomware in aumento, Italia quarto paese più colpito

Per i professionisti del ransomware, le istituzioni del settore pubblico sono obiettivi interessanti. L’ultimo M-Trends report di FireEye ha rivelato che il governo, la difesa, la sanità e l’istruzione sono tra i settori maggiormente colpiti da questa minaccia. La preferenza verso questa tipologia di vittime è dovuta all’impatto distruttivo e dirompente che questi incidenti ransomware mirati possono avere sulle loro attività critiche.

Gli aggressori sono consapevoli del valore delle informazioni personali e delle proprietà intellettuali (spesso frutto di ricerche), che queste organizzazioni raccolgono e conservano. Prendiamo ad esempio il tema delle elezioni locali, statali e nazionali. Tra le preoccupazioni più importanti emergono:

  • I dati dei cittadini relativi al voto – come ad esempio, la residenza, l’età e, in alcuni casi, il documento di riconoscimento – che vengono memorizzati su infrastrutture critiche.
  • Le votazioni e le modalità con cui i dati vengono raccolti, trasmessi e memorizzati.

Se queste informazioni venissero compromesse a titolo di riscatto, metterebbero a rischio l’integrità delle infrastrutture critiche, così come i risultati delle votazioni stesse.

Dalle grandi città ai piccoli paesi, nessun governo è immune dai ransomware. Tuttavia, quando le organizzazioni riescono ad individuare e a porre rapidamente rimedio alla compromissione iniziale, è possibile evitare i danni e i costi ingenti spesso tipici di un attacco ransomware tramite:

Protezione di e-mail, endpoint e network

Secondo i dati di Mandiant, il 90% dei casi di ransomware coinvolge una persona all’interno dell’organizzazione che non intenzionalmente clicca su un link malevolo. Questo può essere evitato con adeguate soluzioni di sicurezza per la posta elettronica e abbinando questa protezione con una soluzione endpoint in grado di intercettare quegli elementi che non siano stati bloccati dal sistema di sicurezza delle e-mail.

Configurazione degli strumenti di sicurezza: Investire su basi solide

Purtroppo una configurazione errata o l’affidamento a impostazioni predefinite sono la causa della maggior parte dei problemi. Ad esempio, Mandiant ha recentemente lavorato al fianco di un team di sicurezza governativo scoprendo che il loro firewall di rete ha bloccato soltanto il 24% degli attacchi eseguiti durante l’assessment. A seguito di questo, l’ente governativo ha lavorato sull’ottimizzazione dei controlli del firewall aumentando la loro capacità di blocco e portandola al 74%.

L’autenticazione a più fattori è un requisito indispensabile

“Continuiamo a vedere l’utilizzo di un unico fattore di autenticazione per accedere a sistemi critici, questo consente agli aggressori di ottenere facilmente accessi ai sistemi delle vittime utilizzando credenziali rubate”, dichiara Gabriele Zanoni, EMEA Solutions Architect di FireEye.

In particolare, con la crescita del lavoro remoto, è importante che siano usati strumenti di autenticazione forte ovvero sistemi multi-fattore che includano quindi qualcosa che si conosce (ad esempio, nome utente e password forte) con qualcosa che si ha (ad esempio, token o PIV), e/o qualcosa che si è (ad esempio, biometria).

La visibilità è fondamentale

Oggi la maggior parte delle organizzazioni dispone di reti complesse che includono un’infrastruttura mista di risorse on-premise e cloud. I team di sicurezza hanno bisogno di visibilità (ad esempio per la gestione delle relative risorse) in questi ambienti, di informazioni sulle minacce e di sistemi il monitoraggio continuo dei dispositivi e delle connessioni di rete.

“L’M-Trends Report 2020 ha evidenziato che il tempo medio impiegato dalle aziende per individuare un attacco sofisticato al proprio interno è stato di 30 giorni. Anche se questo è un dato considerevolmente migliore rispetto allo scorso anno, un mese è ancora un tempo lungo a disposizione degli attaccanti per esplorare e stabilizzarsi nelle reti senza essere scoperti”, aggiunge Zanoni.

Gli enti nel settore pubblico dovrebbero puntare a una copertura 24 ore su 24 con un security operation center o utilizzare servizi gestiti per garantire l’integrità e il monitoraggio dei sistemi.

Dati critici del settore

Il report sulle minacce di FireEye afferma che gli hacker effettuano numerose attività di ricognizione per comprendere sempre meglio gli ambienti delle vittime. Per contrastarli, occorre adottare un piano per proteggere le informazioni sensibili che altrimenti potrebbero essere divulgate al pubblico nel corso di un attacco ransomware. Questo approccio deve comprendere: lo stabilire un sistema che assegni solo i minimi privilegi necessari agli account, il garantire le differenze tra i ruoli di accesso degli amministratori e i normali account utente e distinguere i permessi di accesso tra amministratori e controllori.

Avere un Playbook di risposta

Si tratta avere o creare un piano consolidato e pratico che prepara tutti i team – IT, comunicazione, dirigenti, legali, risorse umane, ecc. – alla risposta in caso di incidenti. L’obiettivo deve essere quello di evitare decisioni affrettate se si dovesse verificare un attacco di tipo ransomware. A tal fine, occorre formare i team a prendere del tempo e rispondere a domande come, ad esempio:

  • Conosciamo il vettore dell’infezione e se l’attaccante è attivo?
  • Gli attaccanti hanno dati reali?
  • Questo attacco ha un potenziale di escalation? Ad esempio, gli aggressori sono entrati in possesso di dati critici? L’attacco può diffondersi ad altri (e.g. terze parti) connessi a noi?
  • Quanto velocemente possiamo recuperare? Abbiamo un backup offline che abbiamo testato?
  • Abbiamo un’assicurazione contro i rischi informatici e, in caso affermativo, cosa copre?

Conclusione

Il Ransomware diventerà sempre più sofisticato. Gli enti governativi, le organizzazioni sanitarie e le istituzioni scolastiche sono ad alto rischio di tali incidenti, data la natura dei preziosi dati in loro possesso.

Non esiste un approccio unico. Ci sono invece molteplici fattori e domande da considerare. FireEye raccomando di iniziare a chiedersi: la mia organizzazione è sicura? Se non si dispone di una risposta binaria a questo, è il momento di fare dei cambiamenti.