A cura di Stefano Vaninetti, Security Leader Cisco Italia
La pratica e l’esercizio fanno parte della vita. Fin da piccoli ci viene insegnato a fermarci e “guardare a destra e a sinistra” prima di attraversare la strada. Diventa un riflesso, qualcosa che i bambini fanno automaticamente per salvaguardare la propria incolumità.
Non vorrei mai trovarmi su un aereo durante una situazione di emergenza, ma, nel caso in cui dovesse accadere, sono certo che tirerei la maschera con forza verso di me per azionare il flusso di ossigeno. Queste istruzioni mi sono state ripetute, quasi fosse un addestramento, fino al punto di conoscerle a memoria.
Allo stesso modo, nei luoghi di lavoro viene presa molto seriamente la minaccia di un incendio. Le uscite antincendio sono segnalate in modo chiaro, sono disponibili estintori e regolarmente vengono effettuate prove di evacuazione dell’edificio. Tutti sanno quale sia il suono dell’allarme antincendio, dove siano le uscite più vicine e come arrivare al punto di raccolta.
Sono sicuro che, in caso di incendio, saprei come reagire e, soprattutto, saprei quale numero di telefono chiamare per far sì che sul posto arrivi un team di esperti per affrontare rapidamente la situazione.
Ma cosa succede quando si verificano altri tipi di incidenti? Un’indagine governativa condotta su un campione di grandi aziende riporta dati sorprendenti: sebbene il 54% dei consigli di amministrazione consideri i rischi informatici come una delle principali preoccupazioni aziendali, il 68% di questi non ha ricevuto alcuna formazione a riguardo e il 10% non ha alcun piano da seguire in caso dovesse verificarsi una situazione simile.
I quotidiani sono colmi di storie di organizzazioni che sono cadute vittime di attacchi informatici. I danni causati in tutto il mondo dai worm auto-propaganti WannaCry e Nyetya sono un’ulteriore prova dei rischi ai quali le organizzazioni sono esposte.
Questi incidenti non devono essere interpretati come punizioni inevitabili per una preparazione non adeguata. Ogni incidente che sia stato reso pubblico può diventare un caso di studio e, in quanto esempio reale di violazione informatica, essere utilizzato a sua volta per migliorare la sicurezza delle organizzazioni.
In ultima analisi, un caso di studio dovrebbe stimolare il dibattito e la riflessione. Le domande chiave da considerare sono: potrebbe succedere a noi? Se ci fosse successo come l’avremmo capito? Come risponderemmo? Come possiamo ridurre la probabilità che ciò accada?
Identificare gli attacchi
Individuare un incendio è semplice: fiamme, fumo e calore ne sono un indizio; gli edifici sono dotati di rilevatori di fumo per dare l’allarme quando percepiscono un accenno di fumo. Gli incidenti informatici invece non sono necessariamente così semplici da individuare.
Un sistema infettato da ransomware è sicuramente considerabile una situazione di emergenza, tuttavia ci sono numerose ragioni per cui un sito web potrebbe non rispondere, potrebbe anche trattarsi di un attacco DoD (denial of service). Identificare ciò che sta accadendo necessita che ci si possa rivolgere a qualcuno che abbia le capacità per analizzare la situazione.
Un traffico di rete dannoso può essere riconosciuto attraverso l’attivazione di sistemi basati sulle firme (signature) o connessioni a destinazioni contenute nella lista nera. Ma questo funziona solo come sistema di avviso nel caso in cui siano attivate firme o liste nere in questione, e solo se qualcuno sta effettivamente guardando gli alert.
L’analisi di un case study consente a un’organizzazione di riflettere riguardo la propria capacità di rilevazione di un incidente di questo tipo e sul modo in cui l’allarme verrebbe lanciato.
Ad esempio, un sistema colpito da ransomware è probabile che venga scoperto da un utente finale, ma questo saprebbe chi contattare per risolvere il problema? Allo stesso modo, se un worm simile a WannaCry dovesse entrare nella rete interna ed effettuare connessioni multiple ai dispositivi della porta 445, come sarebbe possibile identificarlo? Chi determinerebbe se si tratta di un’attività di malware?
Rispondere agli attacchi
Individuare una situazione pericolosa è solo metà del lavoro. Una volta che questa è stata rilevata, è necessaria una risposta rapida. Esercitarsi nel dare risposte mette in luce i divari esistenti tra ciò che si vorrebbe e ciò che può essere effettivamente eseguito. Una volta identificata una determinata mancanza, essa può essere affrontata e risolta in modo che, quando fosse necessaria un’effettiva risposta, il risultato sia corretto ed efficace.
In molti casi potrebbe rendersi necessaria l’esigenza di competenze specialistiche e quindi di intermediari esterni. In questi casi, sai già a chi ti rivolgeresti? Il numero in tuo possesso è valido? Conosci il nome della persona con cui dovrai parlare? Questa persona ti conosce?
Una pratica che sia svolta a intervalli periodici consente di stabilire rapporti con terze parti, in modo che, in caso si verificasse un incidente reale, la chiamata non sarebbe inaspettata e la persona contattata saprebbe il tuo nome e cosa stai per chiedergli di fare.
Non trascurate, inoltre, la risposta non tecnica. Sarà necessaria anche una chiara comunicazione dell’incidente. Che cosa sarà comunicato ai clienti? Chi se ne occuperà e in quale momento? Quali sono le implicazioni giuridiche nel caso trapelino informazioni vitali? Chi avviserai e quali saranno le loro necessità?
La pratica rende perfetti
Tutti comprendono la concezione di un’esercitazione antincendio, la quale viene messa in atto per garantire che le persone sappiano come rispondere ad una vera e propria emergenza. La natura degli incidenti informatici richiede lo stesso approccio. Identificare plausibili scenari, condurre esercitazioni che siano all’inizio spiegate passo dopo passo e successivamente simulare un’emergenza per verificare che l’individuazione di questa e le risposte siano allineate alle previsioni.
Adotta in ogni fase un modello “Pianificare-Fare-Verificare-Agire”. Pianifica quello che stai per provare e poi fallo, verifica che cosa abbia o non abbia funzionato come previsto, agisci per apportare miglioramenti e cambiamenti sulla base di quanto appreso.
È improbabile che la risposta a un’emergenza reale sia perfetta, ma grazie alla pratica è possibile far sì che gli incidenti della vita reale causino il minor numero di danni e abbiano il minor impatto possibile.
L’implementazione di un cyber-drill oggi vi aiuterà a prepararvi agli attacchi informatici di domani.