La miglior difesa è sviluppare un processo metodico per ridurre il numero di vie di attacco a cui è esposta la propria organizzazione.

Clusit

di Antonio Madoglio, Fortinet

Il famigerato virus WannaCry, che ha imperversato per tutto l’anno scorso, è tornato alla ribalta dei riflettori dopo aver colpito un importante impianto di produzione lo scorso 28 marzo, e dopo che un’intera città è stata sotto assedio per diversi giorni di un attacco ransomware (SamSam), qualcosa che il sindaco della città ha definito una specie di “rapimento”. Fortunatamente, nel primo caso, sembra che solo una manciata di server sia stata colpita e che la cosa non abbia avuto alcun impatto sulle linee di produzione; nel secondo caso, l’attacco ha creato disfunzionalità solo nei servizi di pagamento delle bollette online o di accesso alla documentazione dei tribunali. Avrebbe potuto andare molto peggio.

Normalmente, come nel caso di WannaCry, il malware viene diffuso attraverso finte email che fanno parte di una campagna di phishing (casuale) o di spearphishing (mirata). Oppure si viene infettati, navigando su un sito Web compromesso. In entrambi i casi, dopo che viene installato su un computer, il malware comincia a infettare altri sistemi presenti sulla stessa rete e quelli vulnerabili esposti a internet e cripta i file bloccandone l’accesso. SamSam è un po’ più complicato e principalmente attacca i server vulnerabili lasciati esposti a Internet, tramite un attacco di forza bruta RDP (Remote Desktop Protocol) o mediante il targeting e lo sfruttamento di vulnerabilità specifiche note. I suoi attacchi tendono a essere molto più diretti e pianificati. Come nel caso di WannaCry, segue una richiesta di riscatto.

SamSam è apparso per la prima volta a fine 2015 e, anche se inizialmente era un rischio di basso profilo, negli ultimi mesi i suoi sviluppatori hanno iniziato a imperversare con gran successo ovunque, prendendo di mira una vasta gamma di organizzazioni, dalle istituzioni sanitarie e scolastiche ai governi locali. Quattro grandi Comuni sono stati presi di mira da inizio anno, uno dei quali è stato sotto attacco due volte nell’arco di una settimana, costringendo quasi 2.000 dipendenti a lavorare usando carta e penna. Si stima che, a oggi, il gruppo responsabile di SamSam abbia estorto quasi 1 milione di $ alle sue vittime.

Tornando ai fondamentali

Sebbene SamSam e WannaCry siano tipi di attacco ransomware molto diversi tra loro, hanno una cosa in comune: entrambi prendono di mira sistemi con vulnerabilità note che avrebbero dovuto essere sanate. Parte del problema è dato dal fatto che le reti aziendali si espandono sempre di più e diventano sempre più complesse perdendo a volte di vista le pratiche di sicurezza di base. Non a caso, uno dei responsabili IT della città che sta attualmente combattendo contro il SamSam, ha dichiarato “così come ci concentriamo sull’infrastruttura fisica, dobbiamo anche concentrarci sulla sicurezza della nostra infrastruttura digitale… si tratta di un territorio nuovo per noi.”

Cosa fare

I cybercriminali utilizzano un “attacco su tutti i fronti”, strategia particolarmente efficace. Non solo sviluppano nuovi vettori di attacco per sfruttare la superficie in continua espansione di aziende o istituzioni determinata dalla trasformazione digitale, ma utilizzano anche un metodo ormai corroborato, ossia individuare e colpire vulnerabilità note e obsolete che i team IT non hanno avuto il tempo di affrontare. La miglior difesa è sviluppare un processo metodico per ridurre il numero di vie di attacco a cui è esposta la propria organizzazione.

Primi passi:

  1. fare l’inventario di tutti i dispositivi: è necessario sapere quali dispositivi sono presenti sulla rete in ogni momento. Naturalmente, questo è difficile da fare se i dispositivi di sicurezza e i punti di accesso non comunicano tra loro.
  2. monitorare le minacce: è necessario essere abbonati ai feed dei dati sulle minacce in tempo reale che mantengono i sistemi di sicurezza aggiornati alla panoramica più recente.
  3. monitorare gli indicatori di compromissione (IOC): una volta collegati l’inventario dei dispositivi alla panoramica delle minacce, è possibile vedere rapidamente quali dei dispositivi sono maggiormente a rischio e assegnare le priorità di hardening, patching, isolamento o sostituzione.
  4. automatizzare le patch: a nessuno piacciono i sistemi di patching, ma continuano a essere un canale primario di attacchi, come dimostra la recente violazione di WannaCry. Ecco perché, per quanto possibile, è necessario automatizzare il processo di patching.
  5. segmentare la rete: la realtà è che prima o poi la rete sarà violata. Quando ciò accade, l’unica soluzione è limitare l’impatto il più possibile. La migliore difesa è segmentare la rete. Senza una corretta segmentazione, i ransomworm come WannaCry possono facilmente propagarsi agli archivi di backup, rendendo gli altri step del piano di risposta ai rischi (IR) molto più difficili da implementare. Le strategie di segmentazione, compresa la micro-segmentazione in ambienti virtuali e la macro-segmentazione tra reti fisiche e virtuali, consentono di isolare in modo proattivo e/o dinamico un attacco, limitando in tal modo la sua capacità di diffusione.
  6. applicare controlli di sicurezza: è opportuno implementare soluzioni basate sulla firma e sull’analisi del comportamento per rilevare e contrastare gli attacchi sia sul perimetro che una volta penetrati nella rete
  7. Sistemi critici di backup: quando si ha a che fare con il ransomware, la cosa più importante da fare è assicurarsi di avere una copia delle informazioni sensibili e delle risorse archiviati fuori dalla rete in modo da poter riprendere le operazioni il prima possibile.
  8. Rendere sicuri endpoint e punti di accesso: accertarsi che tutti i dispositivi in ​​arrivo sulla rete soddisfino i requisiti di sicurezza di base e che si stia eseguendo continuamente la scansione di dispositivi e traffico infetti.
  9. Implementare l’automazione: dopo aver blindato le aree su cui si ha controllo, è necessario applicare l’automazione a quanti più processi di sicurezza di base possibili. Ciò consente alle risorse IT di concentrarsi sull’analisi e protezione da minacce più avanzate.
  10. Implementare Security Fabric: per garantire che queste pratiche di sicurezza siano estese in modo trasparente a ogni ecosistema di rete che esponga online, è necessario implementare soluzioni di sicurezza integrate e abilitare un’orchestrazione e un’analisi centralizzate. Security Fabric è un framework di sicurezza integrato e automatizzato progettato per proteggere le reti dinamiche odierne. Fornisce ampia visibilità, rilevamento integrato delle minacce avanzate e risposta automatica, combinate a una valutazione costante dei livelli trust necessari per proteggere il business digitale di oggi.

Articoli correlatiAltro dello stesso autore