James Blake, CISO per l’area EMEA di Cohesity, evidenzia come di fronte a vulnerabilità software critiche, come nel caso dei server VMware ESXi, le aziende spesso faticano a colmare le lacune, rendendo così i sistemi IT vulnerabili ad attacchi mirati da parte degli hacker. Esistono però modi intelligenti per individuare rapidamente le falle e colmarle senza intervenire sui sistemi di produzione critici.
La scorsa settimana, sia il team CERT-FR francese sia l’Agenzia italiana per la cybersicurezza nazionale ACN hanno lanciato l’allarme su un attacco ransomware globale che stava prendendo di mira migliaia di questi server in Europa e Nord America. Secondo Censys Search, più di 3.200 server VMware sono già stati compromessi, e la Francia è il Paese più colpito, prima di Stati Uniti, Germania, Canada e Regno Unito. Anche il meccanismo di crittografia sembra essere cambiato per impedire il ripristino.
Secondo VMware, la campagna sfrutta una debolezza per la quale esiste una patch già da due anni, esattamente dal 23 febbraio 2021. I responsabili IT dovrebbero verificare immediatamente se hanno già installato questa patch e, in caso contrario, farlo il prima possibile.
La prova del vero problema
Il fatto che una vulnerabilità software così vecchia, per la quale esiste da tempo una patch, permetta ancora di sferrare attacchi contro sistemi IT vulnerabili, rivela un problema importante. Quando non viene applicata la patch, la debolezza del software dei server VMware ESXi lascia una falla nel cuore di molte aziende, ovvero nell’infrastruttura virtuale critica su cui girano molte delle applicazioni più essenziali. L’aggiornamento di questa infrastruttura richiede molto tempo, energia e denaro.
Allo stesso tempo, i responsabili IT devono affrontare ogni anno un flusso innumerevole di patch per eliminare le decine di migliaia di vulnerabilità software riscontrate. Absolute Software ha dichiarato che solo nel 2022 sono state identificate e segnalate esattamente 20.265 nuove vulnerabilità software – nel 2019 sono state 18.325.
La quantità di patch è in aumento, così come la complessità del processo di patching. I responsabili IT e i loro team testano intensamente le patch prima di rilasciarle. Gli interventi a cuore aperto – sui servizi e sulle applicazioni più critiche – sono tra i più delicati in ambito IT. Non si deve assolutamente sbagliare e rischiare di corrompere un sistema a causa di problemi di compatibilità con la patch. Anche nel caso di patch critiche, c’è quasi sempre un intervallo di tempo tra il momento in cui la patch diventa disponibile e la sua effettiva distribuzione.
Il nuovo data management arriva in aiuto ai sistemi IT vulnerabili
Le moderne visioni di data management, sono un modo intelligente per accelerare in modo significativo il processo di analisi delle patch senza nemmeno toccare i sistemi di produzione. Hanno tra i propri compiti principali quello di creare snapshot di tutti i dati e le applicazioni importanti dell’azienda a intervalli regolari.
Questi snapshot, identici ai sistemi di produzione fino all’ultimo bit, possono essere esportati in qualsiasi momento in qualsiasi luogo e ripristinati nel sistema di produzione in pochi minuti. È possibile anche clonare più copie del sistema di produzione.
L’utilizzo di snapshot identici
Questo approccio di clonazione presenta diversi vantaggi. I team IT e gli specialisti della sicurezza possono analizzare questi file alla ricerca di nuove vulnerabilità di deafult. In questo modo, sanno sempre esattamente quali falle esistono nei sistemi IT vulnerabili e possono valutarle in base alla loro gravità.
È possibile anche testare le patch con l’attuale versione del sistema di produzione e rilevare eventuali conflitti. La versione attuale rappresenta lo status quo reale e non una versione di laboratorio isolata dello stack applicativo. Se la patch danneggia il clone di produzione, è sufficiente eliminarlo e creare un nuovo clone per un nuovo test.
Inoltre, più dipendenti e team possono lavorare sullo snapshot e sul sistema, indipendentemente dalla loro ubicazione, senza essere fisicamente vicini al sistema e dover aspettare che si liberi un posto. Ciò è fondamentale anche per poter reagire agli attacchi andati a buon fine. In una situazione di crisi, diversi esperti forensi possono esaminare lo snapshot di una macchina compromessa alla ricerca di tracce lasciate dall’attaccante. Non lavorando attivamente sul sistema di produzione potenzialmente violato, non forniscono agli hacker alcuna indicazione di un’indagine in corso.
L’architettura Zero Trust è fondamentale per la protezione dei sistemi IT vulnerabili
È importante che il sistema di gestione dei dati stesso cripti automaticamente i dati durante il trasferimento e sulla destinazione finale. Idealmente, questa piattaforma dovrebbe seguire i principi di un’architettura Zero Trust, in cui l’accesso è strettamente regolato mediante Multi-Factor Authentication. Anche gli account e i ruoli privilegiati dovrebbero essere ulteriormente protetti tramite quorum query.
In questo modo, un moderno data management può consentire operazioni al cuore dell’infrastruttura senza che i responsabili debbano effettivamente operare a cuore aperto, con tutti i rischi che l’operazione comporta. Ciò consentirà sia ai team di IT security sia a quelli dell’infrastruttura di reagire rapidamente agli attacchi e di applicare le patch in modo sicuro.
di James Blake, CISO per l’area EMEA di Cohesity
