L'attacco ransomware DarkSide all'oleodotto coloniale negli Stati Uniti è solo uno dei tanti esempi globali che dimostrano che la sicurezza non è solo una questione per l'IT, ma anche per la pianificazione strategica e la gestione. 5 approfondimenti dagli esperti Sophos.
L'attacco ransomware DarkSide all'oleodotto del carburante coloniale, che fornisce circa il 45% del diesel, della benzina e del carburante per aerei della costa orientale, è solo un esempio che ora si aggiunge a oltre 60 casi noti. Tra le presunte vittime figurano anche il servizio sanitario irlandese, Toshiba Europe e l'azienda chimica con sede a Essen Brenntag. Ancora e ancora, la scientifica degli incidenti indica problemi all'interno della rete IT che esistevano già prima dell'incidente e che hanno contribuito alla suscettibilità agli attacchi. Di conseguenza, sorge la domanda sul perché le persone colpite non abbiano esaurito tutte le precauzioni di sicurezza potenzialmente possibili e se esistesse un responsabile della sicurezza informatica dedicato nell'organizzazione al momento dell'attacco ransomware. John Shier, Senior Security Advisor di Sophos, riassume i primi cinque risultati degli attacchi dal maggio 2021.
Priorità di sicurezza informatica
Con la situazione di rischio odierna, le aziende e le organizzazioni hanno bisogno di qualcuno che tenga d'occhio l'attuale situazione di rischio, che abbia familiarità con la sicurezza e che faccia parte del consiglio di amministrazione dell'azienda: il Chief Information Security Officer (CISO). Anche se un CISO dedicato è difficile da giustificare per alcune aziende, dovrebbe esserci una persona adeguata che sappia impostare correttamente le priorità per la sicurezza informatica e che le faccia anche rispettare. Ad esempio, all'udienza coloniale davanti al Senato, si è saputo che negli ultimi cinque anni erano stati investiti circa 200 milioni di dollari USA nell'IT, senza informazioni precise su quanto di essi fosse effettivamente confluito nella sicurezza IT.
La capacità di dare priorità alla sicurezza informatica all'interno dell'organizzazione, disporre di un budget adeguato e disporre dell'autorità necessaria per far rispettare le priorità sono aspetti essenziali della sicurezza informatica.
Standard di sicurezza utilizzati
In molti casi esaminati dal team Sophos Rapid Response, il punto iniziale di accesso alla rete è una singola password rubata, soprattutto per i servizi remoti. Nel caso di Colonial, gli aggressori hanno utilizzato la password rubata per ottenere l'accesso a un servizio VPN che non aveva l'autenticazione a più fattori (MFA) abilitata. L'operatore del gasdotto riteneva che questo profilo VPN non fosse in uso e probabilmente vi prestava meno attenzione, una situazione tipica che gli esperti osservano ripetutamente. C'è una buona probabilità che gli aggressori abbiano ottenuto la password attraverso un'irruzione precedente, solo per usarla successivamente nel loro attacco ransomware. Ciò porta a due conclusioni estremamente importanti: le tecnologie di sicurezza disponibili come MFA dovrebbero essere sempre attivate e gli specialisti della sicurezza dovrebbero prendere sul serio gli incidenti di sicurezza minori e passati, in quanto possono essere forieri di attacchi più grandi.
Visibilità degli eventi di rete
Il Sophos Rapid Response Team spesso rileva che le vittime non vengono a conoscenza di un attacco ransomware fino a quando il ransomware non viene effettivamente lanciato e i dati vengono crittografati. Tuttavia, gli aggressori sono solitamente in rete molto prima che il ransomware venga attivato. Gli aggressori possono impiegare giorni o addirittura mesi per prepararsi a infliggere il massimo danno o estorcere profitti. Nel suo Active Adversary Playbook 2021, Sophos ipotizza un tempo di permanenza medio di undici giorni per gli aggressori nella rete della vittima. Colonial era anche una delle società che non disponeva della necessaria trasparenza e visibilità per identificare gli aggressori in una fase iniziale. Pertanto, gli strumenti Endpoint Detection and Response (EDR) sono di grande valore, non solo per prevenire gli attacchi, ma anche per consentire all'organizzazione di cercare minacce latenti.
pianificazione per le emergenze
In particolare, le grandi aziende o gestori di infrastrutture importanti hanno solitamente buoni piani di emergenza per eventi in produzione, per difetti, incidenti e altri eventi tradizionalmente classici. Tuttavia, i pericoli informatici ancora raramente sembrano essere ancorati a tali piani - questo è anche il caso di Colonial. I piani di emergenza sono essenziali per la sopravvivenza. Le organizzazioni di tutte le dimensioni dovrebbero condurre una valutazione della sicurezza e pianificare come rispondere a potenziali incidenti. Alcune delle valutazioni possono essere effettuate internamente, altre con specialisti esterni. Quindi elaborare piani per a) proteggere meglio le aree più deboli, b) disporre di un processo in atto nel caso qualcosa vada storto e c) testare le mitigazioni rispetto al piano di miglioramento e risposta.
Dovrebbero essere incluse anche informazioni provenienti da fonti come il Centro di condivisione e analisi delle informazioni (ISAC), in particolare per le aziende e le organizzazioni in aree particolarmente importanti. Queste organizzazioni raccolgono, analizzano e diffondono informazioni sulle minacce e forniscono strumenti per mitigare i rischi e migliorare la resilienza.
Pagare o non pagare
Le aziende sono sempre inclini a pagare alti riscatti agli aggressori in una situazione di emergenza. Ci sono molti esempi in cui le aziende sono state costrette a conformarsi perché i loro backup erano danneggiati o mancanti. Altri vogliono rimettere in funzione la rete il prima possibile, e altri ancora scelgono di pagare perché sembra più economico del costo del ripristino. Un altro motivo comune è impedire che i dati rubati vengano venduti o resi disponibili al pubblico. Colonial ha anche citato uno di questi motivi come giustificazione del pagamento.
essenza della valutazione
La crescente intensità criminale, la creatività e l'intelligenza degli aggressori non possono essere contenute, gli sviluppi degli ultimi anni descrivono il contrario. Tuttavia, ci sono molte e spesso inutilizzate possibilità per ridurre il potenziale di rischio.
“Non dovrebbe essere necessario un attacco affinché un'azienda o un'organizzazione diventi più forte nella sicurezza informatica. Dovresti ora dedicare tempo e risorse per valutare la situazione della sicurezza in modo da stabilire immediatamente e con il massimo livello di competenza - sia internamente che con specialisti esterni - una difesa migliore e precoce ove possibile", riassume John Shier .
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.