Dopo Sunburst (Solarwinds), l'attacco a Kaseya è il secondo sensazionale attacco alla catena di approvvigionamento in sei mesi. In base al numero di aziende colpite contemporaneamente, l'attacco informatico è sicuramente uno dei più grandi nella storia della sicurezza informatica. Commento sulla crisi Kaseya di Richard Werner, consulente aziendale di Trend Micro.
Nel fine settimana del 4 luglio, la festa nazionale degli Stati Uniti, un attacco informatico ha colpito il fornitore di servizi Kaseya e si è diffuso rapidamente ai suoi clienti e ad altre aziende. Secondo la piattaforma di notizie Bleepingcomputer, sono stati colpiti circa 50 clienti diretti del provider, che a loro volta hanno infettato i loro clienti come fornitori di servizi. Secondo l'agenzia di stampa, circa 1.500 aziende in tutto il mondo sono interessate.
50 clienti Kaseya infettano altre 1.500 aziende
Trend Micro può confermare che si sono verificati incidenti anche in Germania. Il fatto che l'attacco sia avvenuto in una delle festività più importanti negli Stati Uniti non è una coincidenza, ma un attento calcolo da parte degli autori - che ha funzionato. Non solo i team di sicurezza IT sono generalmente a corto di personale nei fine settimana e nei giorni festivi, ma anche le catene di comunicazione con i clienti interessati sono state interrotte, consentendo in molti casi all'attacco di diffondersi senza ostacoli. In base al numero di aziende colpite contemporaneamente, l'attacco informatico è sicuramente uno dei più grandi nella storia della sicurezza informatica. Se li scomponi nelle loro singole parti, vengono in mente molti parallelismi con altri attacchi. Dallo schema approssimativo e ripetitivo, le aziende possono trarre alcune lezioni utili per la loro infrastruttura:
Tutto inizia con la vulnerabilità
Ciò che colpisce del caso “Kaseya” è che nel software è stata utilizzata una falla di sicurezza, di cui il produttore era a conoscenza al momento del delitto e la cui chiusura era già in fase beta. Agli aggressori non restava molto tempo se volevano avere successo. Il fornitore del servizio è stato messo a conoscenza dell'esistenza della vulnerabilità tramite la cosiddetta "divulgazione responsabile" e si è adoperato per chiuderla. La connessione temporale è tuttavia insolita e lascia spazio all'interpretazione. Sebbene il problema delle patch sia ben noto nella sicurezza IT, le aziende dovrebbero tenere presente che gli aggressori non cercano solo vulnerabilità in Microsoft o in altre varianti software ampiamente utilizzate, ma anche nel software dei fornitori di servizi IT. L'attenzione è rivolta in particolare alle applicazioni che sono in comunicazione diretta con diversi dispositivi dei clienti. Se gestisci il tuo sviluppo software, anche questo fatto deve far parte del calcolo del rischio.
Le specifiche di un attacco alla catena di approvvigionamento
L'intero incidente rientra nella categoria "attacco alla catena di approvvigionamento". In questa categoria, che è ancora relativamente rara ma sta diventando sempre più comune, l'autore infetta inizialmente i fornitori di servizi IT. Questi sono così interessanti perché mantengono connessioni IT esistenti o attivabili ad altre aziende. Sono interessati, ad esempio, i meccanismi di aggiornamento che eseguono gli aggiornamenti direttamente nei sistemi esterni, ma anche i sistemi di manutenzione remota, l'elaborazione degli ordini e simili. Di conseguenza, gli autori possono impossessarsi di una macchina, di solito un server, nel data center della vittima. Contrariamente agli attacchi "classici", l'intera sicurezza di rete e le soluzioni di sicurezza basate su client vengono aggirate. Ciò che rimane è ciò che viene attivato sui sistemi server e monitora le comunicazioni tra i sistemi server.
La tecnologia antivirus obsoleta apre nuove strade
Soprattutto nei data center locali, si tratta molto spesso di una tecnologia antivirus obsoleta. Inoltre, spesso mancano importanti patch di sicurezza, nel caso in cui i sistemi operativi siano supportati. Questa circostanza garantisce che l'autore del reato possa spesso eliminare la vittima finale in modo estremamente rapido e muoversi nei sistemi quasi inosservato. Maggiore è il danno iniziale, meglio è per l'attaccante, in quanto ciò può creare un'enorme pressione. L'offerta speciale di Kaseya ha dato ai criminali l'opportunità non solo di raggiungere direttamente le aziende, ma anche di raggiungere i loro clienti. Questo spiega il numero relativamente elevato di vittime. Gli attacchi alla catena di approvvigionamento sono relativamente rari perché sono complicati e comportano un grande sforzo per un utente malintenzionato. Tuttavia, il loro effetto è spesso fatale.
Lezioni da Kaseya
È importante capire che questa non è un'onda passeggera. Nel panorama della sicurezza IT attualmente in rapida evoluzione, in molti casi fattori esterni sono responsabili della situazione attuale. Questi includono l'importanza dell'IT nelle aziende, l'uso generale dell'IT da parte dei dipendenti e l'emergere di Bitcoin. Mentre i primi due contribuiscono a rendere l'IT e quindi soprattutto la sicurezza IT nelle aziende sempre più complesse e quindi più confuse, l'emergere delle criptovalute ha effettivamente rivoluzionato il cyber underground. Ciò consente ai protagonisti clandestini di diventare sempre più specializzati e commerciare liberamente tra loro. Tutti e tre i fattori non possono più essere invertiti. La complessità menzionata sta diventando sempre più un peso per i difensori, il che causa problemi sia nell'interazione trasferita che nell'interazione puramente interpersonale. Le aziende devono quindi verificare la loro attuale strategia di sicurezza per le moderne tecniche di attacco. L'esempio di Kaseya può aiutare.
Altro su TrendMicro.com
Informazioni su TrendMicro In qualità di uno dei principali fornitori mondiali di sicurezza IT, Trend Micro contribuisce a creare un mondo sicuro per lo scambio di dati digitali. Con oltre 30 anni di esperienza nella sicurezza, ricerca sulle minacce globali e costante innovazione, Trend Micro offre protezione per aziende, agenzie governative e consumatori. Grazie alla nostra strategia di sicurezza XGen™, le nostre soluzioni beneficiano di una combinazione intergenerazionale di tecniche di difesa ottimizzate per ambienti all'avanguardia. Le informazioni sulle minacce in rete consentono una protezione migliore e più rapida. Ottimizzate per carichi di lavoro cloud, endpoint, e-mail, IIoT e reti, le nostre soluzioni connesse forniscono visibilità centralizzata in tutta l'azienda per un rilevamento e una risposta più rapidi alle minacce.