Le pillole di Empeiria
Pillola n. 1: come aumentare la sicurezza informatica della propria azienda?
Per difendersi efficacemente da una minaccia la prima cosa da fare è prendere coscienza che la minaccia esiste. Bisogna rendersi conto che c’è un crescente rischio cibernetico e non è più sufficiente (se mai lo è stato) un approccio basato solamente su antivirus e firewall.
Le statistiche che riportano la quantità di attacchi informatici verso le aziende evidenziano una forte crescita e ci dicono che alcuni settori sono maggiormente soggetti ad attacchi. I settori più colpiti nel 2020 sono Machinery Equipment & Components (25,13%), Diversified Financial Services (11,23%), Textiles & Apparel (9,63%), Oil & Gas (7,49%) e poi via via tutti gli altri. Ma prescindendo dal settore è importante per tutti capire che non si tratta di pensare in termini di “se” ma in termini di “quando”.
Perché è certo che prima o poi l’azienda subirà un attacco informatico: che si parli di phishing, di ramsonware o di un attacco di tipo APT (Advanced Persistent Threat), il tema vero è farsi trovare pronti. E purtroppo va detto che troppo spesso le aziende italiane non sono pronte.
I gruppi di hacker invece sono molto organizzati e il loro modus operandi è ormai consolidato: dopo una ricognizione iniziale (esterna) che serve a raccogliere la maggior quantità di informazioni possibili sull’azienda, inizia l’attacco. La compromissione iniziale può essere ottenuta ad esempio con un attacco di tipo spear phishing (una mail che contiene allegati e link con codici malevoli) oppure inserendo il malware su siti che la vittima visiti spesso, come un fornitore importante della propria supply chain. Quando l’hacker riesce ad entrare in rete inserisce delle backdoor e cercherà di ottenere maggiori privilegi per accedere ad altri sistemi. L’intruso cercherà di ottenere un dump delle password, magari dal domain controller, e inizierà la ricognizione interna, per capire l’architettura interna alla rete. I server (file-server, i domain controller, i server di posta) saranno probabilmente oggetto delle prime ricognizioni. Anche l’installazione di ulteriori malware su altri computer della rete è oltremodo probabile: l’intruso deve garantirsi le maggiori possibilità di accesso dall’esterno mantenendo un profilo invisibile. Prendere poi possesso di certificati PKI, di client VPN e di credenziali attive permette loro di mascherarsi da utenti legittimi della rete.
L’intruso può rimanere in rete anche molto a lungo (mesi), fino a che decide di finalizzare il suo attacco. Quando passa all’azione i dati raccolti saranno esfiltrati e poi compromessi (ad esempio con crittografia degli stessi). A quel punto arriva una richiesta di riscatto, offrendo una chiave di decrittazione per recuperare i dati e/o minacciando di rendere pubblici i dati rubati. Che probabilmente verranno comunque venduti nel dark web. Spesso chi subisce un attacco di questo tipo cerca di non pubblicizzarlo, ma se i dati vengono pubblicati poi diventa un segreto di pulcinella e c’è anche il rischio – in caso di dati personali – di ricevere pesanti sanzioni dal garante della privacy.
Lo scenario sopra dipinto è particolarmente preoccupante, vero? Nel prossimo post parleremo di come contrastare efficacemente questo quadro che è oggettivamente ansiogeno, facendo in modo che l’attacco sia evitato o per lo meno evidenziato immediatamente ai sistemi informativi interni dell’azienda. In particolare parleremo di misurazione dell’indice di rischio cibernetico e di software sentinella e/o blackbox.
Diego Bonetto
