La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.01
Da qualche giorno c’è una brutta aria di tempesta che sorvola PA e grandi gruppi nazionali. Si apprende attraverso rumors e tam tam tra specialisti, anche se nessuno, come spesso accade, denuncia apertamente l’incidente.
Mentre la prima ondata di Cryptolocker e Cryptowall, di circa un anno fa, sembrava prevalentemente indirizzata a famiglie e studi professionali, adesso è la volta dei pesci grossi. Ma la strategia è un po’ più complessa di ciò che appare. Come già abbiamo spiegato più volte, gli attacchi non sono direttamente rivolti alle grandi organizzazioni, che solitamente dispongono di risorse e mezzi per presidiare i rischi, ma mirano piuttosto a colpire indirettamente la filiera delle piccole e medie imprese, alcune delle quali svolgono anche ruoli importanti in outsourcing per conto di grandi gruppi.
Il piano di chi utilizza i ransomware per attaccare – parliamo di cifrature asimmetriche fino a 4096 bit per segregare le informazioni in modo irreversibile se non si dispone della chiave di generazione – sembra, almeno in prima battuta, quello di rendere i file del PC e dei server in esso mappati indisponibili, costringendo i malcapitati al pagamento, con moneta virtuale, di un riscatto in cambio della chiave. Come se non bastasse i file in ostaggio non vengono restituiti integri, bensì dispersi in un mare di cluster da ricostruire, con l’aggravio di un’ulteriore perdita di tempo.
L’approccio per contrastare questo fenomeno si sposta sempre più dall’aspetto di riservatezza delle informazioni verso la loro disponibilità, demandando di fatto la giusta risposta in caso d’incidente ad un sistema di continuità operativa.
I backup acquisiscono quindi un ruolo fondamentale nel minimizzare i danni. In prima istanza, se disponibili e acquisiti in modo coerente con gli obiettivi di RPO (Recovery Point Objective) identificati, scongiurano la necessità di valutare l’eventuale pagamento del riscatto per acquisire la chiave di ripristino delle informazioni, evitando anche all’organizzazione di porsi in una situazione di correità: il pagamento del riscatto comporta questa conseguenza.
In seconda istanza, i backup permettono quindi all’organizzazione che ha subito un attacco di sporgere denuncia alla polizia postale, innescando un processo che riguarda l’intera comunità, finalizzato ad arricchire le informazioni disponibili circa gli eventi e favorire così lo sviluppo di adeguate soluzioni.
In terza istanza, il ripristino delle informazioni, se avviene in modo coerente con gli obiettivi di RTO (Recovery Time Objective) e MBCO (Minimum Business Continuity Objective) causa disservizi tollerabili, senza particolari conseguenze.
Pur restando ancora ignota la vera vulnerabilità sfruttata dai ransomware, è possibile identificare alcuni accorgimenti che possono inibirne il funzionamento già in fase preventiva.
Innanzi tutto, occorre verificare costantemente che il sistema antivirus installato sia regolarmente aggiornato e funzionante, soprattutto per le attività di scansione del traffico e-mail in ingresso e del monitoraggio in tempo reale di eventuali codici malevoli (soprattutto javascript) presenti nelle pagine web consultate.
Anche l’utilizzo di sistemi di risoluzione dinamica dei nomi di dominio potrebbe inibire il dialogo con i sistemi di generazione delle chiavi di cifratura, rendendo di fatto il ransomware inefficace. Infine, il monitoraggio costante di traffico dati e impiego di CPU e RAM costituiscono dei validi indicatori per l’individuazione di attività anomale.
Come sempre, però, è necessario tenere presente che le misure organizzative hanno un peso altrettanto importante se non, in alcuni casi, superiore rispetto a quelle tecniche.
Ad esempio, nella revisione dei contratti con i fornitori – mi riferisco nello specifico alla scelta del produttore del sistema antivirus – perché non verificare periodicamente anche la portata degli investimenti svolti in ricerca e sviluppo? Potrebbe infatti esistere una relazione tra questo fattore e la tempestività con la quale vengono rilasciati gli opportuni aggiornamenti o tool integrativi. Rappresenta certo un’ardua sfida per tutti i vendor presenti sul mercato quella di mantenere il passo con la rapida evoluzione degli strumenti di attacco messi a punto.
Parallelamente, è altrettanto importante riservare particolare attenzione al monitoraggio delle informazioni diffuse dai centri specialistici, mantenendo un adeguato livello di aggiornamento circa le potenziali minacce, anche di natura tecnologica.
Quest’attività, chiaramente espressa nell’annex A della normativa ISO per la sicurezza delle informazioni, viene spesso sottovalutata, pur rappresentando uno dei fattori principali di efficacia per la sicurezza.
L’atteggiamento giusto per non piangere lacrime di coccodrillo si fonda, come spesso ricordiamo, sulla consapevolezza, sulla capacità di prevedere i possibili scenari e di confrontarsi con essi in modo preventivamente coordinato. Quindi, almeno in questo caso, a suon di formazione ed esercitazioni, il rischio dovrebbe risultare adeguatamente trattato, almeno per un po’, fino all’arrivo di una nuova situazione più evoluta, dalla portata ancor più distruttiva.