Se la sicurezza fallisce, ecco la resilienza

A cura di:Luigi Perrone Ore

Con l’aumento degli attacchi informatici, la resilienza informatica sta diventando più importante che mai. Le aziende, le organizzazioni mondiali fino ad arrivare ai singoli individui si trovano sempre più spesso ad affrontare minacce informatiche di maggiore gravità e con costi rilevanti. Così le agende ed i tavoli di lavoro su questa materia diventano sempre più partecipati e questo perchè la Cyber-Resilience richiede una strategia capace di resistere agli attacchi informatici se non addirittura prevenirli in modo da preservare la propria organizzazione da conseguenze spiacevoli con impatti significativi che riguardano:

  • Perdita di fiducia e reputazione sia individualmente che per il marchio di un’azienda
  • Interruzione della fornitura di beni e servizi ai propri clienti o cittadini
  • Elevato costo finanziario per recuperare i dati
  • Ulteriori costi aggiuntivi per indagini, rimedi e ripristino dopo l’attacco

Per questo motivo diventa sempre più necessario mettere in campo una strategia di sicurezza in grado di ridurre al minimo il rischio che gli attacchi arrivano al cuore dei sistemi, alle applicazioni e soprattutto ai dati, e questo lo si realizza mediante una efficace fase di “early-detection”, cioè creando un sistema efficiente di identificazione ed analisi capace di innescare risposte veloci prima che il danno possa propagarsi nel sistema.

Una tra le risposte più care a molti è la resilienza e cioè la capacità di intervenire nel più breve tempo possibile nel recupero e ripristino dello stato ottimale delle risorse, in caso di attacco accertato. Chiariamo subito che prepararsi a rispondere ed a riprendersi da un attacco informatico non è un qualcosa di banale, ma deve essere accuratamente progettato, pianificato e testato.

Sappiamo bene come la recente pandemia e la corsa alla trasformazione digitale ha accelerato l’azione dei malintenzionati e i criminali nel rubare od alterare dati e sistemi informatici sfruttando le diverse forme di malware, ransomware che imperversano sul web. La riprova di questi rischi l’abbiamo nell’aumento delle normative che obbligano aziende ed organizzazioni a prendere le dovute precauzioni contro gli attacchi informatici, includendo la segnalazione di attacchi (sia privatamente al governo che alle agenzie di regolamentazione, ma anche pubblicamente) oltre alla dimostrazione di un piano ponderato e testato per prevenire o affrontare gli attacchi informatici.

Oggi, tra gli attacchi informatici che si verificano più frequentemente e che sono anche i più temuti, abbiamo i ransomware che, secondo diversi studi, sono stati la principale causa per cui diverse aziende hanno chiuso o comunque sono state costrette a ridurre i posti di lavoro. Questi tipi di attacchi risultano in continua evoluzione sia in termini di numerosità che di sofisticazione. Lo testimoniano alcuni settori produttivi che hanno dovuto contrastare oltre il doppio del numero di attacchi cosiddetti “normali” nel corso della recente pandemia. E per sbloccare i dati, i riscatti sono aumentati da centinaia o migliaia di dollari fino a decine di milioni di dollari con una previsione ulteriore di crescita.

Ma vediamo brevemente come incide in generale il ransomware: inizialmente potrebbe essere camuffato da un malware generico che si è fatto strada mediante tecniche di phishing e furto d’identità oppure mediante allegati infetti inviati tramite e-mail. Ma anche tramite siti web non aggiornati che vengono bucati mediante vulnerabilità dei browser. Insomma tutti metodi utili per iniettare il ramsomware nei programmi e nelle risorse dell’infrastruttura IT. Dopo essersi infiltrato, il ransomware si concentra sui dati relativi alle applicazioni e database e solo poi si direziona verso i dati “cuore” dei sistemi informatici, in quanto l’obiettivo primario è mantenere i sistemi attivi e funzionali per poter crittografare più dati possibili. E’ per questo motivo che viene richiesta una protezione globale a tutti i livelli, a partire dalle infrastrutture, dai sistemi operativi al clustering, dai dati applicativi e aziendali archiviati in database e file-system fino ai sistemi di storage e backup per il ripristino di emergenza (DR). In ogni caso abbiamo un unico risultato finale: dati inutilizzabili (perchè criptati) o perdita di dati (su singoli file, su file system o database)

Ma la perdita di dati può essere anche involontaria, causata anche da aggiornamenti applicativi o da nuove patch/ptf che risolvono un problema causandone un altro o da un semplice errore umano determinato da comandi o da processi. Sono tutte cause involontarie che provocano comunque gravi perdite di dati ma che, generalmente, sono facili da individuare. Diverso è il caso del danno intenzionale che deliberatamente modifica, distrugge, corrompe o ruba dati. Questo tipo di attacco è di solito più difficile da rilevare soprattutto se comporta la codificazione di dati validi. Un esempio può essere l’attacco in cui vengono cambiati i valori in un database relativi a numeri di previdenza sociale o numeri di identificazione governativi con persone sbagliate. Tutti i dati sembrerebbero ancora accurati, ma sono in realtà associati a persone differenti da quelle reali. E questo spesso si manifesta con attacchi provenienti dall’interno dell’azienda, con operazioni lecite dal punto di vista formale da parte degli utenti censiti sul sistema, quindi in maniera trasparente e magari anche silente.

La strategia di resilienza informatica

Una strategia completa di resilienza informatica dovrebbe sempre includere i seguenti elementi:

Identificazione: questa funzione si concentra sulla necessità di comprendere bene i propri asset e le risorse importanti. Parliamo quindi di asset management, environment, governance, valutazione e gestione del rischio, ecc.

– Protezione: questa funzione copre gran parte dei controlli di sicurezza fisici e logici che prevedono lo sviluppo e l’attuazione di adeguate salvaguardie per la protezione delle infrastrutture critiche. Rientrano in questa categoria la gestione dell’identità e il controllo degli accessi, la consapevolezza e la formazione, la sicurezza dei dati, i processi e le procedure di protezione delle informazioni, ecc.

– Rilevamento: questa funzione si concentra sulle misure che avvisano un’organizzazione di attacchi informatici, che potrebbero includere anomalie ed eventi, quindi il monitoraggio continuo della sicurezza e la tempestività dei processi di rilevamento.

– Risposta agli incidenti: questa funzione garantisce una risposta adeguata agli attacchi informatici ed altri eventi di sicurezza informatica. Le categorie includono pianificazione della risposta, comunicazioni, analisi, mitigazione e miglioramenti.

– Recupero: questa funzione copre l’effettiva attuazione dei piani per la resilienza informatica garantendo la continuità operativa (Business Continuity) in caso di attacco informatico, violazione della sicurezza o altro evento di sicurezza informatica. Le funzioni di recupero sono guidate della pianificazione del recupero e dalle comunicazioni.

Sono disponibili diversi framework che possono essere utilizzati per creare e migliorare i piani di sicurezza informatica e di resilienza quindi anche a migliorare la prontezza nella risposta. Ne cito due su tutti: il framework del NIST (Computer Security Incident Handling) e quello proposto dalla standardizzazione ISO. Sostanzialmente questi ci guidano nella stesura della strategia del ciclo di vita di risposta agli incidenti ransomware, quindi alla resilienza dei sistemi e che si basa sui quattro punti chiave:

  • Preparazione
  • Rilevamento e analisi
  • Contenimento, eradicazione e recupero
  • Attività post-incidente

Alla luce di quanto è stato detto, si evince come la resilienza informatica sia a tuti gli effetti un’estensione delle tradizionali soluzioni di Disaster Recovery e Business Continuity. Ed in effetti si basa sui tradizionali elementi costitutivi dei sistemi ridondanti in DR, copie multiple di dati e replica dei dati in più posizioni. Ma c’è una differenza fondamentale tra la progettazione e l’implementazione di una soluzione di resilienza tradizionale rispetto ad una soluzione di resilienza informatica:

  • la resilienza tradizionale deve proteggere da situazioni in cui i dati sono nel loro stato normale ma potrebbe essere necessario sincronizzarli o ripristinarli ad un preciso time-stamp.
  • la resilienza informatica invece deve proteggere e rispondere a situazioni in cui sistemi e dati vengono intenzionalmente danneggiati, cancellati o crittografati. Ciò comporta l’adozione di un piano in grado di proteggere dati e sistemi nel loro continuo evolvere riducendo al minimo eventuali danni ed interruzioni che potrebbero derivare da possibili minacce.

Cosa dire del Backup/Restore ?

Normalmente, per conferire sicurezza ed affidabilità dei dati la tecnica maggiormente adottata è sempre stata quella del backup/restore o del DR (Disaster-Recovery). Queste procedure di solito implicano vari metodi di copia dei dati su sistemi di archiviazione, (generalmente su nastro) e dovrebbero essere eseguiti su base schedulata secondo le direttive aziendali, magari con l’aiuto di tool o sw di automazione capaci anche di gestire la retention dei dati prima di una loro definitiva cancellazione. Poi però è necessario anche testare questi backup in modo da essere sicuri che siano davvero validi, ripristinandoli, quindi con un investimento importante in termini di persone, risorse e tempo. A volte questi tre elementi non risultano sufficienti in quanto potrebbero essere altre le cause di un possibile fallimento nel ripristino come ad esempio il non avere un ambiente speculare con tutte gli elementi Hw e Sw ridondati, come in una configurazione di tipo HA (High-Availability).

Sebbene questa tecnica mostri comunque una sua efficacia nella protezione dalla perdita di dati esistono limitazioni quando si affrontano problemi di danneggiamento dei dati, come ad esempio:

  • Replica di dati danneggiati in sistemi non isolati.
  • Eventi improbabili che attivano DR. Il danneggiamento dei dati può non essere rilevato per lunghi periodi.
  • Mancanza di granularità per i punti di ripristino di backup a breve e medio termine.

In questo modo la flessibilità del recupero diventa limitata ed il recupero risulta parziale è difficile. Ecco perchè occorre tendere a raggiungere una resilienza informatica di livello aziendale con lo scopo di fornire funzionalità che vanno oltre al backup/restore ed oltre il DR, in quanto deve essere in grado di effettuare un ripristino dei dati in maniera sicura, cioè dopo essere stati validati, e soprattutto nel più breve tempo possibile.

Solo resilienza non è sufficiente

Si dice spesso che la sfida più grande lanciata da un attacco informatico è rilevare che i sistemi sono stati compromessi o che un utente malintenzionato abbia ottenuto l’accesso con successo da qualche parte nell’ambiente IT aziendale intervenendo ancor prima che si possa verificare il danno. Molti studi mostrano diversi casi in cui un utente malintenzionato potrebbe aver lavorato senza essere stato rilevato per diversi mesi prima di iniziare l’attacco vero e proprio, alla ricerca dei punti deboli, all’ottenimento di privilegi più elevati e alla diffusione del malware per condurre l’attacco (lateral-movement). Pertanto la vera piena resilienza informatica comincia a partire dal rilevamento delle intrusioni, dal monitoraggio di comportamenti insoliti da parte di individui, dal monitoraggio di programmi e sistemi, dai report, allarmi e dashboard utili per avvisare i team di sicurezza di comportamenti sospetti.

A tutto questo occorre però aggiungere una corretta istruzione di tutto il personale su come prevenire punti di attacco comuni, come phishing, smishing, vishing o ingegneria sociale, in modo da poterli riconoscere segnalandoli opportunamente. Se si interviene dopo che il ransomware è stato rilevato allora è troppo tardi. Tutti gli investimenti su tecnologie, strumenti, processi e monitoraggio, l’istruzione e la comunicazione non sarebbero serviti a nulla se non consentono di intervenire ancor prima che si verifichi un incidente. Tuttavia una vera soluzione di resilienza informatica, per essere tale, deve fornire funzionalità di “airgap”, con copie di dati (backup) immutabili cioè che non possono essere danneggiate o cancellate dall’attacco informatico. A seguire occorrono strumenti di continua validazione dei dati per verificare che non siano presenti tracce di un attacco creando così fiducia nella qualità dei backup effettuati. Questi strumenti aiutano anche a svolgere operazioni forensi e di analisi necessarie per valutare l’entità dell’incidente.

 

Articolo a cura di Luigi Perrone

Profilo Autore
Luigi Perrone

Architetto e specialista IBM di sicurezza informatica e protezione dei dati.
Attualmente ricopre il ruolo di Security Technical Leader a livello GEO nell’ambito dei sistemi mainframe e hybrid-cloud. Nel suo lungo percorso professionale ha ricoperto diversi ruoli in ambito tecnologico con contatto diretto e continuo con i clienti fornendo consulenza e progettualità nella stesura di architetture di sicurezza e della security intelligence negli ambienti IT

Altri Articoli
Condividi sui Social Network:

Articoli simili

Macro dinamiche del rischio cyber

Macro dinamiche del rischio cyber

A cura di:Marcello Fausti Ore Pubblicato il

Ogni anno, in concomitanza con il ben noto meeting annuale, il World Economic Forum pubblica il Global Risk Report prodotto con la collaborazione di esperti e decision-maker disseminati in tutto il mondo per identificare e analizzare i rischi più rilevanti per la nostra società globalizzata. I rischi di cui si occupa il Global Risk Report…

Cybercrime as a Service, il rapporto Spotlight 2023 di Europol analizza l’evoluzione dei cyber-attacchi

Cybercrime as a Service, il rapporto Spotlight 2023 di Europol analizza l’evoluzione dei cyber-attacchi

A cura di:Redazione Ore Pubblicato il

Il cybercrime è in continua evoluzione e il modello crime-as-a-service (CaaS) ne è un esempio lampante. In questo modello, i criminali offrono ai propri clienti una gamma di servizi che gli consentono di lanciare attacchi informatici senza avere conoscenze o competenze tecniche specifiche. Ciò ha reso il cybercrime più accessibile e diffuso, con conseguenze devastanti…

Le basi della digital forensics nella circolare 1/2018 della Guardia di Finanza

Le basi della digital forensics nella circolare 1/2018 della Guardia di Finanza

A cura di:Paolo Dal Checco Ore Pubblicato il

È ormai noto come, durante le attività d’indagine in ambito di contrasto all’evasione e alle frodi fiscali, le Forze dell’Ordine s’imbattano sempre più spesso nella documentazione digitale, che sta lentamente sostituendo quella cartacea. I controlli che un tempo portavano a produrre scatoloni di fotocopie, faldoni, carta e documenti da esaminare in Caserma ormai di frequente…

Guida pratica per la difesa cibernetica aziendale attraverso il fattore umano

Guida pratica per la difesa cibernetica aziendale attraverso il fattore umano

A cura di:Giacomo Gabrieli Ore Pubblicato il

Nell’era digitale in costante evoluzione le tecnologie avanzano, le opportunità crescono, e parallelamente aumenta anche la complessità delle sfide informatiche. Le organizzazioni si trovano pertanto di fronte a un costante dilemma: come proteggere i propri dati e la propria reputazione in un mondo sempre più interconnesso? La risposta risiede nell’elemento umano, il cosiddetto Human Factor,…

Elementi di sicurezza negli impianti domotici – parte seconda

Elementi di sicurezza negli impianti domotici – parte seconda

A cura di:Matteo De Simone e Michelangelo De Bonis Ore Pubblicato il

Continuiamo questo excursus sul tema della sicurezza negli impianti domotici iniziato con il precedente articolo. Siamo partiti analizzando le fragilità introdotte dal fattore umano e ora, in questo articolo, affronteremo il tema dal punto di vista dell’infrastruttura tecnica impiantistica. Concluderemo il nostro percorso nel prossimo articolo affrontando le problematiche che nascono con l’apertura della casa…

NMAP scripting con NSE

NMAP scripting con NSE

A cura di:Gianluigi Spagnuolo Ore Pubblicato il

Vi prometto che non spenderemo una riga su cos’è Nmap, su quanto sia utile e potente. Partiamo dal presupposto che sappiamo cosa sia e lo abbiamo utilizzato. Quello che forse pochi sanno è che Nmap è programmabile. È infatti dotato di uno scripting engine (Nmap Scripting Engine, NSE) vero e proprio che permette di aggiungere…