Mese: settembre 2020

La frequenza con cui accade mi preoccupa. Lo scenario che mi viene riferito è questo: i primi dipendenti arrivano in azienda e si accorgono che qualcosa non va nei sistemi, avvisano l’IT Manager o il System Intergrator che gli da supporto i quali devono constatare un fatto non piacevole. I dati dell’azienda sono cifrati. Niente File Server, niente e-mail, niente ERP, niente… funziona solo l’accesso ad internet (di solito) e poco altro.

Quando abbiamo realizzato il team VERSIVO l’obiettivo che abbiamo dato al nostro lavoro era aiutare le aziende ad evitare tutto ciò e, nel caso si dovesse verificare, ad essere preparate ad affrontarlo. In questo momento particolare ci troviamo ad incontrare aziende per la prima volta proprio nel momento peggiore, nelle ore subito successive all’attacco o durante.

Condivido solo oggi questo mezzo pensiero in quanto recentemente il numero di telefonate delle 09:01 del mattino è aumentato parecchio e non posso non vederci un chiaro sintomo: da un lato ancora troppe aziende sottovalutano il tema della cyber security, ma bisogna anche prendere atto del livello e della tipologia degli attacchi informatici che stando andando a segno anche quando il target è un’azienda strutturata che non parte certo da zero (non cito i casi, sono sui giornali). Attacchi chiaramente mirati, fatti “bene”, precisi.

Su due cose voglio porre l’accento, senza un preciso ordine perché la situazione è veramente complessa e andrebbe valutata caso per caso, e devo ancora una volta scomodare le parole di Sun Tzu.

“conosci il tuo nemico” — Dobbiamo metterci nei panni di chi ci attacca per capire come potremmo essere colpiti. E’ un banale tema di vantaggio strategico, se so come mi possono attaccare potrò andare a porre dei correttivi, potrò strutturarmi. L’approccio basato interamente sulla protezione (metto presidi di sicurezza la dove “credo” di essere debole) ha già fallito… è ovviamente necessario ma non sufficiente. E fidatevi, non potete farlo da soli, vi serve un Red Team qualificato con dentro gente che conosce il mondo della sicurezza offensiva: Ethical Hacker, Penetration Tester, e compagnia… ma gente con skills ed esperienza, vi prego…

“conosci te stesso” — Nel caso in cui vi troviate ad affrontare il peggio, avete un piano? Sapere come gestire un security incident? Avete una procedura di bonifica e recovery? Ve lo dico io: nel 99% dei casi non avete nulla di tutto ciò. Avete i backup che puntualmente i criminali informatici vi mettono fuori uso, avete password che vi vengono rubate, avete anti-malware che vengono elusi, avete firewall che vengono bypassati. Insomma, se dovesse capitare è bene che al vostro fianco ci sia qualcuno che sappia COSA VA FATTO, prima ancora del COME. Non è un tema di tecnologia, è un tema di strategia.

Vorrei chiudere con delle parole di conforto ma la realtà è che la situazione è grave ed in peggioramento. Rifletteteci anche voi e se volete lasciate qui sotto il vostro pensiero.

Vi confido un segreto: nella progettazione e realizzazione di un attacco informatico è fondamentale individuare il “punto debole” perché è da lì che si guadagnerà un accesso a sistemi e informazioni.

Banale? Sì, ma a quanto pare poco chiaro. Sin dai primi confronti sul percorso di analisi della sicurezza di una struttura percepisco chiaramente nei miei interlocutori la certezza del controllo, talvolta con frasi un po’ sconcertanti tipo:

“La password di quel sistema la conosco solo io.”
“Abbiamo il miglior Firewall sul mercato.”
“Le porte USB delle workstation non consentono l’utilizzo di pen-drive.”

Tutte cose sagge e sicuramente vere, ma non si considera che dal punto di vista dell’attacker le password talvolta non servono, i firewall si eludono (o addirittura si by-passano) e non ho ancora visto un sistema bloccare una usb-rubber-ducky (e spesso quando ne parlo l’interlocutore non sa cosa sia).

Comprensibilmente, se abbiamo lavorato bene, riteniamo di aver pensato a tutto o quasi. Diamo per scontato che tutte le porte siano state ben chiuse e di essere ben consapevoli di quali siano i punti deboli della nostra struttura.

Questa è una tipica posizione pericolosa che rischia di mettere seriamente a rischio la vostra infrastruttura. Un attacker ben motivato non si fermerà al deny del firewall ma semplicemente cercherà altre vie. Nella progettazione di un attacco è fondamentale il rapporto costo/beneficio: l’attacker è consapevole che non ha senso accanirsi contro un punto del perimetro ben presidiato e prenderà in considerazione altri punti potenzialmente vulnerabili che non necessariamente saranno dei sistemi informatici.

E’ una consuetudine utilizzare il mezzo informatico per ingannare la vittima al fine di estorcere le informazioni utili, uno dei primi bersagli è infatti l’utente inesperto da utilizzare come “ariete”. E sono sempre gli utenti che portano in rete device di ogni tipo spesso non controllabili dall’amministratore di rete. Per farla breve: il controllo è pura illusione, si può controllare molto ma non tutto.

Per l’attacker questo è un dato di fatto, è l’assunto su cui si costruisce l’attacco, il motivo per il quale il successo di un’intrusione è, sempre più spesso, una questione di tempo. Quindi, visto che la motivazione degli attacker è, stando alle statistiche, per lo più economica (parlerò più avanti del tema di Business che si è sviluppato) diventa importantissimo rendere questo processo efficiente investendo risorse nella ricerca del punto debole (e che ci crediate o meno, c’è sempre) per poi sferrare un attacco specifico e mirato.

Personalmente ho incontrato molte realtà ben strutturate con eccellenti professionisti in campo IT e Security, ma non ho trovato nessuno di invulnerabile.