L’ultima vittima eccellente in ordine di tempo è stata la Siae, la Società italiana degli autori ed editori. La lista, però, è lunga: dal Comune di Torino alla Regione Lazio, da Geox a Luxottica, da Campari a San Carlo. Non c’è settore che non sia preso di mira da attacchi informatici con conseguente richiesta di riscatto: i ransomware colpiscono ovunque e nessuna organizzazione può dirsi davvero al sicuro.
La cyber-resilienza è diventata un bisogno prioritario. Tuttavia, se le imprese stanno diventano più abili a difendersi, anche i criminali informatici stanno affinando le loro tattiche. Basta guardare all’evoluzione del ransomware: non colpisce più soltanto un’azienda in quanto tale, ma è in grado di selezionare il suo obiettivo per massimizzare i profitti.
L’attacco in corso su backup e recovery
Tradizionalmente, l’attacco ransomware ruotava attorno alla crittografia dei dati di produzione e alla richiesta di una somma di denaro per ottenere la chiave. Un processo lineare in fondo, una semplice transazione. Ciò accade ancora, ma da qualche anno i vettori di attacco si sono ampliati fino a includere la diretta eliminazione dei file di backup e recovery. Si tratta di un attacco particolarmente insidioso, perché le imprese che eseguono il backup a intervalli regolari non solo si ritrovano con i dati crittografati, ma devono anche fare i conti con la difficoltà di recuperarli senza pagare il riscatto.
Gli attacchi hanno subito poi un’ulteriore evoluzione. Oggi i criminali informatici non si limitano a crittografare i dati e bloccarne il recupero, ma procedono alla cosiddetta data exfiltration: minacciano, cioè, di pubblicare i dati sul dark web o metterli all’asta su Internet. Quest’ultima minaccia è quella che desta le maggiori preoccupazioni, dal momento che nessuna azienda opera più da sola: le attività economiche richiedono ampie relazioni con fornitori, clienti e partner e nessun brand può permettersi il danno reputazionale e l’umiliazione pubblica a cui la esporrebbero i cyber criminali.
Il raggio d’azione dei ransomware si è ampliato ed è diventato problematico difendersi da questo genere di minaccia. È sempre più evidente che un approccio fondato sul perimetro di difesa non è sufficiente: occorrono soluzioni di threat defence e recovery.
Data Exfiltration 101: nuove risposte ai nuovi attacchi
Isolare le comunicazioni illegittime in un network che non presenta anomalie può rivelarsi complicato. Gli hacker sanno bene che una “esfiltrazione” di dati su larga scala è facile da rilevare e adottano un approccio più discreto: selezionano le informazioni che intendono sottrarre e, invece di rubare grandi quantitativi di dati, puntano a volumi contenuti, ma con impatto elevato.
Per anni le grandi organizzazioni hanno gestito le minacce alla sicurezza con un approccio fondato su “point tool”. Quando gestire strumenti così disparati è diventato un incubo per i team di security, i vendor hanno proposto in alternativa comuni tool di gestione e amministrazione basati su tecnologie di sicurezza indipendenti. Una soluzione ben lontana dalla protezione ideale: point tool e soluzioni combinate non sono la risposta adeguata per due motivi.
Innanzitutto, l’attuale combinazione tra l’elevato volume di minacce, la continua evoluzione dei vettori, la preparazione degli attaccanti e i nuovi obiettivi è tale da sopraffare l’attuale configurazione delle difese di sicurezza. In secondo luogo, la presenza di strumenti così diversi pone il problema di come farli operare insieme senza creare blind spot che favoriscano il verificarsi di un attacco.
È questione di fiducia
Quando un attacco va a segno, iniziano i problemi. Non è soltanto questione di recuperare i dati e far ripartire i sistemi, ma di recuperare la fiducia di clienti, azionisti, fornitori e partner. Da tempo i vendor di security sostengono la necessità di un modello Zero Trust quale meccanismo di difesa contro i ransomware; il termine è stato coniato più di dieci anni fa dagli analisti di Forrester sulla base della premessa generale secondo cui tutto il traffico di rete va considerato non affidabile. È la moderna alternativa alla sicurezza basata sul perimetro aziendale ed è fondata sul principio “mai fidarsi, sempre verificare”.
Nel 2021, però, è tempo di andare oltre l’approccio Zero Trust. Investire in soluzioni software che garantiscano insieme sicurezza e governance dei dati in un’unica offerta permette di usare una tecnologia di classificazione basata su AI/ML per identificare dati sensibili – incluse informazioni di identificazione personale – backup e dati di produzione e determinare chi ha accesso ad essi, aiutando a rafforzare gli ambienti prima che si verifichino degli attacchi.
Permette, inoltre, di automatizzare e semplificare la classificazione dei dati con policy predefinite per le regolamentazioni comuni, quali GDPR, CCPA e HIPAA, per soddisfare i requisiti di conformità e di governance. Aiuta a rilevare anomalie comportamentali pressoché in tempo reale, come nel caso in cui un utente improvvisamente effettui l’accesso ad ampi volumi di dati sensibili – un’attività che potrebbe essere sentore di un evento di esfiltrazione di dati. E, infine, consente di attivare il ripristino dei flussi di lavoro, come determinato dalle policy, attraverso l’integrazione con le principali piattaforme di security orchestration, automation and response (SOAR).
Ridurre il raggio d’azione dei ransomware
Ora che la data exfiltration sta diventando sempre più comune, è necessario che ogni impresa sappia di quali dati è in possesso, dove sono localizzati, come sono classificati e chi lavora con essi. Soltanto una volta acquisita questa conoscenza è possibile determinare eventuali comportamenti anomali. La frammentazione dei dati non solo rende difficile estrarre la giusta informazione, ma impedisce anche l’installazione di misure di sicurezza adeguate.
Bisogna, invece, usare lo stesso metodo adottato dai cybercriminali, che impiegano automazione, Machine Learning e AI per mappare l’ambiente e individuare i dati di maggior valore. Con una governance dei dati che vada oltre l’approccio Zero Trust, è possibile sapere subito se un dato è inserito nel posto sbagliato e decidere di bloccare l’accesso a quello stesso dato o isolarlo.
Il rilevamento e la risposta non competono alle persone, ma sono affidate ad azioni automatizzate basate su Machine Learning e Intelligenza Artificiale. La crescita dei casi di data exfiltration e la frequenza di attacchi ransomware richiede un cambio di strategia: valutare se si sta mitigando il rischio di esfiltrazione e adottare il maggior numero possibile di misure preventive.