Negli ultimi giorni le infrastrutture critiche USA hanno subito uno dei più gravi attacchi informatici della storia. Un gruppo di hacker ha attaccato il grande oleodotto Colonial Pipeline negli Stati Uniti con l’obiettivo di chiedere un riscatto in cambio dello sblocco delle operations.
L’attacco ha paralizzato la ragnatela di condutture di 8.850 chilometri che garantisce circa il 45% degli approvvigionamenti di carburante e dei suoi derivati consumati sulla East Coast americana: forniture per 2,5 milioni di barili al giorno di benzina, diesel e altri prodotti petroliferi, diretti dalle raffinerie del Golfo del Messico non solo verso l’area di New York ma anche a importanti centri del sud degli Usa, compreso l’aeroporto di Atlanta, il più trafficato del mondo per numero di passeggeri.
Il governo si è messo al lavoro per ristabilire il normale funzionamento della rete il più presto possibile, ma Colonial ha indicato che potrà riprendere il servizio, interrotto venerdì scorso, solo entro il fine settimana.
Si tratta solo dell’ultimo di una serie di attacchi in aumento indirizzati alle infrastrutture critiche di tutto il mondo, che governi e aziende potrebbero prevenire e rimediare investendo nelle giuste misure di cybersecurity.
A seguire il commento di Charlie Gero, Vice President and CTO, Security Technologies Group, Akamai.
——
“La natura dei sistemi operativi desktop oggi rende i ransomware difficili da fermare completamente. Man mano che i sistemi operativi otterranno maggiori protezioni funzionalmente più equivalenti a quelli mobile, la superficie di minaccia diminuirà naturalmente nel tempo, ma non ci siamo ancora. Se è probabile comunque che ci sarà sempre qualche superficie dove questi exploit possano essere sfruttati, esistono altre modalità per fermare questi attacchi sul nascere semplicemente rendendoli meno economicamente remunerativi.
In linea di massima, è possibile categorizzare le difese contro il ransomware tra misure di prevenzione/pre-attacco e remediation/post-attacco. Credo che le tecnologie più interessanti per quanto riguarda i ransomware presenti sul mercato si concentrino attualmente sulla fase di remediation/post-attacco.
Queste soluzioni si focalizzano generalmente sul backup e il ripristino intelligente dei dati. SentinelOne, per esempio, è una società EDR in grado di riportare le macchine allo stato precedente all’infezione. Un altro approccio, che garantisce almeno lo stesso livello di protezione e potenzialmente anche migliore, è servirsi di uno storage condiviso con policy di backup. Questo storage può risiedere nel cloud (dove è elastico) o essere amministrato localmente.
Quando lo storage è gestito in questo modo, le informazioni locali presenti su una macchina diventano meno importanti, poiché se la macchina è infettata, si può semplicemente resettarla, rifare il backup e ripristinare l’accesso alle condivisioni di rete. Nel caso in cui le condivisioni siano corrotte da un aggressore, il sistema di archiviazione cloud può semplicemente riportare i dati a uno stato precedente, supponendo che gli snapshot e i backup fossero in vigore.
È una vera rivoluzione! Utilizzando i backup, l’archiviazione gestita e i sistemi EDR avanzati, il rimedio degli attacchi ransomware è abbastanza banale. Quando i dati importanti si trovano sul sistema infettato, invece, senza un sistema simile a SentinelOne, si rischia di dover cedere al pagamento.
Più spesso un attacco può essere sventato semplicemente rifacendo il backup della macchina dell’utente finale e riportando i dati al backup più recente, meno spesso gli autori causeranno un’interruzione abbastanza significativa da essere pagati e quindi avranno sempre meno convenienza nell’utilizzare questo approccio.
Ovviamente, un altro lato negativo degli attacchi ransomware è che spesso tra le ripercussioni del mancato pagamento del riscatto non si ha solo la perdita di accesso ai dati ma anche la loro esposizione pubblica. Per molte aziende, questa minaccia è più grave del carico di lavoro per tornare in attività, perché potrebbero essere sottratti e resi pubblici segreti commerciali e IP. In questi scenari, è estremamente importante lavorare sulla prevenzione degli attacchi, poiché le soluzioni descritte finora non possono garantire la non divulgazione dei dati (si limitano a ripristinare le operazioni il più velocemente possibile). In questo caso è necessario servirsi di misure di difesa proattive per ridurre drasticamente la probabilità di un attacco ransomware di successo: le soluzioni SASE – Secure Access Service Edge.
I due principali sistemi di sicurezza che le organizzazioni possono sfruttare oggi sono Secure Web Gateways (SWG) e Zero Trust Network Access (ZTNA).
Gli SWG controllano ciò a cui gli utenti finali possono accedere, bloccando l’accesso a siti pericolosi, ed eseguono anche il sandboxing e la scansione di virus e malware del software scaricato in tempo reale. In alcuni casi, impiegano RBI (Remote Browser Isolation), per trasferire completamente le operazioni web più rischiose nel cloud. Questo riduce la probabilità di essere infettati. I sistemi ZTNA permettono, invece, di controllare chi può accedere a quali risorse. Riducendo il pool di persone e macchine che possono accedere all’infrastruttura a rischio, è possibile ridurre la superficie di attacco sfruttabile dai malintenzionati.
Insieme, queste due tecnologie preventive rappresentano una modalità sicura di riduzione delle minacce. Se combinate poi con le tecnologie di remediation di cui abbiamo discusso, le imprese potranno operare in un ambiente abbastanza robusto e sicuro.”