WannaCry e Petya.B sono solamente due più recenti (e famosi) attacchi su larga scala che hanno evidenziato lacune nella gestione dei sistemi informativi e dei fattori di rischio da cui trarre preziosi insegnamenti
Osservando l’andamento delle attività dei cybercriminali alla luce delle due più recenti ondate di infezione ransomware su larga scala è impossibile negare un incremento nella sofisticazione del malware e un continuo perfezionamento dei meccanismi di intrusione. Altrettanto innegabile è il fatto che, ad oggi, moderni tool e infrastrutture “Crime-as-a-Service” consentono ai cyber-criminali di agire rapidamente su scala globale, con il supporto derivante dalla diffusione di pericolosi exploit “di Stato” (EternalBlue e EternalRomance), facilmente integrabili nel codice dei malware. Un primo bilancio delle “vittime” sembra indicare con altrettanta chiarezza quanto gli attaccanti siano in vantaggio rispetto alle aziende attive nell’ambito della sicurezza IT che rispondono a tali minacce a suon di “signature” e “patching”. Strumenti che si sono rivelatisi, in entrambe le occasioni, assolutamente insufficienti, vuoi per incuria, vuoi perché la sicurezza – oggi più che mai – deve essere predittiva e non reattiva.
WannaCry si è dimostrato particolarmente efficace poiché in grado di propagarsi tramite internet, installandosi “lateralmente” su altri host presenti nella rete senza alcun intervento dell’utente, bensì a posteriori di una scansione approfondita sulla porta TCP/UDP 445. Una minaccia seria ai danni di chi non ha aggiornato i propri sistemi per i più vari motivi. Poco tempo dopo PetrWrap, Petya.B o NotPetya, che dir si voglia, si è avvalso della stessa vulnerabilità, cagionando danni ad enti governativi e a numerose aziende su scala globale, bloccando sistemi rilevanti per la produttività delle organizzazioni e chiedendo un riscatto, il cui pagamento in molti casi non è corrisposto alla decrittazione dei file.
Le finalità di questo genere di attacchi possono essere differenti, dall’estorsione di denaro, al sabotaggio su più livelli, fino al furto di dati o allo spionaggio industriale, in alcuni casi infatti i cryptoransomware copiano i file prima di cifrarli e chiedono un riscatto per non divulgarli. A fronte dello scarso riscontro economico ottenuto da entrambe le campagne rispetto all’attenzione mediatica riservata al fenomeno, del tipo di organizzazioni coinvolte e in assenza di codici che indichino una condivisione dei file con server esterni, si potrebbe supporre che queste due campagne siano attività di sabotaggio. Ci troviamo di fronte a minacce in rapida successione che colpiscono organizzazioni di pubblica utilità e di grandi dimensioni. Le aziende private che ne subiscono le conseguenze sembrano essere danni collaterali, quasi un modo per sviare l’attenzione dal vero obiettivo e rientrare almeno parzialmente dei costi di produzione dell’attacco, sempre che le vittime paghino il riscatto.
Lezione 1: Occorre più tempo per la mitigazione delle minacce
Per quanto oggettivamente essenziale, il processo di patching dei sistemi operativi e delle applicazioni in uso risulta lacunoso. Tale attività, ove conducibile, va automatizzata e certificata. Nelle situazioni in cui non sia possibile aggiornare i sistemi (piccola nicchia con gravissime implicazioni, cfr. settore utility, industria/SCADA, healthcare, banking) per limiti hardware/software e di compliance, è fondamentale abilitare la segmentazione della rete e cambiare totalmente approccio alla sicurezza, dotandosi di strumenti per l’identificazione e la mitigazione di minacce note e non note che non necessitino di aggiornamenti, perché riconoscono comportamenti anomali e li bloccano sul nascere.
Sono numerosi i vendor di soluzioni antivirus che hanno riconosciuto che basare la sicurezza endpoint su signature non è più la risposta. Hanno quindi integrato o stanno per integrare meccanismi intelligenti capaci di individuare comportamenti sospetti delle applicazioni, al fine di bloccare attività anomale. Questo è un passo nella giusta direzione, tuttavia solo parzialmente, perché per quanto avanzate, queste soluzioni non rinunciano all’uso di firme, che richiedono frequenti aggiornamenti, in alcuni casi non conducibili. Ecco perché ha senso blindare i sistemi operativi con soluzioni che evitano l’esecuzione di qualsiasi malware, frapponendosi tra il kernel e il layer applicativo e bloccando chiamate a sistema ingiustificate grazie ad algoritmi avanzati di analisi comportamentale. Ne è un esempio Stormshield Endpoint Security, che non rimuove il malware (compito degli antivirus) ma ne blocca in tempo reale l’esecuzione, facendo guadagnare tempo utile agli amministratori per effettuare il patching e la messa in sicurezza dei sistemi.
Avere più “tempo” è un grande vantaggio che nessuno oggi può più sottovalutare. Un vantaggio riconosciuto sia da noti istituti bancari che con Stormshield Endpoint Security hanno potuto assicurarsi la compliance PCI DSS anche su macchine obsolete, sia da numerosi istituti ospedalieri e gruppi industriali dotati di sistemi SCADA.
Lezione 2: l’analisi comportamentale va estesa al perimetro
Il limite fondamentale delle soluzioni di Endpoint Security è che queste proteggono la singola macchina, non lavorano sul traffico di rete, e quindi entrano in azione solo in presenza di “infezione” sul singolo host. Avvalersi in tempo reale dell’analisi comportamentale dell’intero flusso di dati, dal singolo file alle attività delle applicazioni di rete, scevri dell’approccio passivo signature-based dei firewall tradizionali, assicura protezione proattiva dell’intera infrastruttura contro infezioni “laterali” come quelle favorite dall’uso dell’exploit EternalBlue garantendo che il malware non “esca” dalla rete per propagarsi altrove. Una tecnologia tutta europea dotata delle più alte certificazioni di sicurezza europea e della qualifica ANSII per ambienti industriali energetici, su cui Stormshield basa l’intera offerta di firewall IPS sin dal lontano 1998 e che oggi protegge aziende e governi in tutto il mondo.
Proteggere il singolo terminale non basta, occorre estendere l’analisi comportamentale al perimetro, seppur allargato, per assicurarsi quel vantaggio temporale e quella tutela proattiva dei sistemi che nel caso di WannaCry e Petya.B avrebbero fatto la differenza per molti.
